VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité (1),
Gezien het advies van het Comité van de Regio’s (2),
Handelend volgens de gewone wetgevingsprocedure (3),
Overwegende hetgeen volgt:
(1) |
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. |
(2) |
De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht hun nationaliteit of verblijfplaats, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. Deze verordening beoogt bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht en van een economische unie, alsook tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het welzijn van natuurlijke personen. |
(3) |
Richtlijn 95/46/EG van het Europees Parlement en de Raad (4) heeft tot doel de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te waarborgen. |
(4) |
De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid. |
(5) |
Dankzij de interne markt is een niveau van economische en sociale integratie bereikt dat tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens heeft geleid. De uitwisseling van persoonsgegevens tussen publieke en particuliere actoren, waaronder natuurlijke personen, verenigingen en ondernemingen, is overal in de Unie toegenomen. Het Unierecht noopt de nationale autoriteiten in de lidstaten tot samenwerken en tot het uitwisselen van persoonsgegevens om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat. |
(6) |
Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin persoonsgegevens worden verzameld en gedeeld, is significant gestegen. Dankzij de technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Natuurlijke personen maken hun persoonsgegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en moet het vrije verkeer van persoonsgegevens binnen de Unie en de doorgifte aan derde landen en internationale organisaties verder vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens garanderen. |
(7) |
Die ontwikkelingen vereisen een krachtig en coherenter kader voor gegevensbescherming in de Unie, dat wordt gesteund door strenge handhaving, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich in de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben. Er dient meer rechtszekerheid en praktische zekerheid te worden geboden aan natuurlijke personen, marktdeelnemers en overheidsinstanties. |
(8) |
Voor zover deze verordening bepaalt dat de regels die zij bevat door lidstatelijk recht kunnen worden gespecificeerd of beperkt, kunnen de lidstaten indien nodig elementen van deze verordening in hun recht opnemen om de samenhang te garanderen en om de nationale bepalingen begrijpbaar te maken voor degenen op wie zij van toepassing zijn. |
(9) |
De doelstellingen en beginselen van Richtlijn 95/46/EG blijven overeind, maar de richtlijn heeft niet kunnen voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, dat er rechtsonzekerheid heerst of dat in brede lagen van de bevolking het beeld bestaat dat met name online-activiteiten aanzienlijke risico’s voor de bescherming van natuurlijke personen inhouden. De lidstaten bieden op het vlak van verwerking van persoonsgegevens uiteenlopende niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, met name de bescherming van persoonsgegevens, wat het het vrije verkeer van persoonsgegevens binnen de Unie in de weg kan staan. Die verschillen kunnen dan ook een belemmering vormen voor de uitoefening van economische activiteiten op Unieniveau, de mededinging verstoren en de overheid beletten de taak die zij uit hoofde van het Unierecht heeft, te vervullen. Die verschillende beschermingsniveaus zijn toe te schrijven aan de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG. |
(10) |
Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens binnen de Unie op te heffen, dient het niveau van bescherming van de rechten en vrijheden van natuurlijke personen op het vlak van verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Met het oog op de verwerking van persoonsgegevens voor het vervullen van een wettelijke verplichting, voor het vervullen van een taak van algemeen belang of bij de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, moet de lidstaten worden toegestaan nationale bepalingen te handhaven of in te voeren ter nadere precisering van de wijze waarop de regels van deze verordening moeten worden toegepast. In samenhang met de algemene en horizontale wetgeving inzake gegevensbescherming ter uitvoering van Richtlijn 95/46/EG beschikken de lidstaten over verscheidene sectorgebonden wetten op gebieden waar behoefte is aan meer specifieke bepalingen. Deze verordening biedt de lidstaten ook ruimte om eigen regels voor de toepassing vast te stellen, onder meer wat de verwerking van bijzondere persoonsgegevenscategorieën („gevoelige gegevens”) betreft. In zoverre staat deze verordening niet in de weg aan lidstatelijk recht waarin specifieke situaties op het gebied van gegevensverwerking nader worden omschreven, meer bepaald door nauwkeuriger te bepalen in welke gevallen verwerking van persoonsgegevens rechtmatig geschiedt. |
(11) |
Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist de versterking en nadere omschrijving van de rechten van betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, alsmede gelijkwaardige bevoegdheden op het gebied van toezicht en handhaving van de regels inzake gegevensbescherming en vergelijkbare sancties voor overtredingen in de lidstaten. |
(12) |
Artikel 16, lid 2, VWEU machtigt het Europees Parlement en de Raad om de regels vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de regels betreffende het vrije verkeer van die gegevens. |
(13) |
Teneinde natuurlijke personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van persoonsgegevens op de interne markt hinderen, is een verordening nodig om marktdeelnemers, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor natuurlijke personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de verwerkingsverantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Voor de goede werking van de interne markt is het nodig dat het vrije verkeer van persoonsgegevens in de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft. Voorts worden de instellingen, organen en instanties van de Unie, en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen uit artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (5). |
(14) |
De bescherming die door deze verordening wordt geboden, heeft betrekking op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Deze verordening heeft geen betrekking op de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon. |
(15) |
Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen. |
(16) |
Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van de grondrechten en de fundamentele vrijheden of het vrije verkeer van persoonsgegevens in verband met niet onder het Unierecht vallende activiteiten, zoals activiteiten betreffende nationale veiligheid. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie. |
(17) |
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (6) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens, moeten aan de beginselen en regels van de onderhavige verordening worden aangepast en in het licht van de onderhavige verordening worden toegepast. Om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, moet Verordening (EG) nr. 45/2001 waar nodig worden aangepast zodra de onderhavige verordening is vastgesteld, opdat deze op hetzelfde tijdstip als de onderhavige verordening van toepassing kan worden. |
(18) |
Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van dergelijke activiteiten. Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. |
(19) |
De bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en het vrije verkeer van die gegevens wordt geregeld in een specifiek rechtshandeling van de Unie. Deze verordening mag derhalve niet van toepassing zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Overeenkomstig deze verordening door overheidsinstanties verwerkte persoonsgegevens die voor die doeleinden worden gebruikt, moeten vallen onder een meer specifieke rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (7). De lidstaten kunnen bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken opdragen die niet noodzakelijk worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden binnen het toepassingsgebied van deze verordening valt, voor zover zij binnen het toepassingsgebied van de Uniewetgeving valt. Aangaande de verwerking van persoonsgegevens door die bevoegde instanties voor doeleinden die binnen het toepassingsgebied van deze verordening vallen, moeten de lidstaten meer specifieke bepalingen kunnen handhaven of invoeren om de toepassing van de regels van deze verordening aan te passen. In die bepalingen kunnen meer bepaald specifieke voorschriften voor de verwerking van persoonsgegevens door die bevoegde instanties voor de genoemde andere doeleinden worden vastgesteld, rekening houdend met de grondwettelijke, organisatorische en bestuurlijke structuur van de lidstaat in kwestie. Wanneer de verwerking van persoonsgegevens door privaatrechtelijke organen onder de onderhavige verordening valt, moet deze verordening voorzien in de mogelijkheid dat de lidstaten onder specifieke voorwaarden bij wet vastgestelde verplichtingen en rechten beperken, indien een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter bescherming van specifieke belangen van betekenis, waaronder de openbare veiligheid en de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria. |
(20) |
Hoewel de onderhavige verordening onder meer van toepassing is op de activiteiten van gerechten en andere rechterlijke autoriteiten, zouden in het Unierecht of het lidstatelijke recht de verwerkingen en verwerkingsprocedures met betrekking tot het verwerken van persoonsgegevens door gerechten en andere rechterlijke autoriteiten nader kunnen worden gespecificeerd. De competentie van de toezichthoudende autoriteiten mag zich niet uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken, zulks teneinde de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken, waaronder besluitvorming, te waarborgen. Het toezicht op die gegevensverwerkingen moet kunnen worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van deze verordening moeten garanderen, leden van de rechterlijke macht van hun verplichtingen krachtens deze verordening sterker bewust moeten maken, en klachten met betrekking tot die gegevensverwerkingen moeten behandelen. |
(21) |
Deze verordening doet geen afbreuk aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad (8), inzonderheid de regels inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn. Met die richtlijn wordt beoogd bij te dragen tot het beter functioneren van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen. |
(22) |
De verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, ongeacht of de eigenlijke verwerking in de Unie plaatsvindt. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten via bestendige verhoudingen. De rechtsvorm van dergelijke verhoudingen, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend. |
(23) |
Om te waarborgen dat natuurlijke personen niet de bescherming wordt onthouden waarop zij krachtens deze verordening recht hebben, dient deze verordening van toepassing te zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen, ongeacht of dit verband houdt met een betaling. Om te bepalen of een dergelijke verwerkingsverantwoordelijke of verwerker goederen of diensten aan betrokkenen in de Unie aanbiedt, moet worden nagegaan of de verwerkingsverantwoordelijke of verwerker klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. De toegankelijkheid van de website van de verwerkingsverantwoordelijke, van de verwerker of van een tussenpersoon in de Unie, van een e-mailadres of van andere contactgegevens of het gebruik van een in het derde land waar de verwerkingsverantwoordelijke is gevestigd, algemeen gebruikte taal is op zich ontoereikend om een dergelijk voornemen vast te stellen, maar ook uit andere factoren zoals het gebruik van een taal of een valuta die in één of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal goederen en diensten te bestellen, of de vermelding van klanten of gebruikers in de Unie, kan blijken dat de verwerkingsverantwoordelijke voornemens is goederen en diensten aan betrokkenen in de Unie aan te bieden. |
(24) |
De verwerking van persoonsgegevens van betrokkenen in de Unie door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker moet ook onder deze verordening vallen wanneer dat verband houdt met het controleren van het gedrag van de betrokkenen voor zover zich dat binnen de Unie situeert. Om uit te maken of een verwerking kan worden beschouwd als controle van het gedrag van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, en onder meer of in dat verband eventueel persoonsgegevensverwerkingstechnieken worden gebruikt waarbij een profiel wordt opgesteld van een natuurlijke persoon, in het bijzonder om besluiten ten aanzien van hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen. |
(25) |
Wanneer uit hoofde van het internationale publiekrecht het lidstatelijke recht van toepassing is, dient deze verordening ook van toepassing te zijn op een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld bij een diplomatieke vertegenwoordiging of een consulaire post actief is. |
(26) |
De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden. |
(27) |
De onderhavige verordening is niet van toepassing op de persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen betreffende de verwerking van de persoonsgegevens van overleden personen. |
(28) |
De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. |
(29) |
Om stimuli te creëren voor pseudonimisering bij de verwerking van persoonsgegevens zouden, terwijl een algemene analyse mogelijk blijft, pseudonimiseringsmaatregelen moeten kunnen worden genomen door dezelfde verwerkingsverantwoordelijke wanneer deze de noodzakelijke technische en organisatorische maatregelen heeft getroffen om er bij de desbetreffende verwerking voor te zorgen dat deze verordening ten uitvoer wordt gelegd, en dat de aanvullende gegevens om de persoonsgegevens aan een specifieke betrokkene te koppelen, apart worden bewaard. De verwerkingsverantwoordelijke die de persoonsgegevens verwerkt, moet aangeven wie bij dezelfde verwerkingsverantwoordelijke gemachtigde personenzijn. |
(30) |
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen. |
(31) |
Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden meegedeeld voor het vervullen van hun overheidstaak, zoals belasting- of douaneautoriteiten, financiëleonderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet worden beschouwd als ontvangers indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek van algemeen belang, overeenkomstig het Unierecht of het lidstatelijke recht. Door overheidsinstanties ingediende verzoeken om verstrekking moeten in ieder geval schriftelijk, gemotiveerd en incidenteel zijn, en mogen geen volledig bestand betreffen of resulteren in het onderling combineren van bestanden. De verwerking van persoonsgegevens door bedoelde overheidsinstanties moet stroken met de voor de doeleinden van de verwerking toepasselijke gegevensbeschermingsregels. |
(32) |
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. |
(33) |
Het is vaak niet mogelijk op het ogenblik waarop de persoonsgegevens worden verzameld, het doel van de gegevensverwerking voor wetenschappelijke onderzoeksdoeleinden volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van het wetenschappelijk onderzoek waarbij erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten de gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat. |
(34) |
Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die blijken uit een analyse van een biologisch monster van de persoon in kwestie, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of uit een analyse van andere elementen waarmee soortgelijke informatie kan worden verkregen. |
(35) |
Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad (9) aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters; en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek. |
(36) |
De hoofdvestiging van een verwerkingsverantwoordelijke in de Unie dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt, tenzij de besluiten over de doeleinden van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke in de Unie, in welk geval deze andere vestiging als hoofdvestiging moet worden beschouwd. Welke vestiging de hoofdvestiging van een verwerkingsverantwoordelijke in de Unie is, dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten, met het oog op het nemen van de kernbesluiten over de doelstellingen van en de middelen voor de verwerking via bestendige verhoudingen. Dit criterium mag niet afhangen van het feit of de verwerking van de persoonsgegevens op die locatie plaatsvindt. De aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om de hoofdvestiging gaat. De hoofdvestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt of, indien hij niet over een centrale administratie in de Unie beschikt, de plaats waar de voornaamste verwerkingsactiviteiten in de Unie plaatsvinden. Bij betrokkenheid van zowel de verwerkingsverantwoordelijke als de verwerker, moet de toezichthoudende autoriteit van de lidstaat waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft, de bevoegde leidende toezichthoudende autoriteit blijven, maar de toezichthoudende autoriteit van de verwerker moet worden beschouwd als een betrokken toezichthoudende autoriteit en die toezichthoudende autoriteit moet deelnemen aan de in deze verordening vastgestelde samenwerkingsprocedure. In elk geval mogen de toezichthoudende autoriteiten van de lidstaat of de lidstaten waar de verwerker een of meer vestigingen heeft niet worden aangemerkt als betrokken toezichthoudende autoriteiten wanneer het ontwerpbesluit alleen de verwerkingsverantwoordelijke betreft. Indien de verwerking door een concern wordt uitgevoerd, dient de hoofdvestiging van de zeggenschap uitoefenende onderneming als de hoofdvestiging van het concern te worden beschouwd, behalve indien het doel van en de middelen voor de verwerking door een andere onderneming worden bepaald. |
(37) |
Een concern dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van bijvoorbeeld eigendom, financiële deelneming of op haar van toepassing zijnde regels, of op grond van de bevoegdheid om regels inzake de bescherming van persoonsgegevens te doen uitvoeren. Een onderneming die toezicht uitoefent op de verwerking van persoonsgegevens in de met haar verbonden ondernemingen moet samen met deze ondernemingen als een concern worden beschouwd. |
(38) |
Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het opstellen van persoonlijkheids- of gebruikersprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van rechtstreeks aan kinderen verstrekte diensten. In de context van preventieve of adviesdiensten die rechtstreeks aan een kind worden aangeboden, is de toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, niet vereist. |
(39) |
Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt. |
(40) |
Voor rechtmatige verwerking van persoonsgegevens is de toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere Unierechtelijke of lidstaatrechtelijke bepalingen als bedoeld in deze verordening, of ook dat de verwerking noodzakelijk is om te voldoen aan wettelijke verplichting die op de verwerkingsverantwoordelijke rust of om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. |
(41) |
Wanneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie. Deze rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie („Hof van Justitie”) en het Europees Hof voor de Rechten van de Mens. |
(42) |
Indien de verwerking plaatsvindt op grond van toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (10) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Opdat toestemming met kennis van zaken wordt gegeven, moet de betrokkene ten minste bekend zijn met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. |
(43) |
Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er sprake is van een duidelijke wanverhouding tussen de betrokkene en de verwerkingsverantwoordelijke, met name wanneer de verwerkingsverantwoordelijke een overheidsinstantie is, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering. |
(44) |
Een verwerking die noodzakelijk is in het kader van een overeenkomst of een voorgenomen overeenkomst, dient rechtmatig te zijn. |
(45) |
Indien de verwerking wordt verricht omdat de verwerkingsverantwoordelijke hiertoe wettelijk is verplicht of indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een grondslag te hebben in het Unierecht of het lidstatelijke recht. Deze verordening schrijft niet voor dat voor elke afzonderlijke verwerking specifieke wetgeving vereist is. Er kan worden volstaan met wetgeving die als basis fungeert voor verscheidene verwerkingen op grond van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag. Het moet ook het Unierecht of het lidstatelijke recht zijn die het doel van de verwerking bepaalt. Voorts zou dat recht een nadere omschrijving kunnen geven van de algemene voorwaarden van deze verordening waaraan de persoonsgegevensverwerking moet voldoen om rechtmatig te zijn, en specificaties kunnen vaststellen voor het bepalen van de verwerkingsverantwoordelijke, het type verwerkte persoonsgegevens, de betrokkenen, de entiteiten waaraan de persoonsgegevens mogen worden vrijgegeven, de doelbinding, de opslagperiode en andere maatregelen om te zorgen voor rechtmatige en behoorlijke verwerking. Ook dient in het Unierecht of het lidstatelijke recht te worden vastgesteld of de verwerkingsverantwoordelijke die is belast met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere publiekrechtelijke persoon of, indien zulks is gerechtvaardigd om redenen van algemeen belang, waaronder gezondheidsdoeleinden zoals volksgezondheid, sociale bescherming en het beheer van gezondheidszorgdiensten, een privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn. |
(46) |
De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang voor een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. |
(47) |
De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren, mag die rechtsgrond niet van toepassing zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang. |
(48) |
Verwerkingsverantwoordelijken die deel uitmaken van een concern of een groep van instellingen die aan een centraal lichaam verbonden zijn, kunnen een gerechtvaardigd belang hebben bij de doorzending van persoonsgegevens binnen het concern voor interne administratieve doeleinden, waaronder de verwerking van persoonsgegevens van klanten of werknemers. De algemene beginselen voor de doorgifte van persoonsgegevens, binnen een concern, aan een in een derde land gevestigde onderneming blijven onverlet. |
(49) |
De verwerking van persoonsgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven persoonsgegevens in het gedrang brengen, en de beveiliging van de daarmee verband houdende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, computercrisisteams (computer emergency response teams), computercalamiteitenteams (computer security incident response teams), aanbieders van elektronische communicatienetwerken en -diensten en aanbieders van beveiligingstechnologie en -diensten, vormt een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van ongeoorloofde toegang tot elektronische-communicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service”- aanvallen en van schade aan computers en elektronischecommunicatiesystemen. |
(50) |
De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht of het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking worden beschouwd. De Unierechtelijke of lidstaatrechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen. Wanneer de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Unierecht of lidstatelijk recht dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor met name het waarborgen van belangrijke doelstellingen van algemeen belang, moet de verwerkingsverantwoordelijke de mogelijkheid hebben de persoonsgegevens verder te verwerken, ongeacht of dat verenigbaar is met de doeleinden. In ieder geval dient ervoor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene met name wordt geïnformeerd over dergelijke andere doeleinden en over zijn rechten, waaronder het recht om bezwaar te maken. Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplicht. |
(51) |
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, verdienen specifieke bescherming aangezien de context van de verwerking ervan significante risico’s kan meebrengen voor de grondrechten en de fundamentele vrijheden. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën van persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Dergelijke persoonsgegevens mogen niet worden verwerkt, tenzij de verwerking is toegestaan in in deze verordening vermelde specifieke gevallen, rekening houdend met het feit dat in de wetgeving van de lidstaten specifieke bepalingen inzake gegevensbescherming kunnen worden opgenomen teneinde de toepassing van de regels van deze verordening aan te passen met het oog op de vervulling van een wettelijke verplichting of met het oog op de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Naast de specifieke voorschriften voor die verwerking dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken. |
(52) |
Van het verbod op de verwerking van bijzondere categorieën van persoonsgegevens moet ook kunnen worden afgeweken, indien Unierecht of lidstatelijk recht hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, wanneer zulks in het algemeen belang is, in het bijzonder de verwerking van persoonsgegevens op het gebied van het arbeidsrecht en het socialebeschermingsrecht, met inbegrip van de pensioenen, en voor doeleinden inzake gezondheidsbeveiliging, -bewaking en -waarschuwing, preventie of bestrijding van overdraagbare ziekten en andere ernstige gezondheidsbedreigingen. In een dergelijke afwijking kan worden voorzien voor gezondheidsdoeleinden, zoals de volksgezondheid en het beheer van gezondheidszorgdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Een afwijking moet ook voorzien in de mogelijkheid tot verwerking van die persoonsgegevens indien dat noodzakelijk is voor de vaststelling, de uitoefening of de onderbouwing van een rechtsvordering, in een gerechtelijke procedure dan wel in een administratieve of buitengerechtelijke procedure. |
(53) |
Bijzondere categorieën van persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten, met inbegrip van de verwerking door de beheersautoriteiten en de centrale nationale gezondheidsinstanties van die gegevens met het oog op kwaliteitscontrole, beheersinformatie en het algemeen nationaal en lokaal toezicht op het gezondheidszorgstelsel of het stelsel van sociale diensten, en bij het waarborgen van de continuïteit van de gezondheidszorg of de sociale diensten en grensoverschrijdende gezondheidszorg of voor doeleinden inzake gezondheidsbeveiliging, -bewaking en -waarschuwing of met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden op basis van Unierecht of lidstatelijk recht die aan een doelstelling van algemeen belang moet voldoen, alsook voor studies van algemeen belang op het gebied van de volksgezondheid. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht of het lidstatelijke recht moet voorzien in specifieke en passende maatregelen voor de bescherming van de grondrechten en persoonsgegevens van natuurlijke personen. De lidstaten moet worden toegestaan andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid te handhaven of in te voeren. Wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van deze persoonsgegevens, mag dit evenwel geen belemmering vormen voor het vrije verkeer van gegevens binnen de Unie. |
(54) |
Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën van persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (11) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers, of verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerkt. |
(55) |
Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belang. |
(56) |
Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen persoonsgegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegestaan, mits er passende waarborgen worden vastgesteld. |
(57) |
Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. De identiteit van de betrokkene dient ook digitaal te worden vastgesteld, bijvoorbeeld aan de hand van dezelfde persoonlijke beveiligingsgegevens, die door de betrokkene worden gebruikt voor het aanmelden op de door de verwerker van de gegevens aangeboden onlinedienst. |
(58) |
Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullendvisualisatie worden gebruikt. Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties. Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze makkelijk kan begrijpen. |
(59) |
Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en, indien van toepassing, deze gratis te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld en ten laatste binnen een maand op een verzoek van de betrokkene te reageren, en om de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven. |
(60) |
Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat er verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene moeten worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde icoontjes worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze de zin van de voorgenomen verwerking weer te geven. Elektronisch weergegeven icoontjes moeten machineleesbaar zijn. |
(61) |
De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen bij de betrokkene van de gegevens of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer de persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt. |
(62) |
Niettemin is het niet noodzakelijk de verplichting tot informatieverstrekking op te leggen wanneer de betrokkene al over de informatie beschikt, wanneer de registratie of mededeling van de persoonsgegevens uitdrukkelijk bij wet is voorgeschreven of wanneer de informatieverstrekking aan de betrokkene onmogelijk blijkt of onevenredig veel inspanningen zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden geschiedt. In dat verband mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd. |
(63) |
Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in hun persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Elke betrokkene dient dan ook het recht te hebben, te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Indien mogelijk moet de verwerkingsverantwoordelijke op afstand toegang kunnen geven tot een beveiligd systeem waarop de betrokkene direct zijn persoonsgegevens kan inzien. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat de betrokkene alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft. |
(64) |
De verwerkingsverantwoordelijke dient, met name met betrekking tot onlinediensten en online-identificatoren, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om inzage verzoekt. Een verwerkingsverantwoordelijke mag persoonsgegevens niet uitsluitend bewaren om op eventuele verzoeken te kunnen reageren. |
(65) |
Een betrokkene moet het recht hebben om hem betreffende persoonsgegevens te laten rectificeren en dient te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening die of op Unierecht of het lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. Meer bepaald moeten betrokkenen het recht hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dat recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de verwerkingsrisico’s, en hij dergelijke persoonsgegevens later wil verwijderen, met name van het internet. De betrokkene dient dat recht te kunnen uitoefenen niettegenstaande het feit dat hij geen kind meer is. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering. |
(66) |
Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren. |
(67) |
Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden gehaald. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven. |
(68) |
Om de zeggenschap over zijn eigen gegevens verder te versterken, dient de betrokkene wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. De verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer de betrokkene de persoonsgegevens heeft verstrekt door zijn toestemming te geven dan wel wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Dit recht mag niet gelden wanneer de verwerking op basis van een andere rechtsgrond dan een toestemming of een overeenkomst geschiedt. Door de aard ervan mag dit recht niet worden uitgeoefend jegens verwerkingsverantwoordelijken die persoonsgegevens verwerken in het kader van de uitoefening van hun openbare taken. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van de betrokkene om hem betreffende persoonsgegevens door te zenden of te ontvangen, mag voor de verwerkingsverantwoordelijke geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of te houden. Wanneer het in een bepaalde verzameling persoonsgegevens meer dan één betrokkene aanbelangt, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van de betrokkene om zijn persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hem betreffende persoonsgegevens die de betrokkene ter uitvoering van een overeenkomst heeft verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moet de betrokkene het recht hebben te verkrijgen dat de gegevens direct van de ene naar de andere verwerkingsverantwoordelijke worden doorgezonden. |
(69) |
Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dan wel op grond van de gerechtvaardigde belangen van een verwerkingsverantwoordelijke of een derde, dient een betrokkene niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op zijn specifieke situatie betrekking hebben. De verwerkingsverantwoordelijke moet aantonen dat zijn dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene. |
(70) |
Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing dient de betrokkene, ongeacht of het een aanvankelijke dan wel een verdere verwerking betreft, het recht te hebben te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, ook in het geval van profilering voor zover deze betrekking heeft op de direct marketing. Dat recht moet uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie, onder de aandacht van de betrokkene worden gebracht. |
(71) |
De betrokkene dient het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, dat een maatregel kan behelzen — over persoonlijke hem betreffende aspecten, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft, zoals de automatische weigering van een online ingediende kredietaanvraag of van verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, wat bestaat in de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft. Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij Unierecht of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is, onder meer ten behoeve van de controle en voorkoming van belastingfraude en -ontduiking overeenkomstig de regelgeving, normen en aanbevelingen van de instellingen van de Unie of de nationale voor oversight bevoegde instanties, en om te zorgen voor de veiligheid en betrouwbaarheid van een dienst die door de verwerkingsverantwoordelijke wordt verleend, of noodzakelijk voor de sluiting of uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke, of wanneer de betrokkene zijn uitdrukkelijke toestemming heeft gegeven. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen, met inachtneming van de concrete omstandigheden en context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering gebaseerd op bijzondere categorieën van persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan. |
(72) |
Voor profilering gelden de regels van deze verordening betreffende de verwerking van persoonsgegevens, bijvoorbeeld de rechtsgronden voor verwerking of beginselen van gegevensbescherming. Het Europees Comité voor gegevensbescherming dat door deze verordening wordt ingesteld (het „Comité”) dient de mogelijkheid te krijgen om in dat verband richtsnoeren op te stellen. |
(73) |
In het Unierecht of het lidstatelijke recht kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van gegevens, het recht op gegevensoverdraagbaarheid, het recht om bezwaar te maken, alsook aan besluiten gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, waaronder de bescherming van het menselijk leven en met name bij natuurrampen of door de mens veroorzaakte rampen, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, voor de verdere verwerking van gearchiveerde persoonsgegevens teneinde specifieke informatie over het politieke gedrag onder voormalige totalitaire regimes te verkrijgen of voor de bescherming van de betrokkene of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. |
(74) |
De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke moeten worden vastgesteld voor elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. |
(75) |
Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen. |
(76) |
De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, het toepassingsgebied, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling en vastgesteld moet worden of de verwerking gepaard gaat met een risico of een hoog risico. |
(77) |
Richtsnoeren voor de tenuitvoerlegging van passende maatregelen, en om aan te tonen dat de verwerkingsverantwoordelijke of de verwerker de regels naleeft, vooral wat betreft de vaststelling van het risico in verband met de verwerking, de beoordeling van de oorsprong, aard, waarschijnlijkheid en ernst daarvan, en de bepaling van beste praktijken om het risico te verminderen, kunnen met name worden verstrekt door middel van goedgekeurde gedragscodes, goedgekeurde certificeringen, richtsnoeren van het Comité of aanwijzingen van een functionaris voor gegevensbescherming. Het Comité kan tevens richtsnoeren uitvaardigen met betrekking tot verwerkingen die waarschijnlijk niet zullen resulteren in een hoog risico voor de rechten en vrijheden van natuurlijke personen, en aangeven met welke maatregelen in dat geval kan worden volstaan om dat risico aan te pakken. |
(78) |
Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en uit het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. Bij de de ontwikkeling, de uitwerking, de keuze en het gebruik van toepassingen, diensten en producten die zijn gebaseerd op de verwerking van persoonsgegevens, of die persoonsgegevens verwerken bij de uitvoering van hun opdracht, dienen de producenten van de producten, diensten en toepassingen te worden gestimuleerd om bij de ontwikkeling en de uitwerking van dergelijke producten, diensten en toepassingen rekening te houden met het recht op bescherming van persoonsgegevens en, met inachtneming van de stand van de techniek, erop toe te zien dat de verwerkingsverantwoordelijken en de verwerkers in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen. |
(79) |
Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd. |
(80) |
Wanneer een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker persoonsgegevens van betrokkenen die zich in de Unie bevinden, verwerkt, en de verwerking verband houdt met de aanbieding van goederen of diensten — ongeacht of een betaling door de betrokkenen is vereist — aan die zich in de Unie bevindende betrokkenen of met het controleren van hun gedrag in de Unie, dient de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aan te wijzen, tenzij de verwerking incidenteel is, niet de grootschalige verwerking van bijzondere categorieën van persoonsgegevens, of de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten inhoudt en gelet op de aard, de context, de omvang en de verwerkingsdoeleinden waarschijnlijk geen risico oplevert voor de rechten en vrijheden van natuurlijke personen, of tenzij de verwerkingsverantwoordelijke een overheidsinstantie of -orgaan is. De vertegenwoordiger dient ten behoeve van de verwerkingsverantwoordelijke of de verwerker op te treden en kan door iedere toezichthoudende autoriteit worden benaderd. De vertegenwoordiger dient uitdrukkelijk te worden aangewezen via een schriftelijk mandaat van de verwerkingsverantwoordelijke of van de verwerker om namens hen op te treden met betrekking tot zijn verplichtingen uit hoofde van deze verordening. De aanwijzing van een dergelijke vertegenwoordiger heeft geen invloed op de verantwoordelijkheid of aansprakelijkheid van de verwerkingsverantwoordelijke of van de verwerker uit hoofde van deze verordening. Die vertegenwoordiger moet zijn taken verrichten volgens het van de verwerkingsverantwoordelijke of de verwerker ontvangen mandaat, en moet onder meer samenwerken met de bevoegde toezichthoudende autoriteiten met betrekking tot alle maatregelen die ter naleving van deze verordening worden genomen. In geval van niet-naleving door de verwerkingsverantwoordelijke of de verwerker dient de aangewezen vertegenwoordiger aan handhavingsprocedures te worden onderworpen. |
(81) |
Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat de verwerker zich aansluit bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker dient uit hoofde van het Unierecht of het lidstatelijke recht te worden geregeld in een overeenkomst of een andere rechtshandeling waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van de betrokkene. De verwerkingsverantwoordelijke en de verwerker kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door een toezichthoudende autoriteit in het kader van het coherentiemechanisme en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke, dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is de verplichting oplegt de persoonsgegevens op te slaan. |
(82) |
Om de naleving van deze verordening aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden. Elke verwerkingsverantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten. |
(83) |
Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden. |
(84) |
Teneinde de naleving van deze verordening te verbeteren indien de verwerking waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd. Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat verwerking gepaard gaat met een hoog risico dat de verwerkingsverantwoordelijke niet kan beperken door maatregelen die met het oog op de beschikbare technologie en de uitvoeringskosten redelijk zijn, dient vóór de verwerking een raadpleging van de toezichthoudende autoriteit plaats te vinden. |
(85) |
Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit onverwijld en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en kan de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. |
(86) |
De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens grote risico’s voor de rechten en vrijheden van de natuurlijke persoon met zich kan brengen, zodat hij de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aanetrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere kennisgevingstermijn gerechtvaardigd kan zijn wanneer er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens. |
(87) |
Nagegaan moet worden of alle passende technische en organisatorische maatregelen zijn genomen om vast te stellen of een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, en om de toezichthoudende autoriteit en de betrokkene daarvan onverwijld in kennis te stellen. Het feit dat de kennisgeving is gedaan zonder onredelijke vertraging moet worden vastgesteld, met name rekening houdend met de aard en de ernst van de inbreuk in verband met persoonsgegevens en de gevolgen en negatieve effecten voor de betrokkene. Die kennisgeving kan ertoe leiden dat de toezichthoudende autoriteit optreedt overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden. |
(88) |
Bij de vaststelling van gedetailleerde regels betreffende de methode en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van die inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet waren beschermd door adequate technische maatregelen die de kans op identiteitsfraude of andere vormen van misbruik beperkten. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten wanneer vroegtijdige bekendmaking het onderzoek naar de omstandigheden van een inbreuk in verband met persoonsgegevens nodeloos zou hinderen. |
(89) |
Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Die verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Die ongedifferentieerde algemene kennisgevingsverplichtingen moeten derhalve worden afgeschaft en worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op de soorten verwerkingen die naar hun aard, reikwijdte, context en doeleinden waarschijnlijk grote risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengen. Dergelijke verwerkingen kunnen die zijn waarbij met name wordt gebruikgemaakt van nieuwe technologieën, of die welke van een nieuw type zijn en waarbij er vooraf geen gegevensbeschermingseffectbeoordeling is verricht door de verwerkingsverantwoordelijke, of wanneer zij noodzakelijk worden gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. |
(90) |
In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de grote risico’s te beoordelen, rekening houdend met de aard, omvang, context en doelen van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan. |
(91) |
Dit dient met name te gelden voor grootschalige verwerkingen die bedoeld zijn voor de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden en die bijvoorbeeld vanwege hun gevoelige aard een hoog risico met zich kunnen brengen, wanneer conform het bereikte niveau van technologische kennis een nieuwe technologie op grote schaal wordt gebruikt, alsmede voor andere verwerkingen die een groot risico voor de rechten en vrijheden van de betrokkenen inhouden, met name wanneer betrokkenen als gevolg van die verwerkingen hun rechten moeilijker kunnen uitoefenen. Een gegevensbeschermingseffectbeoordeling dient ook te worden gemaakt wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens, of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Een gegevensbeschermingseffectbeoordeling is tevens nodig voor de grootschalige bewaking van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur wordt gebruikt, of voor alle andere verwerkingen wanneer de bevoegde toezichthoudende autoriteit oordeelt dat zij waarschijnlijk een groot risico inhouden voor de rechten en vrijheden van betrokkenen, met name omdat betrokkenen als gevolg van deze verwerkingen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, of omdat deze verwerkingen systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens mag niet als een grootschalige verwerking worden beschouwd als het gaat om de verwerking van persoonsgegevens van patiënten of cliënten door een individuele arts, een andere zorgprofessional of door een advocaat. In die gevallen mag een gegevensbeschermingseffectbeoordeling niet verplicht worden gesteld. |
(92) |
Onder bepaalde omstandigheden kan het redelijk en nuttig zijn dat de gegevensbeschermingseffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of -organen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere verwerkingsverantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale activiteit. |
(93) |
In het kader van de vaststelling van het lidstatelijke recht waarop de vervulling van de taken van de overheidsinstantie of het overheidsorgaan is gebaseerd, en waarin de specifieke verwerking of reeks verwerkingen wordt geregeld, kunnen de lidstaten het noodzakelijk achten een dergelijke beoordeling uit te voeren voordat met de verwerking wordt begonnen. |
(94) |
Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de toezichthoudende autoriteit voordat met de verwerking wordt begonnen te worden geraadpleegd. Een dermate hoog risico doet zich wellicht voor bij bepaalde soorten persoonsgegevensverwerking en de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De toezichthoudende autoriteit dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de toezichthoudende autoriteit binnen die termijn dient evenwel een optreden van de toezichthoudende autoriteit overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. Als onderdeel van die raadplegingsprocedure kan het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de toezichthoudende autoriteit worden voorgelegd, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken. |
(95) |
De verwerker dient de verwerkingsverantwoordelijke, indien nodig en op verzoek, bij te staan om ervoor te zorgen dat de verplichtingen ingevolge de uitvoering van gegevensbeschermingseffectbeoordelingen en voorafgaande raadpleging van de toezichthoudende autoriteit worden nagekomen. |
(96) |
De toezichthoudende autoriteit dient tevens te worden geraadpleegd tijdens de voorbereiding van een wetgevings- of regelgevingsmaatregel houdende verwerking van persoonsgegevens, om ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken. |
(97) |
Indien de verwerking door een overheidsinstantie wordt uitgevoerd, met uitzondering van gerechten of onafhankelijke rechterlijke autoriteiten die handelen in het kader van hun gerechtelijke taken, of indien in de particuliere sector de verwerking door een verwerkingsverantwoordelijke wordt uitgevoerd die als kerntaak heeft verwerkingsactiviteiten uit te voeren die grootschalige regelmatige en systematische observatie van betrokkenen vereisen, indien de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van persoonsgegevens en van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, dient een persoon met deskundige kennis van gegevensbeschermingswetgeving en -praktijken de verwerkingsverantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. In de particuliere sector hebben de kerntaken van een verwerkingsverantwoordelijke betrekking op diens hoofdactiviteiten en niet op de verwerking van persoonsgegevens als nevenactiviteit. Het vereiste niveau van deskundigheid dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de door de verwerkingsverantwoordelijke of de verwerker verwerkte gegevens vereist is. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, ongeacht of zij in dienst zijn van de verwerkingsverantwoordelijke. |
(98) |
Verenigingen en andere organen die categorieën van de verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om binnen de grenzen van deze verordening gedragscodes op te stellen, teneinde de doeltreffende uitvoering van deze verordening te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen. Deze gedragscodes zouden met name het ijkpunt kunnen zijn voor de verplichtingen van verwerkingsverantwoordelijken en verwerkers, rekening houdend met de aan de verwerking verbonden risico’s voor de rechten en vrijheden van natuurlijke personen. |
(99) |
Bij de opstelling van een gedragscode, of bij wijziging of uitbreiding van een dergelijke code, moeten verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, overleg plegen met de belanghebbenden ter zake, waaronder waar mogelijk met betrokkenen, en rekening houden met bijdragen en standpunten naar aanleiding van dit overleg. |
(100) |
Teneinde de transparantie en naleving van deze verordening te versterken, dient het instellen van certificeringsmechanismen en gegevensbeschermingszegels en -merktekens te worden bevorderd, zodat betrokkenen snel het gegevensbeschermingsniveau van producten en diensten ter zake kunnen beoordelen. |
(101) |
Verkeer van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten met zich voor de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook in gevallen van verdere doorgiften van persoonsgegevens van het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte aan derde landen en internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Een doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens aan derde landen of internationale organisaties naleeft. |
(102) |
Deze verordening doet geen afbreuk aan internationale overeenkomsten die de Unie en derde landen met elkaar hebben gesloten om de doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de betrokkenen zijn opgenomen. De lidstaten kunnen internationale overeenkomsten sluiten over de doorgifte van persoonsgegevens naar derde landen of internationale organisaties, op voorwaarde dat dergelijke overeenkomsten deze verordening of andere bepalingen van Unierecht onverlet laten en een adequaat beschermingsniveau bieden voor de grondrechten van de betrokkenen. |
(103) |
De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat een derde land, een gebied of een welbepaalde sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van het derde land dat of de internationale organisatie die wordt geacht een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar dat derde land of die internationale organisatie worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land of de internationale organisatie daarvan in kennis heeft gesteld en een volledige toelichting van haar beweegredenen heeft gegeven, een dergelijk besluit in te trekken. |
(104) |
Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land of van een grondgebied of een specifieke verwerkingssector binnen een derde land, in aanmerking te nemen in welke mate de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het derde land worden geëerbiedigd, en dient zij de algemene en sectorale wetgeving, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land in aanmerking te nemen. Bij de vaststelling van een adequaatheidsbesluit (besluit waarbij het beschermingsniveau adequaat wordt verklaard) voor een grondgebied of een specifieke sector in een derde land, moeten er duidelijke en objectieve criteria worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de geldende wettelijke normen en wetgeving in het derde land. Het derde land dient zich ertoe te verbinden een passend beschermingsniveau te waarborgen, in feite overeenkomend met het niveau dat in de Unie wordt verzekerd, vooral wanneer persoonsgegevens in één of meer specifieke sectoren worden verwerkt. Het derde land dient met name te zorgen voor effectief en onafhankelijk toezicht op de gegevensbescherming en voor mechanismen van samenwerking met de autoriteiten op het gebied van gegevensbescherming van de lidstaten. Voorts dienen de betrokkenen te beschikken over daadwerkelijke en afdwingbare rechten en daadwerkelijk administratief beroep en beroep in rechte te kunnen instellen. |
(105) |
Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie rekening te houden met de verplichtingen die voortvloeien uit de deelneming van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de uitvoering van deze verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het Comité. |
(106) |
De Commissie dient toe te zien op de werking van de besluiten over het beschermingsniveau in een derde land, een gebied of welbepaalde sector in een derde land of in een internationale organisatie, en op de besluiten die zijn genomen op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG. De Commissie dient in haar adequaatheidsbesluiten waarbij het beschermingsniveau passend wordt verklaard een periodiek toetsingsmechanisme voor het functioneren ervan op te nemen. Die periodieke toetsing dient in overleg met het derde land of de internationale organisatie in kwestie te worden uitgevoerd en moet rekening houden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. Met het oog op het toezicht en de uitvoering van de periodieke toetsingen, dient de Commissie rekening te houden met de opvattingen en bevindingen van het Europees Parlement en van de Raad, evenals met andere relevante organisaties en bronnen. De Commissie moet binnen een redelijke termijn de werking van laatstgenoemde besluiten evalueren en alle relevante vaststellingen rapporteren aan het comité in de zin van Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (12), als opgericht uit hoofde van de onderhavige verordening, aan het Europees Parlement en aan de Raad. |
(107) |
De Commissie kan vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau meer waarborgt. De doorgifte van persoonsgegevens naar dat derde land of die internationale organisatie dient dan te worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot doorgiften die onderworpen zijn aan passende waarborgen, met inbegrip van bindende bedrijfsvoorschriften, en afwijkingen voor specifieke situaties wordt voldaan. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie moet het derde land of de internationale organisatie tijdig op de hoogte brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen. |
(108) |
Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn toegestaan door een toezichthoudende autoriteit. Die waarborgen moeten de naleving van gegevensbeschermingsvereisten en de geldende rechten van de betrokkenen voor verwerkingen binnen de Unie waarborgen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende beroepen, zoals het instellen van administratief beroep of beroep in rechte en het eisen van een vergoeding in de Unie of in een derde land. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door overheidsinstanties of -organen met overheidsinstanties of -organen in derde landen of met internationale organisaties met overeenkomstige taken en functies, ook op basis van bepalingen die moeten worden opgenomen in administratieve regelingen, zoals een memorandum van overeenstemming met afdwingbare en bruikbare rechten voor betrokkenen. De toestemming van de bevoegde toezichthoudende autoriteit zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen. |
(109) |
Dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de standaardbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of geen andere bepalingen of extra waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming. |
(110) |
Een concern of een groepering van ondernemingen die een gezamenlijke economische activiteit beoefent, dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde concern of dezelfde groepering van ondernemingen die een gezamenlijke economische activiteit beoefent te kunnen gebruikmaken van goedgekeurde bindende bedrijfsvoorschriften, mits daarin alle essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens. |
(111) |
Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft, waaronder procedures bij regelgevingsinstanties. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht of het lidstatelijke recht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën van gegevens worden verstrekt; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene. |
(112) |
Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld in geval van opsporing van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van een belang dat essentieel is voor de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht of het lidstatelijke recht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën van gegevens naar een derde land of een internationale organisatie. De lidstaten moeten dergelijke bepalingen aan de Commissie meedelen. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene. |
(113) |
Doorgiften die als niet repetitief kunnen worden omschreven en slechts een klein aantal betrokkenen betreffen, dienen ook mogelijk te zijn voor de behartiging van dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke, wanneer de belangen of de rechten en vrijheden van de betrokkene niet zwaarder wegen dan die belangen en wanneer de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. De verwerkingsverantwoordelijke besteedt bijzondere aandacht aan de aard van de persoonsgegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsmede aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en moet voorzien in passende waarborgen ter bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens. Zulke doorgiften mogen alleen mogelijk zijn in restgevallen waarbij de overige gronden voor doorgifte niet van toepassing zijn. Met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden dient rekening te worden gehouden met de gerechtvaardigde verwachting van de maatschappij dat er sprake is van kennisvermeerdering. De verwerkingsverantwoordelijke dient de toezichthoudende autoriteit en de betrokkene van de doorgifte op de hoogte te stellen. |
(114) |
Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en bruikbare rechten in de Unie verlenen met betrekking tot de verwerking ervan opdat zij de grondrechten en waarborgen kunnen blijven genieten. |
(115) |
Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke personen en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke beslissingen of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een geldende internationale overeenkomst, zoals een verdrag inzake wederzijds rechtshulp, tussen het verzoekende derde land en de Unie of de lidstaat in kwestie. De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte aan derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht of het lidstatelijke recht waarvan de verwerkingsverantwoordelijke onderdaan is. |
(116) |
Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland. Met het oog op de ontwikkeling van internationale samenwerkingsmechanismen om bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens internationale wederzijdse bijstand te faciliteren en te verlenen, moeten de Commissie en de toezichthoudende autoriteiten bij activiteiten op het gebied van de uitoefening van hun bevoegdheden informatie uitwisselen en samenwerken met bevoegde autoriteiten in derde landen, op basis van wederkerigheid en overeenkomstig deze verordening. |
(117) |
Het is voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die bevoegd is haar taken en bevoegdheden volstrekt onafhankelijk uit te oefenen. De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. |
(118) |
De onafhankelijkheid van de toezichthoudende autoriteiten houdt niet in dat de toezichthoudende autoriteiten niet kunnen worden onderworpen aan controle- of toezichtsmechanismen betreffende hun financiële uitgaven of aan rechterlijke toetsing. |
(119) |
Wanneer een lidstaat meerdere toezichthoudende autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan het coherentiemechanisme. De lidstaat in kwestie dient met name de toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het Comité en de Commissie te verzekeren. |
(120) |
Iedere toezichthoudende autoriteit dient te beschikken over de financiële en personele middelen en de bedrijfsruimten en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. Iedere toezichthoudende autoriteit dient over een eigen, openbare jaarlijkse begroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. |
(121) |
De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat de leden door middel van een transparante procedure hetzij door het parlement, de regering of het staatshoofd van de lidstaat worden benoemd op voordracht van de regering, een lid van de regering, het parlement of een kamer van het parlement, hetzij door een daartoe bij lidstatelijk recht belaste onafhankelijke instantie. Teneinde de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met hun taken en gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met hun taken. De toezichthoudende autoriteit dient over eigen personeelsleden te beschikken, geselecteerd door de toezichthoudende autoriteit of een bij lidstatelijk recht ingestelde onafhankelijke instantie die bij uitsluiting onder leiding van de leden van de toezichthoudende autoriteit moet staan. |
(122) |
Elke toezichthoudende autoriteit dient op het grondgebied van haar lidstaat bevoegd te zijn om de bevoegdheden en taken uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Daaronder dienen met name te vallen: de verwerking in het kader van de activiteiten van een vestiging van de verwerkingsverantwoordelijke of de verwerker op het grondgebied van zijn eigen lidstaat, de verwerking van persoonsgegevens door overheidsinstanties of particuliere organen die optreden in het algemeen belang, verwerking die gevolgen heeft voor betrokkenen op haar grondgebied, of verwerking, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, gericht op betrokkenen die op haar grondgebied verblijven. Ook het behandelen van door een betrokkene ingediende klachten, het evalueren van de toepassing van deze verordening en het beter bekend maken van het brede publiek met de risico’s, regels, waarborgen en de rechten in verband met de verwerking van persoonsgegevens dienen daaronder te vallen. |
(123) |
De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze verordening vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Daarom dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken, zonder dat er een akkoord tussen de lidstaten nodig is over het verstrekken van wederzijdse bijstand of over zulke samenwerking. |
(124) |
Wanneer de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in Unie plaatsvindt en de werkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, of wanneer de verwerking die in het kader van de activiteiten van een enkele vestiging van een verwerkingsverantwoordelijke of een verwerker in Unie plaatsvindt, wezenlijke gevolgen heeft of waarschijnlijk wezenlijke gevolgen zal hebben voor betrokkenen in meer dan één lidstaat, dient de toezichthoudende autoriteit van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker of van de ene vestiging van de verwerkingsverantwoordelijke of verwerker als de leidende toezichthoudende autoriteit op te treden. Zij dient met de andere betrokken toezichthoudende autoriteiten samen te werken, omdat de verwerkingsverantwoordelijke of de verwerker een vestiging op het grondgebied van hun lidstaat heeft, omdat op hun grondgebied verblijvende betrokkenen wezenlijk worden geraakt, of omdat er bij hen een klacht is ingediend. Wanneer een niet in die lidstaat verblijvende betrokkene een klacht heeft ingediend, dient de toezichthoudende autoriteit waarbij die klacht is ingediend, ook een betrokken toezichthoudende autoriteit te worden. In het kader van zijn taken om richtsnoeren betreffende vragen over de toepassing van deze verordening uit te vaardigen, moet het Comité richtsnoeren kunnen uitvaardigen, met name over de in aanmerking te nemen criteria om na te gaan of de verwerking in kwestie wezenlijke gevolgen heeft voor betrokkenen in meer dan één lidstaat, alsmede over wat een relevant en gemotiveerd bezwaar vormt. |
(125) |
De leidende toezichthoudende autoriteit moet bevoegd zijn om bindende besluiten vast te stellen betreffende maatregelen ter toepassing van de overeenkomstig deze verordening aan haar toegekende bevoegdheden. In haar hoedanigheid van leidende toezichthoudende autoriteit moet de toezichthoudende autoriteit de betrokken toezichthoudende autoriteiten nauw betrekken en coördineren in het besluitvormingsproces. Wanneer wordt besloten om de klacht van de betrokkene geheel of gedeeltelijk te verwerpen, moet dat besluit worden vastgesteld door de toezichthoudende autoriteit bij wie de klacht is ingediend. |
(126) |
Het besluit dient gezamenlijk door de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten te worden goedgekeurd, gericht te zijn aan de hoofdvestiging of enige vestiging van de verwerkingsverantwoordelijke of de verwerker en bindende gevolgen te hebben voor de verwerkingsverantwoordelijke of de verwerker. De verwerkingsverantwoordelijke of de verwerker dient de nodige maatregelen te treffen om deze verordening na te leven en om het door de leidende toezichthoudende autoriteit aan de hoofdvestiging van de verwerkingsverantwoordelijke of de verwerker meegedeelde besluit betreffende de verwerkingsactiviteiten in de Unie uit te voeren. |
(127) |
Elke toezichthoudende autoriteit die niet optreedt als de leidende toezichthoudende autoriteit, dient bevoegd te zijn lokale gevallen te behandelen waarbij de verwerkingsverantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, maar waarbij het onderwerp van de specifieke verwerking alleen een in een enkele lidstaat verrichte verwerking betreft en daarbij alleen personen uit die ene lidstaat zijn betrokken, bijvoorbeeld wanneer het de verwerking van persoonsgegevens van werknemers in de specifieke arbeidsmarktcontext van een lidstaat betreft. In dergelijke gevallen dient de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld van de zaak in kennis te stellen. Nadat zij op de hoogte is gesteld, dient de leidende toezichthoudende autoriteit te besluiten of zij de zaak zal behandelen krachtens de bepaling inzake samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende autoriteit („één-loketmechanisme”), dan wel of de toezichthoudende autoriteit die haar van de zaak in kennis heeft gesteld, deze op lokaal niveau dient te behandelen. Wanneer de leidende toezichthoudende autoriteit besluit of zij de zaak al dan niet zal behandelen, dient zij rekening te houden met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld, opdat kan worden gegarandeerd dat een beslissing daadwerkelijk ten uitvoer wordt gelegd ten aanzien van de verwerkingsverantwoordelijke of de verwerker. Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, dient de toezichthoudende autoriteit die haar in kennis heeft gesteld, de mogelijkheid te hebben een ontwerp van besluit in te dienen, en dient de leidende toezichthoudende autoriteit daarmee maximaal rekening te houden wanneer zij haar ontwerpbesluit in het kader van dat één-loketmechanisme opstelt. |
(128) |
De regels betreffende de leidende toezichthoudende autoriteit en het één-loketmechanisme mogen niet gelden wanneer de verwerking door overheidsinstanties of particuliere organen in het algemeen belang wordt verricht. In die gevallen dient de toezichthoudende autoriteit van de lidstaat waar de overheidsinstantie of het particuliere orgaan is gevestigd, de enige overeenkomstig deze verordening bevoegde toezichthoudende autoriteit te zijn. |
(129) |
Met het oog op een consequent toezicht en eenvormige handhaving van deze verordening in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om, onverminderd de bevoegdheden die aan de met vervolging belaste autoriteiten conform het lidstatelijke recht zijn toegekend, inbreuken op deze verordening ter kennis van de rechterlijke instanties te brengen en gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking, waaronder een verwerkingsverbod, voor de verwerking op te leggen. De lidstaten kunnen krachtens deze verordening andere aan de bescherming van persoonsgegevens verwante taken specificeren. De bevoegdheden van de toezichthoudende autoriteiten moeten overeenkomstig passende in het Unierecht en het lidstatelijke recht bepaalde procedurele waarborgen, onpartijdig, behoorlijk en binnen een redelijke termijn worden uitgeoefend. Elke maatregel dient met name passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening en rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te eerbiedigen om vóór het nemen van enige individuele maatregel die voor hem nadelige gevolgen zou hebben te worden gehoord, en overbodige kosten en buitensporige ongemakken voor de personen in kwestie te vermijden. Onderzoeksbevoegdheden betreffende toegang tot terreinen moeten overeenkomstig de specifieke voorschriften van het lidstatelijke procesrecht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, worden uitgeoefend. Elke juridisch bindende maatregel van de toezichthoudende autoriteit dient schriftelijk, duidelijk en ondubbelzinnig te zijn, de toezichthoudende autoriteit die de maatregel heeft uitgevaardigd en de datum van uitvaardiging te vermelden, door het hoofd of een door het hoofd gemachtigd lid van de toezichthoudende autoriteit ondertekend te zijn, de redenen voor de maatregel te bevatten en naar het recht op een doeltreffende voorziening in rechte te verwijzen. Dit dient bijkomende voorschriften overeenkomstig het lidstatelijke procesrecht niet uit te sluiten. De vaststelling van juridisch bindende besluiten impliceert de mogelijkheid tot rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld. |
(130) |
Wanneer de toezichthoudende autoriteit waarbij de klacht is ingediend, niet de leidende toezichthoudende autoriteit is, dient de leidende toezichthoudende autoriteit overeenkomstig de bepalingen van deze verordening betreffende samenwerking en coherentie nauw samen te werken met de toezichthoudende autoriteit waarbij de klacht is ingediend. In dergelijke gevallen dient de leidende toezichthoudende autoriteit bij het nemen van maatregelen die rechtsgevolgen beogen te hebben, waaronder het opleggen van administratieve geldboeten, verregaand rekening te houden met het standpunt van de toezichthoudende autoriteit waarbij de klacht is ingediend en die bevoegd moet blijven om, in overleg met de leidende toezichthoudende autoriteit, elk onderzoek te verrichten op het grondgebied van haar eigen lidstaat. |
(131) |
Indien een andere toezichthoudende autoriteit als leidende toezichthoudende autoriteit dient op te treden voor de verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker, maar het voorwerp van een klacht of een mogelijke inbreuk alleen verwerkingsactiviteiten van de verwerkingsverantwoordelijke of de verwerker in de lidstaat waar de klacht is ingediend of waar de inbreuk is opgespoord betreft en het geval geen wezenlijke gevolgen heeft of dreigt te hebben voor betrokkenen in andere lidstaten, dient de toezichthoudende autoriteit waarbij een klacht wordt ingediend, of die situaties die mogelijke inbreuken op deze verordening inhouden, op het spoor is gekomen of er op een andere manier over wordt geïnformeerd, te trachten een minnelijke schikking met de verwerkingsverantwoordelijke te treffen en, indien dit niet mogelijk is, de volle reikwijdte van haar bevoegdheden uit te oefenen. Daaronder dienen te vallen: specifieke verwerking op het grondgebied van de lidstaat van de toezichthoudende autoriteit of met betrekking tot betrokkenen op het grondgebied van die lidstaat; verwerking in het kader van een aanbod van goederen of diensten dat specifiek is gericht op betrokkenen op het grondgebied van de lidstaat van de toezichthoudende autoriteit; of verwerking die met inachtneming van de relevante lidstatelijke wettelijke verplichtingen moet worden beoordeeld. |
(132) |
De toezichthoudende autoriteiten dienen bij voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor de verwerkingsverantwoordelijken en de verwerkers, waaronder kleine, middelgrote en micro-ondernemingen, alsmede natuurlijke personen, met name in het onderwijs. |
(133) |
De toezichthoudende autoriteiten dienen elkaar bij de uitvoering van hun taken met het oog op de consequente toepassing en eenvormige handhaving van deze verordening binnen de interne markt bijstand te verlenen. Een om wederzijdse bijstand verzoekende toezichthoudende autoriteit kan een voorlopige maatregel treffen indien het geen antwoord ontvangt op een verzoek om wederzijdse bijstand binnen één maand na ontvangst van dat verzoek door de andere toezichthoudende autoriteit. |
(134) |
Iedere toezichthoudende autoriteit dient in voorkomend geval deel te nemen aan gezamenlijke acties met andere toezichthoudende autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een welbepaalde termijn op het verzoek te reageren. |
(135) |
Om te zorgen dat deze verordening in de gehele Unie consequent wordt toegepast, dient een coherentiemechanisme voor samenwerking tussen de toezichthoudende autoriteiten te worden vastgesteld. Dat mechanisme dient met name toepasselijk te zijn wanneer een toezichthoudende autoriteit voornemens is betreffende verwerkingsactiviteiten met wezenlijke gevolgen voor een betekenisvol aantal betrokkenen in verscheidene lidstaten een maatregel vast te stellen waarmee rechtsgevolgen worden beoogd. Het dient ook van toepassing te zijn wanneer een betrokken toezichthoudende autoriteit of de Commissie verzoekt om een dergelijke aangelegenheid aan het coherentiemechanisme te onderwerpen. Dat mechanisme dient geen afbreuk te doen aan maatregelen die de Commissie kan nemen in de uitoefening van de bevoegdheden die haar bij de Verdragen zijn toegekend. |
(136) |
Bij de toepassing van het coherentiemechanisme dient het Comité binnen een bepaalde termijn een advies uit te brengen, indien een meerderheid van zijn leden daartoe beslist of indien een betrokken toezichthoudende autoriteit of de Commissie daarom verzoekt. Het Comité moet ook bevoegd zijn om juridisch bindende besluiten vast te stellen wanneer er geschillen bestaan tussen toezichthoudende autoriteiten. In welomschreven gevallen waarin er tussen toezichthoudende autoriteiten, met name in de procedure voor samenwerking tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten, meningsverschillen over de zaak bestaan, met name over de vraag of er sprake is van een inbreuk op deze verordening, dient het Comité in beginsel met een tweederdemeerderheid van de leden juridisch bindende besluiten uit te vaardigen. |
(137) |
Er kan dringend moeten worden opgetreden om de rechten en vrijheden van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd. Daarom moet een toezichthoudende autoriteit op haar grondgebied naar behoren gemotiveerde voorlopige maatregelen kunnen treffen met een vastgestelde geldigheidsduur van maximaal drie maanden. |
(138) |
In de gevallen waarin die toetsing verplicht is, dient het verrichten ervan een voorwaarde te zijn voor de rechtmatigheid van een maatregel van een toezichthoudende autoriteit waarmee rechtsgevolgen worden beoogd. In andere grensoverschrijdende gevallen dient de procedure voor samenwerking tussen de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteit te worden toegepast. Op een bilaterale of multilaterale basis kan tussen de betrokken toezichthoudende autoriteiten wederzijdse bijstand worden verleend en kunnen er gezamenlijke maatregelen worden uitgevoerd zonder dat zulks aanleiding geeft tot toepassing van het coherentiemechanisme. |
(139) |
Teneinde de consequente toepassing van de verordening te bevorderen, moet het Comité als een onafhankelijk orgaan van de Unie worden opgericht. Ter verwezenlijking van zijn doelstellingen moet het Comité over rechtspersoonlijkheid beschikken. Het Comité dient door zijn voorzitter te worden vertegenwoordigd. Dit comité dient de bij Richtlijn 95/46/EG opgerichte Groep voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te vervangen. Het dient te bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming of hun respectievelijke vertegenwoordigers. De Commissie dient aan de activiteiten van het comité deel te nemen zonder stemrecht en de Europese Toezichthouder voor gegevensbescherming dient specifiek stemrecht te hebben. Het Comité dient bij te dragen aan de consequente toepassing van deze verordening in de Unie, onder meer door de Commissie advies te verlenen, met name over het beschermingsniveau in derde landen of in internationale organisaties, en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen. Het Comité dient bij de uitvoering van zijn taken onafhankelijk op te treden. |
(140) |
Het Comité dient te worden bijgestaan door een secretariaat dat door de Europese Toezichthouder voor gegevensbescherming wordt georganiseerd. De personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de taken die krachtens deze verordening aan het Comité zijn opgedragen, dienen hun taken uitsluitend te verrichten volgens de instructies van de voorzitter van het Comité, en zij dienen aan hem verslag uit te brengen. |
(141) |
Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, en een doeltreffende voorziening in rechte in te stellen overeenkomstig artikel 47 van het Handvest indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten. |
(142) |
Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk, die overeenkomstig het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het publieke belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij een toezichthoudende autoriteit, om namens betrokkenen het recht op een voorziening in rechte uit te oefenen, of om namens betrokkenen het recht op de ontvangst van een vergoeding uit te oefenen indien dit in het lidstatelijke recht is voorzien. De lidstaten kunnen bepalen dat deze organen, organisaties of verenigingen over het recht beschikken om, ongeacht een eventuele machtiging door een betrokkene, in die lidstaat een klacht in te dienen en over het recht op een doeltreffende voorziening in rechte, indien zij redenen hebben om aan te nemen dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die inbreuk maakt op deze verordening. Voor deze organen, organisaties of verenigingen kan worden bepaald dat zij niet het recht hebben om namens een betrokkene een vergoeding te eisen buiten de machtiging door de betrokkene om. |
(143) |
Iedere natuurlijke persoon of rechtspersoon heeft het recht om bij het Hof van Justitie een beroep tot nietigverklaring in te stellen tegen een besluit van het Comité, onder de in artikel 263 VWEU bedoelde voorwaarden. Als adressaten van dergelijke besluiten dienen de betrokken toezichthoudende autoriteiten die wensen op te komen tegen deze besluiten, binnen twee maanden na de kennisgeving ervan beroep in te stellen overeenkomstig artikel 263 VWEU. Wanneer de verwerkingsverantwoordelijke, de verwerker of de klager rechtstreeks en individueel wordt geraakt door besluiten van het Comité, kan hij binnen twee maanden na de bekendmaking ervan op de website van het Comité een beroep tot nietigverklaring van deze besluiten instellen overeenkomstig artikel 263 VWEU. Onverminderd dit recht uit hoofde van artikel 263 VWEU dient iedere natuurlijke of rechtspersoon het recht te hebben om tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft, voor het bevoegde nationale gerecht een doeltreffende voorziening in rechte in te stellen. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening van met onderzoek, correctie en toestemming verband houdende bevoegdheden door de toezichthoudende autoriteit, of op de afwijzing van klachten. Het recht een doeltreffende voorziening in rechte in te stellen geldt echter niet voor door de toezichthoudende autoriteiten getroffen maatregelen die niet juridisch bindend zijn, zoals adviezen. Een vordering tegen een toezichthoudende autoriteit dient te worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd, en dient in overeenstemming te zijn met het procesrecht van die lidstaat. Die gerechten dienen volledige rechtsmacht uit te oefenen, waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het bij hen aanhangige geschil te onderzoeken. Wordt een klacht door een toezichthoudende autoriteit afgewezen, dan kan de klager beroep instellen bij de gerechten in dezelfde lidstaat. In het kader van de rechtsbevoegdheid in verband met de toepassing van deze verordening, kunnen, of, in het geval van artikel 267 VWEU, moeten de nationale gerechten die van oordeel zijn dat een beslissing ter zake noodzakelijk is voor het wijzen van hun vonnis, het Hof van Justitie verzoeken om een prejudiciële beslissing over de uitlegging van het Unierecht, met inbegrip van deze verordening. Bovendien, wanneer een besluit van een toezichthoudende autoriteit tot uitvoering van een besluit van het Comité wordt betwist voor een nationaal gerecht en de geldigheid van het besluit van het Comité aan de orde is, heeft dat nationale gerecht niet de bevoegdheid om het besluit van het Comité ongeldig te verklaren, maar dient zij, wanneer zij het besluit ongeldig acht, de vraag inzake de geldigheid voor te leggen aan het Hof van Justitie overeenkomstig artikel 267 VWEU zoals uitgelegd door het Hof van Justitie. Een nationaal gerecht kan een vraag inzake de geldigheid van een besluit van het Comité echter niet aan het Hof voorleggen op verzoek van een natuurlijke of rechtspersoon die de mogelijkheid had om beroep tot nietigverklaring van dat besluit in te stellen, met name wanneer hij rechtstreeks en individueel door dat besluit was geraakt, maar dit niet heeft gedaan binnen de in artikel 263 VWEU gestelde termijn. |
(144) |
Wanneer een gerecht waarbij een procedure aanhangig is gemaakt tegen een besluit van een toezichthoudende autoriteit redenen heeft om aan te nemen dat er bij een bevoegd gerecht in een andere lidstaat al een procedure is ingeleid in verband met dezelfde verwerking, waarbij het bijvoorbeeld kan gaan om hetzelfde onderwerp van de verwerking, dezelfde activiteiten van de verwerkingsverantwoordelijke of de verwerker, of dezelfde aanleiding, neemt zij contact op met die instantie om het bestaan van de verwante procedure te verifiëren. Indien er voor een gerecht in een andere lidstaat een verwante procedure aanhangig is, kan ieder ander gerecht dan dat welk als eerste is aangezocht zijn procedure schorsen, of kan het op verzoek van een van de partijen tot verwijzing naar het eerst aangezochte gerecht overgaan, indien dat gerecht bevoegd is om van de procedure in kwestie kennis te nemen en mits zijn wetgeving de voeging van die verwante procedures toestaat. Verwante procedures zijn procedures waartussen een zo nauwe band bestaat dat een goede rechtsbedeling vraagt om hun gelijktijdige behandeling en berechting, teneinde te vermijden dat bij afzonderlijke procedures onverenigbare beslissingen worden gegeven. |
(145) |
Voor procedures tegen een verwerkingsverantwoordelijke of een verwerker dient de klager te kunnen kiezen om de zaak aanhangig te maken bij de gerechten in de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft, of dit te doen in de lidstaat waar de betrokkene verblijft, tenzij de verwerkingsverantwoordelijke een overheidsinstantie van een lidstaat is die krachtens overheidsbevoegdheid handelt. |
(146) |
De verwerkingsverantwoordelijke of de verwerker moeten alle schade vergoeden die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op deze verordening. De verwerkingsverantwoordelijke of de verwerker moet van zijn aansprakelijkheid worden vrijgesteld indien hij bewijst dat hij niet verantwoordelijk is voor de schade. Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Dit laat eventuele eisen tot schadeloosstelling wegens inbreuken op andere regels in het Unierecht of het lidstatelijke recht onverlet. Onder verwerking die inbreuk maakt op deze verordening, valt eveneens een verwerking die inbreuk maakt op gedelegeerde handelingen en uitvoeringshandelingen die werden vastgesteld overeenkomstig deze verordening, alsmede het lidstatelijke recht waarin in deze verordening vervatte regels worden gespecificeerd. De betrokkenen dienen volledige en daadwerkelijke vergoeding van door hen geleden schade te ontvangen. Wanneer verwerkingsverantwoordelijken of verwerkers betrokken zijn bij dezelfde verwerking, dienen zij elk voor de volledige schade aansprakelijk te worden gehouden. Wanneer zij evenwel overeenkomstig het lidstatelijke recht zijn gevoegd in dezelfde gerechtelijke procedure, kan elke verwerkingsverantwoordelijke of verwerker overeenkomstig zijn aandeel in de verantwoordelijkheid voor de schade die door de verwerking werd veroorzaakt, een deel van de vergoeding dragen, mits de betrokkene die schade heeft geleden volledig en daadwerkelijk wordt vergoed. Iedere verwerkingsverantwoordelijke of verwerker die de volledige vergoeding heeft betaald kan vervolgens een regresvordering instellen tegen andere verwerkingsverantwoordelijken of verwerkers die bij dezelfde verwerking betrokken zijn. |
(147) |
Wanneer deze verordening voorziet in specifieke bevoegdheidsregels, met name wat betreft procedures die een voorziening in rechte, met inbegrip van schadeloosstelling, tegen een verwerkingsverantwoordelijke of verwerker beogen, dienen algemene bevoegdheidsregels, zoals die van Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad (13), geen afbreuk te doen aan de toepassing van die specifieke regels. |
(148) |
Met het oog op een krachtiger handhaving van de regels van deze verordening dienen straffen, met inbegrip van administratieve geldboeten, te worden opgelegd voor elke inbreuk op de verordening, naast of in plaats van passende maatregelen die door de toezichthoudende autoriteiten ingevolge deze verordening worden opgelegd. Indien het gaat om een kleine inbreuk of indien de te verwachten geldboete een onevenredige last zou berokkenen aan een natuurlijk persoon, kan in plaats van een geldboete worden gekozen voor een berisping. Er dient evenwel rekening te worden gehouden met de aard, de ernst en de duur van de inbreuk, met het opzettelijke karakter van de inbreuk, met schadebeperkende maatregelen, met de mate van verantwoordelijkheid, of met eerdere relevante inbreuken, met de wijze waarop de inbreuk ter kennis van de toezichthoudende autoriteit is gekomen, met de naleving van de maatregelen die werden genomen tegen de verwerkingsverantwoordelijke of de verwerker, met de aansluiting bij een gedragscode en met alle andere verzwarende of verzachtende factoren. Het opleggen van straffen, met inbegrip van administratieve geldboeten, moet onderworpen zijn aan passende procedurele waarborgen overeenkomstig de algemene beginselen van het Unierecht en het Handvest, waaronder een doeltreffende voorziening in rechte en een eerlijke rechtsbedeling. |
(149) |
De lidstaten moeten de regels betreffende straffen voor inbreuken op deze verordening kunnen vaststellen, onder meer voor inbreuken op nationale regels ingevolge en binnen de grenzen van deze verordening. Die straffen kunnen ook inhouden dat de via inbreuken op deze verordening verkregen winsten worden afgedragen. Het opleggen van straffen voor inbreuken op dergelijke nationale regels en van administratieve sancties mag evenwel niet resulteren in de inbreuk op het ne-bis-in-idembeginsel, zoals uitgelegd door het Hof van Justitie. |
(150) |
Teneinde de administratieve straffen tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve geldboeten op te leggen. In deze verordening dienen inbreuken te worden benoemd, evenals maxima en criteria voor de vaststelling van de daaraan verbonden administratieve geldboeten, die per afzonderlijk geval dienen te worden bepaald door de bevoegde toezichthoudende autoriteit, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van met name de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de administratieve geldboeten worden opgelegd aan een onderneming, moet een onderneming in die context worden gezien als een onderneming overeenkomstig de artikelen 101 en 102 van het VWEU. Wanneer administratieve geldboeten worden opgelegd aan personen die geen onderneming zijn, moet de toezichthoudende autoriteit bij het bepalen van een passend bedrag voor de geldboete rekening houden met het algemene inkomensniveau in de lidstaat en de economische situatie van de persoon in kwestie. Het coherentiemechanisme kan ook worden gebruikt ter bevordering van een consequente toepassing van administratieve geldboeten. Het dient aan de lidstaten te zijn om te bepalen of en in hoeverre overheidsinstanties aan administratieve geldboeten moeten zijn onderworpen. Het opleggen van een administratieve geldboete of het geven van een waarschuwing heeft geen gevolgen voor de uitoefening van andere bevoegdheden van de toezichthoudende autoriteiten of voor het toepassen van andere sancties uit hoofde van deze verordening. |
(151) |
De rechtssystemen van Denemarken en Estland laten de in deze verordening beschreven administratieve geldboeten niet toe. De regels over administratieve geldboeten kunnen op een zodanige wijze worden toegepast dat de boete in Denemarken als een strafrechtelijke sanctie door een bevoegd gerecht, en in Estland in het kader van een procedure voor strafbare feiten door de toezichthoudende autoriteit wordt opgelegd, op voorwaarde dat deze toepassingen van de regels in die lidstaten eenzelfde werking hebben als administratieve geldboeten die door toezichthoudende autoriteiten worden opgelegd. Daarom dienen de bevoegde nationale gerechten rekening te houden met de aanbeveling van de toezichthoudende autoriteit die de boete heeft geïnitieerd. De boeten dienen in elk geval doeltreffend, evenredig en afschrikkend te zijn. |
(152) |
Waar deze verordening niet voorziet in een harmonisering van de administratieve straffen of indien nodig in andere gevallen, bijvoorbeeld bij ernstige inbreuken op deze verordening, dienen de lidstaten een systeem toe te passen dat zorgt voor doeltreffende, evenredige en afschrikkende straffen. De aard van die straffen, strafrechtelijk of administratief, dient te worden bepaald in het lidstatelijke recht. |
(153) |
In de wetgeving van de lidstaten moeten de regels betreffende de vrijheid van meningsuiting en van informatie, met inbegrip van journalistieke, academische, artistieke en/of literaire uitdrukkingsvormen in overeenstemming worden gebracht met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening. Voor de verwerking van persoonsgegevens enkel voor journalistieke doeleinden of ten behoeve van academische, artistieke en literaire uitdrukkingsvormen moeten afwijkingen van of uitzonderingen op een aantal bepalingen van deze verordening worden ingesteld, teneinde indien nodig het recht op bescherming van persoonsgegevens te verzoenen met het recht op de vrijheid van meningsuiting en van informatie, zoals dat in artikel 11 van het Handvest is vastgelegd. Dit dient met name te gelden voor de verwerking van persoonsgegevens voor audiovisuele doeleinden en in nieuws- en persarchieven. De lidstaten moeten derhalve wettelijke maatregelen treffen om de uitzonderingen en afwijkingen vast te stellen die nodig zijn om een evenwicht tussen die grondrechten tot stand te brengen. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de verwerkingsverantwoordelijke en de verwerker, de doorgifte van persoonsgegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten, samenwerking en coherentie, en betreffende specifieke situaties op het gebied van gegevensverwerking. Indien die uitzonderingen of afwijkingen per lidstaat verschillen, is het recht van de lidstaat waaraan de verwerkingsverantwoordelijke is onderworpen, van toepassing. Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd. |
(154) |
Deze verordening biedt de mogelijkheid om bij de toepassing daarvan rekening te houden met het beginsel recht van toegang van het publiek tot officiële documenten. De toegang van het publiek tot officiële documenten kan als een algemeen belang worden beschouwd. Persoonsgegevens in documenten die in het bezit zijn van een overheidsinstantie of overheidsorgaan, moeten door die instantie of dat orgaan kunnen worden vrijgegeven, indien in het Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het overheidsorgaan van toepassing is, in de vrijgave van die gegevens wordt voorzien. Die wetgeving moet de toegang van het publiek tot officiële documenten en het hergebruik van overheidsinformatie verzoenen met het recht op bescherming van persoonsgegevens, en mag derhalve voorzien in de noodzakelijke afstemming op het recht op de bescherming van persoonsgegevens krachtens deze verordening. De verwijzing naar overheidsinstanties en -organen in die context moet alle autoriteiten en andere organen die onder het lidstatelijke recht inzake de toegang van het publiek tot documenten vallen, omvatten. Richtlijn 2003/98/EG van het Europees Parlement en de Raad (14) doet geen afbreuk aan en heeft geen gevolgen voor het niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens uit hoofde van het Unierecht en het lidstatelijke recht, en houdt met name geen wijziging in van de in deze verordening vastgestelde verplichtingen en rechten. Meer bepaald mag die richtlijn niet gelden voor documenten die krachtens de toegangsregelingen niet of in beperkte mate mogen worden ingezien omwille van de bescherming van persoonsgegevens, en voor delen van documenten die krachtens die regelingen mogen worden ingezien, maar die persoonsgegevens bevatten waarvan het hergebruik bij wet onverenigbaar is verklaard met het recht inzake bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. |
(155) |
In het lidstatelijke recht of in collectieve overeenkomsten, met inbegrip van „bedrijfsovereenkomsten”, kunnen specifieke regels worden vastgesteld voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, met name voor de voorwaarden waaronder persoonsgegevens in de arbeidsverhouding op basis van de toestemming van de werknemer mogen worden verwerkt, voor de aanwerving, voor de uitvoering van de arbeidsovereenkomst, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, voor het beheer, de planning en de organisatie van de arbeid, voor gelijkheid, diversiteit, gezondheid en veiligheid op het werk, voor de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en voor de beëindiging van de arbeidsverhouding. |
(156) |
De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen overeenkomstig deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel gegevensminimalisering te verzekeren. De verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek, of statistische doeleinden dient te worden uitgevoerd wanneer de verwerkingsverantwoordelijke heeft beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan,zoals de pseudonimisering van de persoonsgegevens. De lidstaten dienen passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. De lidstaten dienen te worden gemachtigd om, onder specifieke voorwaarden en met passende waarborgen voor de betrokkenen, nader te bepalen welke specificaties en afwijkingen gelden voor de informatievoorschriften, en te voorzien in het recht op rectificatie, het recht op wissing, het recht op vergetelheid, het recht op beperking van de verwerking en het recht van gegevensoverdraagbaarheid en het recht van bezwaar tegen verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. Indien dit tegen de achtergrond van de met de specifieke verwerking beoogde doeleinden passend is, kunnen in de genoemde voorwaarden en waarborgen specifieke procedures voor de uitoefening van deze rechten door betrokkenen worden opgenomen, in combinatie met technische en organisatorische maatregelen om, in het licht van de evenredigheids- en noodzaakbeginselen, het verwerken van persoonsgegevens tot een minimum te beperken. De verwerking van persoonsgegevens voor wetenschappelijke doeleinden dient ook te voldoen aan andere toepasselijke wetgeving, zoals die over klinische proeven. |
(157) |
Door gegevens uit verschillende registers te koppelen, kunnen onderzoekers nieuwe en zeer waardevolle kennis verwerven over veel voorkomende medische aandoeningen zoals hart- en vaatziekten, kanker en depressie. Omdat zij op een groter deel van de bevolking zijn gebaseerd, kunnen onderzoeksresultaten met behulp van registers worden verbeterd. In de sociale wetenschappen kunnen wetenschappers dankzij registeronderzoek essentiële kennis verwerven over de wisselwerking op lange termijn van een aantal sociale factoren, zoals werkloosheid en onderwijs met andere levensomstandigheden. Onderzoeksresultaten die door middel van registers worden verkregen, leveren solide kennis van hoge kwaliteit op, die kan worden gebruikt om een op kennis gebaseerd beleid te ontwikkelen en te implementeren, de levenskwaliteit van een deel van de bevolking te verbeteren, en sociale diensten efficiënter te maken. Daarom moet, teneinde wetenschappelijk onderzoek te faciliteren, worden bepaald dat persoonsgegevens, met inachtneming van de passende voorwaarden en waarborgen die in het Unierecht of het lidstatelijke recht zijn vastgesteld, met het oog op wetenschappelijk onderzoek mogen worden verwerkt. |
(158) |
Wanneer persoonsgegevens voor archiveringsdoeleinden worden verwerkt, dient deze verordening ook voor verwerking met dit doel te gelden, met dien verstande dat deze verordening niet van toepassing mag zijn op persoonsgegevens van overleden personen. Overheidsinstanties of openbare of particuliere organen die in het bezit zijn van gegevens van algemeen belang moeten diensten zijn die, conform het Unierecht of het lidstatelijke recht, wettelijk verplicht zijn gegevens van blijvende waarde voor het algemeen belang te verwerven, te bewaren, te beoordelen, te ordenen, te beschrijven, mee te delen, onder de aandacht te brengen, te verspreiden en toegankelijk te maken. De lidstaten moeten tevens worden gemachtigd om te bepalen dat persoonsgegevens voor archiveringsdoeleinden verder mogen worden verwerkt, bijvoorbeeld met het oog op het verstrekken van specifieke informatie over het politiek gedrag onder voormalige totalitaire regimes, over genocide, misdaden tegen de menselijkheid, met name de Holocaust, of over oorlogsmisdaden. |
(159) |
Wanneer persoonsgegevens met het oog op wetenschappelijk onderzoek worden verwerkt, moet deze verordening ook op verwerking met dat doel van toepassing zijn. Voor de toepassing van deze verordening moet de verwerking van persoonsgegevens met het oog op wetenschappelijk onderzoek ruim worden opgevat en bijvoorbeeld technologische ontwikkeling en demonstratie, fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek omvatten. Bovendien dient de doelstelling van de Unie uit hoofde van artikel 179, lid 1, VWEU, te weten de totstandbrenging van een Europese onderzoeksruimte, in acht te worden genomen. Wetenschappelijke onderzoeksdoeleinden omvatten ook studies op het gebied van de volksgezondheid die in het algemeen belang worden gedaan. Om als verwerking van persoonsgegevens et het oog op wetenschappelijk onderzoek te worden aangemerkt, moet de verwerking aan specifieke voorwaarden voldoen, met name wat betreft het publiceren of anderszins openbaar maken van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden. Indien de resultaten van wetenschappelijk onderzoek, met name op het gebied van gezondheid, aanleiding geven tot verdere maatregelen in het belang van de betrokkene, zijn met het oog op deze maatregelen de algemene regels van deze verordening van toepassing. |
(160) |
Wanneer persoonsgegevens met het oog op historisch onderzoek worden verwerkt, dient deze verordening ook voor verwerking met dat doel te gelden. Dit dient ook historisch onderzoek en onderzoek voor genealogische doeleinden te omvatten, met dien verstande dat deze verordening niet van toepassing mag zijn op overleden personen. |
(161) |
Wat betreft de toestemming voor deelname aan wetenschappelijke onderzoeksactiviteiten in klinische proeven dienen de desbetreffende bepalingen van Verordening (EU) nr. 536/2014 van het Europees Parlement en de Raad (15) van toepassing te zijn. |
(162) |
Wanneer persoonsgegevens voor statistische doeleinden worden verwerkt, dient deze verordening voor verwerking met dat doel te gelden. Bepalingen betreffende statistische inhoud, toegangscontrole, specificaties voor het verwerken van persoonsgegevens voor statistische doeleinden en passende maatregelen ter bescherming van de rechten en vrijheden van de betrokkene en ter verzekering van statistische geheimhouding dienen, binnen de grenzen van deze verordening, in het Unierecht of het lidstatelijke recht te worden vastgesteld. Onder statistische doeleinden wordt verstaan het verzamelen en verwerken van persoonsgegevens die nodig zijn voor statistische onderzoeken en voor het produceren van statistische resultaten. Die statistische resultaten kunnen ook voor andere doeleinden worden gebruikt, onder meer voor wetenschappelijke onderzoeksdoeleinden. doeleindenHet statistische oogmerk betekent dat het resultaat van de verwerking voor statistische doeleinden niet uit persoonsgegevens, maar uit geaggregeerde gegevens bestaat, en dat dit resultaat en de persoonsgegevens niet worden gebruikt als ondersteunend materiaal voor maatregelen of beslissingen die een bepaalde natuurlijke persoon betreffen. |
(163) |
De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen van artikel 338, lid 2, VWEU; nationale statistieken moeten ook aan het lidstatelijke recht voldoen. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (16), bevatten nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken. |
(164) |
Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de verwerkingsverantwoordelijke of de verwerker toegang tot persoonsgegevens en tot zijn bedrijfsruimten te verkrijgen, kunnen de lidstaten binnen de grenzen van deze verordening bij wet specifieke regels vaststellen om het beroepsgeheim of andere gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op bescherming van persoonsgegevens met het beroepsgeheim te verzoenen. Daarbij worden de in de lidstaten geldende verplichtingen om de regels van het beroepsgeheim na te leven wanneer het Unierecht zulks vereist, onverlet gelaten. |
(165) |
Overeenkomstig artikel 17 VWEU eerbiedigt deze verordening de status die kerken en religieuze verenigingen en gemeenschappen volgens het vigerende constitutioneel recht in de lidstaten hebben, en doet zij daaraan geen afbreuk. |
(166) |
Met het oog op de verwezenlijking van de doelstellingen van deze verordening, namelijk de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, dient aan de Commissie de bevoegdheid te worden verleend om overeenkomstig artikel 290 VWEU handelingen vast te stellen. Met name dienen gedelegeerde handelingen te worden vastgesteld over de criteria en vereisten voor certificeringsmechanismen, de informatie die door gestandaardiseerde icoontjes moet worden weergegeven en over de procedures voor het verstrekken van die icoontjes. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden toereikende raadplegingen verricht, onder meer op deskundigenniveau. De Commissie moet bij de voorbereiding en opstelling van de gedelegeerde handelingen ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad. |
(167) |
Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011. In die context dient de Commissie specifieke maatregelen voor kleine, middelgrote en micro-ondernemingen in overweging te nemen. |
(168) |
De onderzoeksprocedure dient te worden toegepast voor de vaststelling van uitvoeringshandelingen inzake standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers, en tussen verwerkers onderling; gedragscodes; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een welbepaalde sector binnen dat derde land of een internationale organisatie geboden passend beschermingsniveau; standaardbepalingen inzake bescherming; modellen en procedures voor de elektronische uitwisseling van informatie tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten wat bindende bedrijfsvoorschriften betreft; wederzijdse bijstand; en regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité. |
(169) |
Indien uit het beschikbare bewijsmateriaal blijkt dat een derde land, een gebied of een welbepaalde sector in dat derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt en wanneer dwingende redenen van urgentie dat vereisen, dient de Commissie uitvoeringshandelingen vast te stellen die meteen in werking treden. |
(170) |
Daar de doelstelling van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen en van het vrije verkeer van persoonsgegevens in de hele Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie (VEU) neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan nodig is om deze doelstelling te verwezenlijken. |
(171) |
Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Verwerkingen die al gaande zijn op de datum van toepassing van deze verordening, dienen overeenkomstig deze verordening te worden gebracht binnen twee jaar na de inwerkingtreding ervan. Om de verwerkingsverantwoordelijke in staat te stellen na de datum van toepassing van deze verordening de verwerking voort te zetten, hoeft de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming te geven. Besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen die op Richtlijn 95/46/EG zijn gebaseerd, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken. |
(172) |
De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 7 maart 2012 (17) advies uitgebracht. |
(173) |
Deze verordening dient van toepassing te zijn op alle aangelegenheden die betrekking hebben op de bescherming van grondrechten en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens waarvoor de in Richtlijn 2002/58/EG van het Europees Parlement en de Raad (18) opgenomen specifieke verplichtingen met dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de verwerkingsverantwoordelijke en de rechten van natuurlijke personen. Om de verhouding tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd. Zodra deze verordening is vastgesteld, dient Richtlijn 2002/58/EG te worden geëvalueerd, met name om te zorgen voor samenhang met deze verordening, |
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
HOOFDSTUK I
Algemene bepalingen
Artikel 1
Onderwerp en doelstellingen
1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens.
2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
3. Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.
Artikel 2
Materieel toepassingsgebied
1. Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
2. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
a) |
in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; |
b) |
door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van titel V, hoofdstuk 2, VEU vallen; |
c) |
door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit; |
d) |
door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. |
3. Op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie is Verordening (EG) nr. 45/2001 van toepassing. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens worden overeenkomstig artikel 98 aan de beginselen en regels van de onderhavige verordening aangepast.
4. Deze verordening laat de toepassing van Richtlijn 2000/31/EG, en met name van de regels in de artikelen 12 tot en met 15 van die richtlijn betreffende de aansprakelijkheid van als tussenpersoon optredende dienstverleners onverlet.
Artikel 3
Territoriaal toepassingsgebied
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a) |
het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of |
b) |
het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt. |
3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.
Artikel 4
Definities
Voor de toepassing van deze verordening wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
3) „beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;
4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
5) „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
7) „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
8) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
9) „ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;
10) „derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;
11) „toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
12) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
13) „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
14) „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
15) „gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;
16) „hoofdvestiging”:
a) |
met betrekking tot een verwerkingsverantwoordelijke die vestigingen heeft in meer dan één lidstaat, de plaats waar zijn centrale administratie in de Unie is gelegen, tenzij de beslissingen over de doelstellingen van en de middelen voor de verwerking van persoonsgegevens worden genomen in een andere vestiging van de verwerkingsverantwoordelijke die zich eveneens in de Unie bevindt, en die tevens gemachtigd is die beslissingen uit te voeren, in welk geval de vestiging waar die beslissingen worden genomen als de hoofdvestiging wordt beschouwd; |
b) |
met betrekking tot een verwerker die vestigingen in meer dan één lidstaat heeft, de plaats waar zijn centrale administratie in de Unie is gelegen of, wanneer de verwerker geen centrale administratie in de Unie heeft, de vestiging van de verwerker in de Unie waar de voornaamste verwerkingsactiviteiten in het kader van de activiteiten van een vestiging van de verwerker plaatsvinden, voor zover op de verwerker krachtens deze verordening specifieke verplichtingen rusten; |
17) „vertegenwoordiger”: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;
18) „onderneming”: een natuurlijke persoon of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van maatschappen en persoonsvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;
19) „concern”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;
20) „bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens dat een op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker voert met betrekking tot de doorgifte of reeksen van doorgiften van persoonsgegevens aan een verwerkingsverantwoordelijke of verwerker in een of meer derde landen binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen;
21) „toezichthoudende autoriteit”: een door een lidstaat ingevolge artikel 51 ingestelde onafhankelijke overheidsinstantie;
22) „betrokken toezichthoudende autoriteit”: een toezichthoudende autoriteit die betrokken is bij de verwerking van persoonsgegevens omdat:
a) |
de verwerkingsverantwoordelijke of de verwerker op het grondgebied van de lidstaat van die toezichthoudende autoriteit is gevestigd; |
b) |
de betrokkenen die in de lidstaat van die toezichthoudende autoriteit verblijven, door de verwerking wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; of |
c) |
bij die toezichthoudende autoriteit een klacht is ingediend; |
23) „grensoverschrijdende verwerking”:
a) |
verwerking van persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of |
b) |
verwerking van persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden; |
24) „relevant en gemotiveerd bezwaar”: een bezwaar tegen een ontwerpbesluit over het bestaan van een inbreuk op deze verordening of over de vraag of de voorgenomen maatregel met betrekking tot de verwerkingsverantwoordelijke of de verwerker strookt met deze verordening, waarin duidelijk de omvang wordt aangetoond van de risico’s die het ontwerpbesluit inhoudt voor de grondrechten en de fundamentele vrijheden van betrokkenen en, indien van toepassing, voor het vrije verkeer van persoonsgegevens binnen de Unie;
25) „dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (19);
26) „internationale organisatie”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
HOOFDSTUK II
Beginselen
Artikel 5
Beginselen inzake verwerking van persoonsgegevens
1. Persoonsgegevens moeten:
a) |
worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”); |
b) |
voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”); |
c) |
toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”); |
d) |
juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”); |
e) |
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”); |
f) |
door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”). |
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 6
Rechtmatigheid van de verwerking
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) |
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; |
b) |
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; |
c) |
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; |
d) |
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen; |
e) |
de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; |
f) |
de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. |
De eerste alinea, punt f), geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.
2. De lidstaten kunnen specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast; hiertoe kunnen zij een nadere omschrijving geven van specifieke voorschriften voor de verwerking en andere maatregelen om een rechtmatige en behoorlijke verwerking te waarborgen, ook voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX.
3. De rechtsgrond voor de in lid 1, punten c) en e), bedoelde verwerking moet worden vastgesteld bij:
a) |
Unierecht; of |
b) |
lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is. |
Het doel van de verwerking wordt in die rechtsgrond vastgesteld of is met betrekking tot de in lid 1, punt e), bedoelde verwerking noodzakelijk voor de vervulling van een taak van algemeen belang of voor de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Die rechtsgrond kan specifieke bepalingen bevatten om de toepassing van de regels van deze verordening aan te passen, met inbegrip van de algemene voorwaarden inzake de rechtmatigheid van verwerking door de verwerkingsverantwoordelijke; de types verwerkte gegevens; de betrokkenen; de entiteiten waaraan en de doeleinden waarvoor de persoonsgegevens mogen worden verstrekt; de doelbinding; de opslagperioden; en de verwerkingsactiviteiten en -procedures, waaronder maatregelen om te zorgen voor een rechtmatige en behoorlijke verwerking, zoals die voor andere specifieke verwerkingssituaties als bedoeld in hoofdstuk IX. Het Unierecht of het lidstatelijke recht moet beantwoorden aan een doelstelling van algemeen belang en moet evenredig zijn met het nagestreefde gerechtvaardigde doel.
4. Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) |
ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; |
b) |
het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; |
c) |
de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10; |
d) |
de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; |
e) |
het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. |
Artikel 7
Voorwaarden voor toestemming
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Artikel 8
Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
1. Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt.
2. Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.
3. Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.
Artikel 9
Verwerking van bijzondere categorieën van persoonsgegevens
1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
a) |
de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in Unierecht of lidstatelijk recht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; |
b) |
de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij Unierecht of lidstatelijk recht of bij een collectieve overeenkomst op grond van lidstatelijk recht die passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt; |
c) |
de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven; |
d) |
de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; |
e) |
de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; |
f) |
de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid; |
g) |
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene; |
h) |
de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen; |
i) |
de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van Unierecht of lidstatelijk recht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim; |
j) |
de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene. |
3. De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, punt h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.
4. De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren.
Artikel 10
Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.
Artikel 11
Verwerking waarvoor identificatie niet is vereist
1. Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.
2. Wanneer de verwerkingsverantwoordelijke in de in lid 1 van dit artikel bedoelde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 15 tot en met 20 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.
HOOFDSTUK III
Rechten van de betrokkene
Artikel 12
Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a) |
een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel |
b) |
weigeren gevolg te geven aan het verzoek. |
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.
Artikel 13
Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a) |
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; |
b) |
in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, alsook de rechtsgrond voor de verwerking; |
d) |
de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; |
d) |
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; |
e) |
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. |
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a) |
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria ter bepaling van die termijn; |
b) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid; |
c) |
wanneer de verwerking op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; |
d) |
dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; |
e) |
of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt; |
f) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
3. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
4. De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
Artikel 14
Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen
1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a) |
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke; |
b) |
in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking; |
d) |
de betrokken categorieën van persoonsgegevens; |
e) |
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; |
f) |
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 46, artikel 47 of artikel 49, lid 1, tweede alinea, bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd. |
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a) |
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
b) |
de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking op artikel 6, lid 1, punt f), is gebaseerd; |
c) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van persoonsgegevens of om beperking van de hem betreffende verwerking, alsmede het recht tegen verwerking van bezwaar te maken en het recht op gegevensoverdraagbaarheid; |
d) |
wanneer verwerking op artikel 6, lid 1, punt a) of artikel 9, lid 2, punt a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; |
e) |
dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; |
f) |
de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen; |
g) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a) |
binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt; |
b) |
indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of |
c) |
indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt. |
4. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
5. De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:
a) |
de betrokkene reeds over de informatie beschikt; |
b) |
het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. In dergelijke gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het openbaar maken van de informatie; |
c) |
het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij Unie- of lidstatelijk recht dat op de verwerkingsverantwoordelijke van toepassing is en dat recht voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of |
d) |
de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijke recht, waaronder een statutaire geheimhoudingsplicht. |
Artikel 15
Recht van inzage van de betrokkene
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a) |
de verwerkingsdoeleinden; |
b) |
de betrokken categorieën van persoonsgegevens; |
c) |
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties; |
d) |
indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
e) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken; |
f) |
dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit; |
g) |
wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens; |
h) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
2. Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 46 inzake de doorgifte.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
Artikel 16
Recht op rectificatie
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
Artikel 17
Recht op gegevenswissing („recht op vergetelheid”)
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
a) |
de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; |
b) |
de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), berust, in, en er is geen andere rechtsgrond voor de verwerking; |
c) |
de betrokkene maakt overeenkomstig artikel 21, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2; |
d) |
de persoonsgegevens zijn onrechtmatig verwerkt; |
e) |
de persoonsgegevens moeten worden gewist om te voldoen aan een in het Unierecht of het lidstatelijke recht neergelegde wettelijke verplichting die op de verwerkingsverantwoordelijke rust; |
f) |
de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1. |
2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:
a) |
voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie; |
b) |
voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend; |
c) |
om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3; |
d) |
met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen; |
e) |
voor de instelling, uitoefening of onderbouwing van een rechtsvordering. |
Artikel 18
Recht op beperking van de verwerking
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
a) |
de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren; |
b) |
de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan; |
c) |
de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering; |
d) |
de betrokkene heeft overeenkomstig artikel 21, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene. |
2. Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
3. Een betrokkene die overeenkomstig lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
Artikel 19
Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking
De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 20
Recht op overdraagbaarheid van gegevens
1. De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
a) |
de verwerking berust op toestemming uit hoofde van artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), of op een overeenkomst uit hoofde van artikel 6, lid 1, punt b); en |
b) |
de verwerking via geautomatiseerde procedés wordt verricht. |
2. Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van lid 1 heeft de betrokkene het recht dat de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere worden doorgezonden.
3. De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 17 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
4. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen.
Artikel 21
Recht van bezwaar
1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6, lid 1, onder e) of f), van artikel 6, lid 1, met inbegrip van profilering op basis van die bepalingen. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
2. Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing.
3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van direct marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.
4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.
5. In het kader van het gebruik van diensten van de informatiemaatschappij, en niettegenstaande Richtlijn 2002/58/EG, mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
6. Wanneer persoonsgegevens overeenkomstig artikel 89, lid 1, met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, heeft de betrokkene het recht om met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.
Artikel 22
Geautomatiseerde individuele besluitvorming, waaronder profilering
1. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
2. Lid 1 geldt niet indien het besluit:
a) |
noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke; |
b) |
is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of |
c) |
berust op de uitdrukkelijke toestemming van de betrokkene. |
3. In de in lid 2, punten a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.
4. De in lid 2 bedoelde besluiten worden niet gebaseerd op de in artikel 9, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 9, lid 2, punt a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
Artikel 23
Beperkingen
1. De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a) |
de nationale veiligheid; |
b) |
landsverdediging; |
c) |
de openbare veiligheid; |
d) |
de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; |
e) |
andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; |
f) |
de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures; |
g) |
de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; |
h) |
een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen; |
i) |
de bescherming van de betrokkene of van de rechten en vrijheden van anderen; |
j) |
de inning van civielrechtelijke vorderingen. |
2. De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval, ten minste:
a) |
de doeleinden van de verwerking of van de categorieën van verwerking, |
b) |
de categorieën van persoonsgegevens, |
c) |
het toepassingsgebied van de ingevoerde beperkingen, |
d) |
de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte, |
e) |
de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken, |
f) |
de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, |
g) |
de risico’s voor de rechten en vrijheden van de betrokkenen, en |
h) |
het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking. |
HOOFDSTUK IV
Verwerkingsverantwoordelijke en verwerker
Artikel 24
Verantwoordelijkheid van de verwerkingsverantwoordelijke
1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
3. Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.
Artikel 25
Gegevensbescherming door ontwerp en door standaardinstellingen
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.
Artikel 26
Gezamenlijke verwerkingsverantwoordelijken
1. Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Artikel 27
Vertegenwoordigers van niet in de Unie gevestigde verwerkingsverantwoordelijken of verwerkers
1. Wanneer artikel 3, lid 2, van toepassing is, wijst de verwerkingsverantwoordelijke of de verwerker schriftelijk een vertegenwoordiger in de Unie aan.
2. De verplichting vervat in lid 1 van dit artikel geldt niet voor:
a) |
incidentele verwerking die geen grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, betreft noch verwerking van persoonsgegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10, en waarbij de kans gering is dat zij een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, rekening houdend met de aard, de context, de omvang en de verwerkingsdoeleinden; of |
b) |
een overheidsinstantie of overheidsorgaan. |
3. De vertegenwoordiger is gevestigd in een van de lidstaten waar zich de betrokkenen bevinden wier persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt, of wier gedrag wordt geobserveerd.
4. Teneinde de naleving van deze verordening te waarborgen, wordt de vertegenwoordiger door de verwerkingsverantwoordelijke of de verwerker gemachtigd om naast hem of in zijn plaats te worden benaderd, meer bepaald door de toezichthoudende autoriteiten en betrokkenen, over alle met de verwerking verband houdende aangelegenheden.
5. Het feit dat de verwerkingsverantwoordelijke of de verwerker een vertegenwoordiger aanwijzen, doet niet af aan de mogelijkheid om tegen de verwerkingsverantwoordelijke of de verwerker zelf vorderingen in te stellen.
Artikel 28
Verwerker
1. Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
2. De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a) |
de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt; |
b) |
waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; |
c) |
alle overeenkomstig artikel 32 vereiste maatregelen neemt; |
d) |
aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet; |
e) |
rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden; |
f) |
rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36; |
g) |
na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht; |
h) |
de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt. |
Waar het gaat om de eerste alinea, punt h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
4. Wanneer een verwerker een andere verwerker in dienst neemt om voor rekening van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
5. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.
6. Onverminderd een individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 3 en 4 van dit artikel bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 7 en 8 van dit artikel bedoelde standaardcontractbepalingen, ook indien zij deel uitmaken van de certificering die door een verwerkingsverantwoordelijke of verwerker uit hoofde van de artikelen 42 en 43 is verleend.
7. De Commissie kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure standaardcontractbepalingen vaststellen.
8. Een toezichthoudende autoriteit kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens het in artikel 63 bedoelde coherentiemechanisme standaardcontractbepalingen opstellen.
9. De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.
10. Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 82, 83 en 84 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 29
Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.
Artikel 30
Register van de verwerkingsactiviteiten
1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a) |
de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; |
b) |
de verwerkingsdoeleinden; |
c) |
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; |
d) |
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; |
e) |
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; |
f) |
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; |
g) |
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. |
2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
a) |
de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming; |
b) |
de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; |
c) |
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; |
d) |
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. |
3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.
5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.
Artikel 31
Medewerking met de toezichthoudende autoriteit
De verwerkingsverantwoordelijke en de verwerker en, in voorkomend geval, hun vertegenwoordigers, werken desgevraagd samen met de toezichthoudende autoriteit bij het vervullen van haar taken.
Artikel 32
Beveiliging van de verwerking
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) |
de pseudonimisering en versleuteling van persoonsgegevens; |
b) |
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; |
c) |
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; |
d) |
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. |
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.
Artikel 33
Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2. De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) |
de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; |
b) |
de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; |
c) |
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; |
d) |
de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. |
4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
5. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de toezichthoudende autoriteit in staat de naleving van dit artikel te controleren.
Artikel 34
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.
2. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 33, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.
3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
a) |
de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; |
b) |
de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; |
c) |
de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. |
4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.
Artikel 35
Gegevensbeschermingseffectbeoordeling
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.
2. Wanneer een functionaris voor gegevensbescherming is aangewezen, wint de verwerkingsverantwoordelijke bij het uitvoeren van een gegevensbeschermingseffectbeoordeling diens advies in.
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a) |
een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; |
b) |
grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9, lid 1, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10; of |
c) |
stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. |
4. De toezichthoudende autoriteit stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar. De toezichthoudende autoriteit deelt die lijsten mee aan het in artikel 68 bedoelde Comité.
5. De toezichthoudende autoriteit kan ook een lijst opstellen en openbaar maken van het soort verwerking waarvoor geen gegevensbeschermingseffectbeoordeling is vereist. De toezichthoudende autoriteit deelt deze lijst mee aan het Comité.
6. Wanneer de in de leden 4 en 5 bedoelde lijsten betrekking hebben op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen of op het observeren van hun gedrag in verschillende lidstaten, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de bevoegde toezichthoudende autoriteit voorafgaand aan de vaststelling van die lijsten het in artikel 63 bedoelde coherentiemechanisme toe.
7. De beoordeling bevat ten minste:
a) |
een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd; |
b) |
een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; |
c) |
een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen; en |
d) |
de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. |
8. Bij het beoordelen van het effect van de door een verwerkingsverantwoordelijke of verwerker verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van commerciële of algemene belangen of de beveiliging van verwerkingen.
10. Wanneer verwerking uit hoofde van artikel 6, lid 1, onder c) of e), haar rechtsgrond heeft in het Unierecht of in het recht van de lidstaat dat op de verwerkingsverantwoordelijke van toepassing is, de specifieke verwerking of geheel van verwerkingen in kwestie daarbij wordt geregeld, en er reeds als onderdeel van een algemene effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 7 niet van toepassing, tenzij de lidstaten het noodzakelijk achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.
11. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.
Artikel 36
Voorafgaande raadpleging
1. Wanneer uit een gegevensbeschermingseffectbeoordeling krachtens artikel 35 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, raadpleegt de verwerkingsverantwoordelijke voorafgaand aan de verwerking de toezichthoudende autoriteit.
2. Wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de toezichthoudende autoriteit binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag zij al haar in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de toezichthoudende autoriteit de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de toezichthoudende autoriteit informatie heeft verkregen waarom zij met het oog op de raadpleging heeft verzocht.
3. Wanneer de verwerkingsverantwoordelijke de toezichthoudende autoriteit uit hoofde van lid 1 raadpleegt, verstrekt hij haar informatie over:
a) |
indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, bij de verwerking betrokken gezamenlijke verwerkingsverantwoordelijken en verwerkers, in het bijzonder voor verwerking binnen een concern; |
b) |
de doeleinden en de middelen van de voorgenomen verwerking; |
c) |
de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening; |
d) |
indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming; |
e) |
de gegevensbeschermingseffectbeoordeling waarin bij artikel 35 is voorzien; en |
f) |
alle andere informatie waar de toezichthoudende autoriteit om verzoekt. |
4. De lidstaten raadplegen de toezichthoudende autoriteit bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.
5. Niettegenstaande lid 1 kunnen de verwerkingsverantwoordelijken lidstaatrechtelijk ertoe worden verplicht overleg met de toezichthoudende autoriteit te plegen en om haar voorafgaande toestemming te verzoeken wanneer zij met het oog op de vervulling van een taak van algemeen belang verwerken, onder meer wanneer verwerking verband houdt met sociale bescherming en volksgezondheid.
Artikel 37
Aanwijzing van de functionaris voor gegevensbescherming
1. De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:
a) |
de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken; |
b) |
een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of |
c) |
de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10. |
2. Een concern kan één functionaris voor gegevensbescherming benoemen, mits de functionaris voor gegevensbescherming vanuit elke vestiging makkelijk te contacteren is.
3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of overheidsorgaan is, kan één functionaris voor gegevensbescherming worden aangewezen voor verschillende dergelijke instanties of organen, met inachtneming van hun organisatiestructuur en omvang.
4. In andere dan de in lid 1 bedoelde gevallen kunnen of, indien dat Unierechtelijk of lidstaatrechtelijk is verplicht, moeten de verwerkingsverantwoordelijke of de verwerker of verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.
5. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen.
6. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.
7. De verwerkingsverantwoordelijke of de verwerker maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt die mee aan de toezichthoudende autoriteit.
Artikel 38
Positie van de functionaris voor gegevensbescherming
1. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2. De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 39 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.
3. De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
5. De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht of het lidstatelijk recht tot geheimhouding of vertrouwelijkheid gehouden.
6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
Artikel 39
Taken van de functionaris voor gegevensbescherming
1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
a) |
de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen; |
b) |
toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; |
c) |
desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35; |
d) |
met de toezichthoudende autoriteit samenwerken; |
e) |
optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid. |
2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.
Artikel 40
Gedragscodes
1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren en de specifieke behoeften van kleine, middelgrote en micro-ondernemingen, moeten bijdragen tot de juiste toepassing van deze verordening.
2. Verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, kunnen gedragscodes opstellen, of die codes wijzigen of uitbreiden, teneinde de toepassing van deze verordening nader toe te lichten, zoals met betrekking tot:
a) |
behoorlijke en transparante verwerking; |
b) |
de gerechtvaardigde belangen die door verwerkingsverantwoordelijken in een specifieke context worden behartigd; |
c) |
de verzameling van gegevens; |
d) |
de pseudonimisering van persoonsgegevens; |
e) |
de aan het publiek en betrokkenen verstrekte informatie; |
f) |
de uitoefening van de rechten van betrokkenen; |
g) |
de informatie verstrekt aan en de bescherming van kinderen en de wijze waarop de toestemming wordt verkregen van de personen die de ouderlijke verantwoordelijkheid voor kinderen dragen; |
h) |
de maatregelen en procedures als bedoeld in de artikelen 24 en 25 en de maatregelen ter beveiliging van de verwerking als bedoeld in artikel 32; |
i) |
de kennisgeving van inbreuken in verband met persoonsgegevens aan toezichthoudende autoriteiten en de mededeling van die inbreuken in verband met persoonsgegevens aan betrokkenen; |
j) |
de doorgifte van persoonsgegevens aan derde landen of internationale organisaties; of |
k) |
buitengerechtelijke procedures en andere procedures voor de beslechting van geschillen tussen verwerkingsverantwoordelijken en betrokkenen met betrekking tot verwerking, onverminderd de rechten van betrokkenen op grond van de artikelen 77 en 79. |
3. Behalve door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kan bij overeenkomstig lid 5 van dit artikel goedgekeurde gedragscodes die overeenkomstig lid 9 van dit artikel algemeen geldig zijn verklaard, eveneens worden aangesloten door verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, om te voorzien in passende waarborgen voor doorgifte van persoonsgegevens naar derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 46, lid 2, punt e). Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.
4. Een in lid 2 van dit artikel bedoelde gedragscode bevat mechanismen die het in artikel 41, lid 1, bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen van de code door de verwerkingsverantwoordelijken of verwerkers die zich tot toepassing ervan verbinden, onverminderd de taken en bevoegdheden van de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteiten.
5. De in lid 2 van dit artikel bedoelde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of een bestaande gedragscode te wijzigen of uit te breiden, leggen de ontwerpgedragscode, de wijziging of uitbreiding voor aan de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit. De toezichthoudende autoriteit brengt advies uit over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, en keurt deze ontwerpgedragscode, die wijziging of uitbreiding goed indien zij van oordeel is dat de code voldoende passende waarborgen biedt.
6. Wanneer de ontwerpgedragscode, de wijziging of uitbreiding wordt goedgekeurd overeenkomstig lid 5, en indien de gedragscode in kwestie geen betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, registreert de toezichthoudende autoriteit de gedragscode en maakt zij deze bekend.
7. Wanneer een ontwerpgedragscode betrekking heeft op verwerkingsactiviteiten in verschillende lidstaten, legt de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit deze, vóór goedkeuring van de gedragscode, de wijziging of uitbreiding, via de in artikel 63 bedoelde procedure voor aan het Comité, dat advies geeft over de vraag of de ontwerpgedragscode, de wijziging of uitbreiding strookt met deze verordening, of, in de in lid 3 van dit artikel bedoelde situatie, voorziet in passende waarborgen.
8. Wanneer in het in lid 7 bedoelde advies wordt bevestigd dat de gedragscode, de wijziging of uitbreiding strookt met deze verordening of, in de in lid 3 bedoelde situatie, passende waarborgen biedt, legt het Comité zijn advies voor aan de Commissie.
9. De Commissie kan bij uitvoeringshandelingen vaststellen dat de goedgekeurde gedragscode, wijziging of uitbreiding die haar op grond van lid 8 van dit artikel zijn voorgelegd, binnen de Unie algemeen geldig zijn. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
10. De Commissie zorgt ervoor dat aan de goedgekeurde codes die zij overeenkomstig lid 9 algemeen geldig heeft verklaard, passende bekendheid wordt verleend.
11. Het Comité verzamelt alle goedgekeurde gedragscodes, wijzigingen en uitbreidingen in een register en maakt deze via geëigende kanalen openbaar.
Artikel 41
Toezicht op goedgekeurde gedragscodes
1. Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit uit hoofde van de artikelen 57 en 58, kan het op grond van artikel 40 uitgevoerde toezicht op de naleving van een gedragscode worden uitgeoefend door een orgaan dat over de passende deskundigheid met betrekking tot het onderwerp van de gedragscode beschikt en daartoe door de bevoegde toezichthoudende autoriteit is geaccrediteerd.
2. Een orgaan als bedoeld in lid 1 kan daartoe worden geaccrediteerd om toezicht te houden op de naleving van een gedragscode indien het:
a) |
ten genoegen van de bevoegde toezichthoudende autoriteit zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de gedragscode heeft aangetoond; |
b) |
procedures heeft vastgesteld op grond waarvan het kan beoordelen of de betrokken verwerkingsverantwoordelijken en verwerkers in aanmerking komen om de gedragscode toe te passen, toezicht kan houden op de naleving van de bepalingen van de gedragscode door deze laatsten en het de werking van de gedragscode op gezette tijden kan toetsen; |
c) |
procedures en structuren heeft vastgesteld om klachten te behandelen over inbreuken op de gedragscode of over de wijze waarop daaraan uitvoering is of wordt gegeven door een verwerkingsverantwoordelijke of verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken; en |
d) |
ten genoegen van de bevoegde toezichthoudende autoriteit aantoont dat zijn taken en bevoegdheden niet tot een belangenconflict leiden. |
3. De bevoegde toezichthoudende autoriteit legt de ontwerpcriteria voor accreditatie van een in lid 1 van dit artikel bedoeld orgaan overeenkomstig het in artikel 63 bedoelde coherentiemechanisme voor aan het Comité.
4. Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit en de bepalingen van hoofdstuk VIII neemt een in lid 1 van dit artikel bedoeld orgaan, mits er passende waarborgen zijn, de nodige maatregelen ingeval een verwerkingsverantwoordelijke of verwerker een inbreuk pleegt op de gedragscode, waaronder schorsing of uitsluiting van de betrokken verwerkingsverantwoordelijke of verwerker van de gedragscode. Het orgaan stelt de bevoegde toezichthoudende autoriteit in kennis van die maatregelen en van de redenen daarvoor.
5. De bevoegde toezichthoudende autoriteit trekt de accreditatie van een in lid 1 bedoeld orgaan in indien de voorwaarden voor accreditatie niet of niet meer worden vervuld of indien de door het orgaan genomen maatregelen inbreuk maken op deze verordening.
6. Dit artikel geldt niet voor de verwerking door overheidsinstanties en -organen.
Artikel 42
Certificering
1. De lidstaten, de toezichthoudende autoriteiten, het Comité en de Commissie bevorderen, met name op Unieniveau, de invoering van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens waarmee kan worden aangetoond dat verwerkingsverantwoordelijken en verwerkers bij verwerkingen in overeenstemming met deze verordening handelen. Er wordt ook rekening gehouden met de specifieke behoeften van kleine, middelgrote en micro-ondernemingen.
2. Ter aanvulling op de naleving door verwerkingsverantwoordelijken of verwerkers die onder deze verordening vallen, kunnen tevens uit hoofde van lid 5 van dit artikel goedgekeurde certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels of -merktekens worden ingevoerd om aan te tonen dat de verwerkingsverantwoordelijken of verwerkers die overeenkomstig artikel 3 niet onder deze verordening vallen, in het kader van de doorgiften van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden als bedoeld in artikel 46, lid 2, punt f), passende waarborgen bieden. Die verwerkingsverantwoordelijken of verwerkers doen, via contractuele of andere juridisch bindende instrumenten, bindende en afdwingbare toezeggingen om die passende waarborgen toe te passen, ook wat betreft de rechten van de betrokkenen.
3. De certificering is vrijwillig en toegankelijk via een transparant proces.
4. Een certificering op grond van dit artikel doet niets af aan de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker om deze verordening na te leven en laat de taken en bevoegdheden van de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteiten onverlet.
5. Een certificaat uit hoofde van dit artikel wordt afgegeven door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, op grond van de criteria die zijn goedgekeurd door die bevoegde toezichthoudende autoriteit op grond van artikel 58, lid 3, of door het Comité overeenkomstig artikel 63. Indien de criteria door het Comité zijn goedgekeurd, kan dit leiden tot een gemeenschappelijke certificaat, het Europees gegevensbeschermingszegel.
6. De verwerkingsverantwoordelijke of de verwerker die zijn verwerking aan het certificeringsmechanisme onderwerpt, verstrekt aan het in artikel 43 bedoelde certificeringsorgaan, of, waar van toepassing, aan de bevoegde toezichthoudende autoriteit de voor de uitvoering van de certificeringsprocedure noodzakelijke informatie en verleent het orgaan of de autoriteit toegang tot zijn verwerkingsactiviteiten.
7. Het certificaat wordt afgegeven aan een verwerkingsverantwoordelijke of een verwerker voor een maximumperiode van drie jaar en kan worden verlengd onder dezelfde voorwaarden, mits bij voortduring aan de relevante eisen kan worden voldaan. Indien van toepassing wordt het certificaat ingetrokken door de in artikel 43 bedoelde certificerende organen of door de bevoegde toezichthoudende autoriteit, wanneer aan de eisen voor de certificering niet of niet meer wordt voldaan.
8. Het Comité verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels en -merktekens in een register en maakt deze via de daartoe geëigende kanalen openbaar.
Artikel 43
Certificeringsorganen
1. Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit uit hoofde van de artikelen 57 en 58, gaan certificeringsorganen die over de passende deskundigheid met betrekking tot gegevensbescherming beschikt, wordt in voorkomend geval na kennisgeving aan de toezichthoudende autoriteit met het oog op de uitoefening van haar bevoegdheden overeenkomstig artikel 58, lid 2, punt h), over tot afgifte en verlenging van het certificaat. De lidstaten zorgen ervoor dat die certificeringsorganen worden geaccrediteerd door één van de volgende instanties:
a) |
de toezichthoudende autoriteit die bevoegd is overeenkomstig artikel 55 of 56; |
b) |
de nationale accreditatie-instantie die is aangewezen in overeenstemming met Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (20), in overeenstemming met EN-ISO/IEC 17065/2012 en met de aanvullende eisen die door de overeenkomstig artikel 55 of 56 bevoegde toezichthoudende autoriteit zijn vastgesteld. |
2. De in lid 1 bedoelde certificeringsorganen kunnen overeenkomstig dit lid uitsluitend worden geaccrediteerd indien zij:
a) |
ten genoegen van de bevoegde toezichthoudende autoriteit, hun onafhankelijkheid en deskundigheid met betrekking tot het certificeringsonderwerp hebben aangetoond; |
b) |
er zich toe verbonden hebben aan de in artikel 42, lid 5, bedoelde criteria te voldoen, welke zijn goedgekeurd door de op grond van artikel 55 of 56 bevoegde toezichthoudende autoriteit of, overeenkomstig artikel 63, door het Comité; |
c) |
procedures hebben vastgesteld voor de uitgifte, periodieke toetsing en intrekking van certificeringsmechanismen voor gegevensbescherming, gegevensbeschermingszegels en -merktekens; |
d) |
procedures en structuren hebben vastgesteld om klachten te behandelen over inbreuken op de certificering of de wijze waarop daaraan uitvoering is of wordt gegeven door de verwerkingsverantwoordelijke of de verwerker, en om die procedures en structuren voor betrokkenen en het publiek transparant te maken; en |
e) |
ten genoegen van de bevoegde toezichthoudende autoriteit, aantoont dat hun taken en plichten niet tot een belangenconflict leiden. |
3. De accreditatie van de in de leden 1 en 2 van dit artikel bedoelde certificeringsorganen vindt plaats op basis van criteria die zijn goedgekeurd door de op grond van artikel 55 of 56 bevoegde toezichthoudende autoriteit of, overeenkomstig artikel 63, door het Comité. In het geval van een accreditatie in de zin van lid 1, punt b), van dit artikel zijn die eisen een aanvulling op de eisen van Verordening (EG) nr. 765/2008 en de technische regels die een beschrijving van de methoden en procedures van de certificeringsorganen geven.
4. De in lid 1 bedoelde certificeringsorganen zijn verantwoordelijk voor de juiste beoordeling, die tot certificering of de intrekking van die certificering leidt, onverminderd de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker voor de naleving van deze verordening. De accreditatie wordt afgegeven voor een maximumperiode van vijf jaar en kan onder dezelfde voorwaarden worden verlengd, mits het certificeringsorgaan aan de in dit artikel gestelde eisen blijft voldoen.
5. De in lid 1 bedoelde certificeringsorganen stellen de bevoegde toezichthoudende autoriteiten op de hoogte van de redenen voor het afgeven of het intrekken van het aangevraagde certificaat.
6. De in lid 3 van dit artikel bedoelde voorschriften en de in artikel 42, lid 5, bedoelde criteria worden door de toezichthoudende autoriteit in een eenvoudig toegankelijke vorm openbaar gemaakt. De toezichthoudende autoriteiten delen die eisen en criteria ook mee aan het Comité. Het Comité verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels in een register en maakt deze via geëigende kanalen openbaar.
7. Indien de voorwaarden voor de accreditatie niet of niet meer worden vervuld of indien de door een certificeringsorgaan genomen maatregelen inbreuk maken op deze verordening trekt de bevoegde toezichthoudende autoriteit of de nationale accreditatie-instantie, onverminderd hoofdstuk VIII, de overeenkomstig lid 1 van dit artikel aan een certificeringsorgaan afgegeven accreditatie in.
8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in aanmerking te nemen eisen voor de in artikel 42, lid 1, bedoelde certificeringsmechanismen voor gegevensbescherming.
9. De Commissie kan uitvoeringshandelingen vaststellen die voorzien in technische normen voor certificeringsmechanismen en gegevensbeschermingszegels en -merktekens en mechanismen ter bevordering en erkenning van die certificeringsmechanismen en gegevensbeschermingszegels en -merktekens. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
HOOFDSTUK V
Doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Artikel 44
Algemeen beginsel inzake doorgiften
Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.
Artikel 45
Doorgiften op basis van adequaatheidsbesluiten
1. Een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:
a) |
de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en de toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, met inbegrip van regels voor de verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie die in dat land of die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en effectieve mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven; |
b) |
het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze onder meer met passende handhavingsbevoegdheden te handhaven, betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en |
c) |
de internationale toezeggingen die het derde land of de internationale organisatie in kwestie heeft gedaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens. |
3. De Commissie kan, na de beoordeling van de vraag of het beschermingsniveau adequaat is, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, punt b), van dit artikel genoemde toezichthoudende autoriteit(en). De uitvoeringshandeling wordt vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
4. De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk gevolgen hebben voor het functioneren van krachtens lid 3 van dit artikel vastgestelde besluiten en van op grond van artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde besluiten.
5. De Commissie gaat, wanneer uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde toetsing, dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een passend beschermingsniveau in de zin van lid 2 van dit artikel waarborgt, voor zover nodig, bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Om naar behoren gemotiveerde dwingende redenen van urgentie, stelt de Commissie onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in artikel 93, lid 3, bedoelde procedure.
6. De Commissie pleegt overleg met het derde land of de internationale organisatie om de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld, te verhelpen.
7. Een overeenkomstig lid 5 van dit artikel vastgesteld besluit laat de doorgiften van persoonsgegevens aan het derde land, of een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie overeenkomstig de artikelen 46 tot en met 49 onverlet.
8. De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een passend beschermingsniveau waarborgen.
9. De besluiten die de Commissie op grond van artikel 25, lid 6, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij worden gewijzigd, vervangen of ingetrokken bij een overeenkomstig lid 3 of lid 5 van dit artikel vastgesteld besluit van de Commissie.
Artikel 46
Doorgiften op basis van passende waarborgen
1. Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van een toezichthoudende autoriteit is vereist:
a) |
een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen; |
b) |
bindende bedrijfsvoorschriften overeenkomstig artikel 47; |
c) |
standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld; |
d) |
standaardbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld en die door de Commissie volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd; |
e) |
een overeenkomstig artikel 40 goedgekeurde gedragscode, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen; of |
f) |
een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme, samen met bindende en afdwingbare toezeggingen van de verwerkingsverantwoordelijke of de verwerker in het derde land om de passende waarborgen, onder meer voor de rechten van de betrokkenen, toe te passen. |
3. Onder voorbehoud van de toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:
a) |
contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of |
b) |
bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen. |
4. De toezichthoudende autoriteit past het in artikel 63 bedoelde coherentiemechanisme toe in de in lid 3 van dit artikel vermelde gevallen.
5. Toestemmingen die een lidstaat of een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij door die toezichthoudende autoriteit, indien nodig, worden gewijzigd, vervangen of ingetrokken. De besluiten die de Commissie op grond van artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht totdat zij bij een overeenkomstig lid 2 van dit artikel vastgesteld besluit van de Commissie, indien nodig, worden gewijzigd, vervangen of ingetrokken.
Artikel 47
Bindende bedrijfsvoorschriften
1. De bevoegde toezichthoudende autoriteit keurt in overeenstemming met het in artikel 63 bedoelde coherentiemechanism bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:
a) |
juridisch bindend zijn voor, van toepassing zijn op en worden gehandhaafd door alle betrokken leden van het concern, of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, met inbegrip van hun werknemers; |
b) |
betrokkenen uitdrukkelijk afdwingbare rechten toekennen met betrekking tot de verwerking van hun persoonsgegevens; en |
c) |
voldoen aan de in lid 2 vastgestelde vereisten. |
2. In de in lid 1 bedoelde bindende bedrijfsvoorschriften worden minstens de volgende elementen vastgelegd:
a) |
de structuur en de contactgegevens van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen en van elk van haar leden; |
b) |
de gegevensdoorgiften of reeks van doorgiften, met inbegrip van de categorieën van persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen in kwestie en de identificatie van het derde land of de derde landen in kwestie; |
c) |
het intern en extern juridisch bindende karakter; |
d) |
de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden; |
e) |
de rechten van betrokkenen in verband met verwerking en de middelen om die rechten uit te oefenen, waaronder het recht om niet te worden onderworpen aan louter op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering overeenkomstig artikel 22, het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit, om een vordering in te stellen bij de bevoegde gerechten van de lidstaten overeenkomstig artikel 79, en om schadeloosstelling en, in voorkomend geval, een vergoeding te verkrijgen voor een inbreuk op de bindende bedrijfsvoorschriften; |
f) |
de aanvaarding door de op het grondgebied van een lidstaat gevestigde verwerkingsverantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd betrokken lid; de verwerkingsverantwoordelijke of de verwerker wordt alleen geheel of gedeeltelijk van deze aansprakelijkheid ontheven, indien hij bewijst dat dat lid niet verantwoordelijk is voor het schadebrengende feit; |
g) |
de wijze waarop, in aanvulling op de in de artikelen 13 en 14 bedoelde informatie, aan betrokkenen informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name over de bepalingen in de punten d), e) en f); |
h) |
de taken van elke overeenkomstig artikel 37 aangewezen functionaris voor gegevensbescherming, of elke andere persoon of entiteit die is belast met het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, op opleiding en op de behandeling van klachten; |
i) |
de klachtenprocedures; |
j) |
de binnen het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd. Dergelijke procedures omvatten gegevensbeschermingsaudits en -methoden om te zorgen voor corrigerende maatregelen ter bescherming van de rechten van de betrokkene. De resultaten van dergelijke controles dienen te worden meegedeeld aan de in punt h) bedoelde persoon of entiteit en aan de raad van bestuur van de onderneming die zeggenschap uitoefent over een concern, of van de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen, en dienen op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit te worden gesteld; |
k) |
de procedures om die veranderingen in de regels te melden, te registreren en aan de toezichthoudende autoriteit te melden; |
l) |
de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen de bindende bedrijfsvoorschriften naleven, in het bijzonder door de resultaten van de in punt j) bedoelde controles ter beschikking van de toezichthoudende autoriteit te stellen; |
m) |
de procedures om eventuele wettelijke voorschriften waaraan een lid van het concern of de groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen in een derde land is onderworpen en die waarschijnlijk een aanzienlijk negatief effect zullen hebben op de door de bindende bedrijfsvoorschriften geboden waarborgen, aan de bevoegde toezichthoudende autoriteit te melden; en |
n) |
de passende opleiding inzake gegevensbescherming voor personeel dat permanent of op regelmatige basis toegang tot persoonsgegevens heeft. |
3. De Commissie kan het model en de procedures voor de uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen verwerkingsverantwoordelijken, verwerkers en toezichthoudende autoriteiten nader bepalen. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Artikel 48
Niet bij Unierecht toegestane doorgiften of verstrekkingen
Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Artikel 49
Afwijkingen voor specifieke situaties
1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan één van de volgende voorwaarden is voldaan:
a) |
de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen; |
b) |
de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; |
c) |
de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst; |
d) |
de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang; |
e) |
de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering; |
f) |
de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; |
g) |
de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging. |
Wanneer een doorgifte niet op een bepaling van de artikelen 45 of 46, met inbegrip van de bepalingen inzake bindende bedrijfsvoorschriften, kon worden gegrond en geen van de afwijkingen voor een specifieke situatie als bedoeld in de eerste alinea van dit lid van toepassing zijn, is de doorgifte niet repetitief is, een beperkt aantal betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene, en de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens heeft geboden. De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de doorgifte. De verwerkingsverantwoordelijke informeert de betrokkene, behalve over de in de artikelen 13 en 14 bedoelde informatie, ook over de doorgifte en de door hem nagestreefde dwingende gerechtvaardigde belangen.
2. Een doorgifte overeenkomstig lid 1, eerste alinea, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.
3. Lid 1, eerste alinea, onder a), b) en c) en tweede alinea, zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun openbare bevoegdheden.
4. Het in lid 1, eerste alinea, onder d), bedoelde openbaar belang moet zijn erkend bij een Unierechtelijke of nationaalrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is.
5. Bij ontstentenis van een adequaatheidsbesluit kunnen in Unierechtelijke of lidstaatrechtelijke bepalingen of bepalingen om gewichtige redenen van openbaar belang uitdrukkelijk grenzen worden gesteld aan de doorgifte van specifieke categorieën van persoonsgegevens aan een derde land of een internationale organisatie. De lidstaten stellen de Commissie in kennis van dergelijke bepalingen.
6. De verwerkingsverantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, tweede alinea, van dit artikel bedoelde passende waarborgen in het artikel 30 bedoelde register.
Artikel 50
Internationale samenwerking voor de bescherming van persoonsgegevens
Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten de nodige maatregelen om:
a) |
procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt; |
b) |
internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder meer door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan; |
c) |
belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; en |
d) |
de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen. |
HOOFDSTUK VI
Onafhankelijke toezichthoudende autoriteiten
Artikel 51
Toezichthoudende autoriteit
1. Elke lidstaat bepaalt dat één of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken („toezichthoudende autoriteit”).
2. Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze verordening in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.
3. Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is gevestigd, wijst die lidstaat de toezichthoudende autoriteit aan die die autoriteiten in het Comité moet vertegenwoordigen en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met het in artikel 63 bedoelde coherentiemechanisme naleven.
4. Elke lidstaat stelt de Commissie uiterlijk op 25 mei 2018 in kennis van de wettelijke bepalingen die hij overeenkomstig dit hoofdstuk vaststelt, alsmede, onverwijld, van alle latere wijzigingen daarvan.
Artikel 52
Onafhankelijkheid
1. Elke toezichthoudende autoriteit treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die haar overeenkomstig deze verordening zijn toegewezen.
2. Bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze verordening blijven de leden van elke toezichthoudende autoriteit vrij van al dan niet rechtstreekse externe invloed en vragen noch aanvaarden zij instructies van wie dan ook.
3. De leden van toezichthoudende autoriteiten verrichten geen handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.
4. Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de bedrijfsruimten en infrastructuur die nodig zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.
5. Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de betrokken toezichthoudende autoriteit staan.
6. Elke lidstaat zorgt ervoor dat op elke toezichthoudende autoriteit financieel toezicht wordt uitgeoefend zonder dat daarbij de onafhankelijkheid van de toezichthoudende autoriteit in het gedrang komt en dat het een afzonderlijke, publieke jaarbegroting heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.
Artikel 53
Algemene voorwaarden voor de leden van de toezichthoudende autoriteit
1. De lidstaten schrijven voor dat elk lid van hun toezichthoudende autoriteiten volgens een transparante procedure wordt benoemd door:
— |
hun parlement; |
— |
hun regering; |
— |
hun staatshoofd; of |
— |
een onafhankelijk orgaan dat krachtens het lidstatelijke recht met de benoeming is belast. |
2. Elk lid beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van zijn taken en het uitoefenen van zijn bevoegdheden.
3. De taken van een lid eindigen bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig de wetgeving van de lidstaat in kwestie.
4. Een lid wordt slechts ontslagen indien het op ernstige wijze is tekortgeschoten of niet langer aan de vereisten voor de uitvoering van de taken voldoet.
Artikel 54
Regels inzake de oprichting van de toezichthoudende autoriteit
1. Elke lidstaat regelt al het volgende bij wet:
a) |
de oprichting van elke toezichthoudende autoriteit; |
b) |
de vereiste kwalificaties en voorwaarden om als lid te worden benoemd voor elke toezichthoudende autoriteit; |
c) |
de regels en procedures voor de benoeming van het lid of de leden van elke toezichthoudende autoriteit; |
d) |
de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na 24 mei 2016, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen; |
e) |
of het lid of de leden van elke toezichthoudende autoriteit opnieuw kan of kunnen worden benoemd en zo ja, hoe vaak; |
f) |
de voorwaarden in verband met de plichten van het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit, de verboden op met die plichten onverenigbare handelingen, werkzaamheden en voordelen tijdens en na de ambtstermijn en de regels betreffende de beëindiging van de ambtstermijn onderscheidenlijk de arbeidsverhouding. |
2. Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig Unierecht of lidstatelijk recht. Tijdens hun ambtstermijn geldt het beroepsgeheim met name voor meldingen van inbreuken op deze verordening door natuurlijke personen.
Artikel 55
Competentie
1. Elke toezichthoudende autoriteit heeft de competentie op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend.
2. In het geval van verwerking door overheidsinstanties of door particuliere organen die handelen op grond van artikel 6, lid 1, onder c) of e), is de toezichthoudende autoriteit van de lidstaat in kwestie competent. In dergelijke gevallen is artikel 56 niet van toepassing.
3. Toezichthoudende autoriteiten zijn niet competent toe te zien op verwerkingen door gerechten bij de uitoefening van hun rechterlijke taken.
Artikel 56
Competentie van de leidende toezichthoudende autoriteit
1. Onverminderd artikel 55 is de toezichthoudende autoriteit van de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of verwerker competent op te treden als leidende toezichthoudende autoriteit voor de grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker overeenkomstig de procedure van artikel 60.
2. In afwijking van lid 1 is elke toezichthoudende autoriteit competent een bij haar ingediende klacht of een eventuele inbreuk op deze verordening te behandelen indien het onderwerp van die zaak alleen verband houdt met een vestiging in haar lidstaat of alleen voor betrokkenen in haar lidstaat wezenlijke gevolgen heeft.
3. In de in lid 2 van dit artikel bedoelde gevallen stelt de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld in kennis van de zaak. Binnen drie weken nadat zij in kennis is gesteld, besluit de leidende toezichthoudende autoriteit of zij de zaak al dan niet zal behandelen, overeenkomstig de in artikel 60 vastgelegde procedure; zij houdt daarbij rekening met het al dan niet bestaan van een vestiging van de verwerkingsverantwoordelijke of de verwerker in de lidstaat van de toezichthoudende autoriteit die haar in kennis heeft gesteld.
4. Wanneer de leidende toezichthoudende autoriteit besluit de zaak te behandelen, is de procedure van artikel 60 van toepassing. De toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld, kan bij deze laatste een ontwerpbesluit indienen. De leidende toezichthoudende autoriteit houdt zo veel mogelijk rekening met dat ontwerp wanneer zij het in artikel 60, lid 3, bedoelde ontwerpbesluit opstelt.
5. Indien de leidende toezichthoudende autoriteit besluit de zaak niet te behandelen, wordt deze overeenkomstig de artikelen 61 en 62 behandeld door de toezichthoudende autoriteit die de leidende toezichthoudende autoriteit in kennis heeft gesteld.
6. De leidende toezichthoudende autoriteit is voor de verwerkingsverantwoordelijke of de verwerker de enige gesprekspartner bij grensoverschrijdende verwerking door die verwerkingsverantwoordelijke of verwerker.
Artikel 57
Taken
1. Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht elke toezichthoudende autoriteit op haar grondgebied de volgende taken:
a) |
zij monitort en handhaaft de toepassing van deze verordening; |
b) |
zij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten; |
c) |
zij verleent overeenkomstig het recht van de lidstaat, advies aan het nationale parlement, de regering, en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking; |
d) |
zij maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun verplichtingen uit hoofde van deze verordening; |
e) |
zij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe in voorkomend geval samen met de toezichthoudende autoriteiten in andere lidstaten; |
f) |
zij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 80, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is; |
g) |
zij werkt samen met andere toezichthoudende autoriteiten, onder meer door informatie te delen en wederzijdse bijstand te bieden, teneinde de samenhang in de toepassing en de handhaving van deze verordening te waarborgen; |
h) |
zij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die zij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt; |
i) |
zij volgt de relevante ontwikkelingen voor zover deze een impact hebben op de bescherming van persoonsgegevens, met name de ontwikkelingen in informatie- en communicatietechnologieën en handelspraktijken; |
j) |
zij stelt de in artikel 28, lid 8, en artikel 46, lid 2, onder d), bedoelde standaardcontractbepalingen vast; |
k) |
zij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 35, lid 4, en houdt deze lijst bij; |
l) |
zij verstrekt advies over de in artikel 36, lid 2, bedoelde verwerkingsactiviteiten; |
m) |
zij bevordert de opstelling van gedragscodes uit hoofde van artikel 40, lid 1, geeft advies en keurt, overeenkomstig artikel 40, lid 5, gedragscodes goed die voldoende waarborgen leveren; |
n) |
zij bevordert de invoering van certificeringsmechanismen voor gegevensbescherming en van gegevensbeschermingszegels en -merktekens overeenkomstig artikel 42, lid 1, en keurt de criteria voor certificering uit hoofde van artikel 42, lid 5, goed; |
o) |
waar van toepassing verricht zij een periodieke toetsing van de overeenkomstig artikel 42, lid 7, afgegeven certificeringen; |
p) |
zij zorgt voor het opstellen en het bekendmaken van de criteria voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 41 en van een certificeringsorgaan op grond van artikel 43; |
q) |
zij zorgt voor de accreditatie van een orgaan voor het toezicht op gedragscodes op grond van artikel 41 en van een certificeringsorgaan op grond van artikel 43; |
r) |
zij geeft toestemming voor de in artikel 46, lid 3, bedoelde contractuele en andere bepalingen; |
s) |
zij keurt overeenkomstig artikel 47 bindende bedrijfsvoorschriften goed; |
t) |
zij levert een bijdrage aan de activiteiten van het Comité; |
u) |
zij houdt interne registers bij van inbreuken op deze verordening en van overeenkomstig artikel 58, lid 2, getroffen maatregelen; en |
v) |
zij verricht alle andere taken die verband houden met de bescherming van persoonsgegevens. |
2. Elke toezichthoudende autoriteit faciliteert de indiening van klachten als bedoeld in lid 1, onder f), door maatregelen te nemen, zoals het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
3. Elke toezichthoudende autoriteit verricht haar taken kosteloos voor de betrokkene en, in voorkomend geval, voor de functionaris voor gegevensbescherming.
4. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de toezichthoudende autoriteit op basis van de administratieve kosten een redelijke vergoeding aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
Artikel 58
Bevoegdheden
1. Elk toezichthoudende autoriteit heeft alle volgende onderzoeksbevoegdheden om:
a) |
de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken; |
b) |
onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles; |
c) |
een toetsing te verrichten van de overeenkomstig artikel 42, lid 7, afgegeven certificeringen; |
d) |
de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening; |
e) |
van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken; en |
f) |
toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het uniale of lidstatelijke procesrecht. |
2. Elk toezichthoudende autoriteit heeft alle volgende bevoegdheden tot het nemen van corrigerende maatregelen:
a) |
de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt; |
b) |
de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt; |
c) |
de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen; |
d) |
de verwerkingsverantwoordelijke of de verwerker gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening; |
e) |
de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen; |
f) |
een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, opleggen; |
g) |
het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19; |
h) |
een certificering intrekken of het certificeringsorgaan gelasten een uit hoofde van de artikelen 42 en 43 afgegeven certificering in te trekken, of het certificeringsorgaan te gelasten geen certificering af te geven indien niet langer aan de certificeringsvereisten wordt voldaan; |
i) |
naargelang de omstandigheden van elke zaak, naast of in plaats van de in dit lid bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83; en |
j) |
de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten. |
3. Elke toezichthoudende autoriteit heeft alle autorisatie- en adviesbevoegdheden om:
a) |
de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 36; |
b) |
op eigen initiatief dan wel op verzoek, aan het nationaal parlement, aan de regering van de lidstaat, of overeenkomstig het lidstatelijke recht aan andere instellingen en organen alsmede aan het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens; |
c) |
toestemming te geven voor verwerking als bedoeld in artikel 36, lid 5, indien die voorafgaande toestemming door het lidstatelijke recht wordt voorgeschreven; |
d) |
overeenkomstig artikel 40, lid 5, advies uit te brengen over en goedkeuring te hechten aan de ontwerpgedragscodes; |
e) |
certificeringsorganen te accrediteren overeenkomstig artikel 43; |
f) |
certificeringen af te geven en certificeringscriteria goed te keuren overeenkomstig artikel 42, lid 5; |
g) |
de in artikel 28, lid 8, en artikel 46, lid 2, punt d), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen; |
h) |
toestemming te verlenen voor de in artikel 46, lid 3, punt a), bedoelde contractbepalingen; |
i) |
toestemming te verlenen voor de in artikel 46, lid 3, punt b), bedoelde administratieve regelingen; |
j) |
goedkeuring te hechten aan bindende bedrijfsvoorschriften overeenkomstig artikel 47. |
4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.
5. Elke lidstaat bepaalt bij wet dat zijn toezichthoudende autoriteit bevoegd is inbreuken op deze verordening ter kennis te brengen van de gerechtelijke autoriteiten en, waar passend, daartegen een rechtsvordering in te stellen of anderszins in rechte op te treden, teneinde de bepalingen van deze verordening te doen naleven.
6. Elke lidstaat kan bij wet bepalen dat zijn toezichthoudende autoriteit, naast de in lid 1, 2 en 3 bedoelde bevoegdheden bijkomende bevoegdheden heeft. De uitoefening van die bevoegdheden doet geen afbreuk aan de doeltreffende werking van hoofdstuk VII.
Artikel 59
Activiteitenverslagen
Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op, met daarin mogelijk een lijst van de soorten gemelde inbreuken en de soorten maatregelen die overeenkomstig artikel 58, lid 2, worden genomen. Die verslagen worden toegezonden aan het nationale parlement, de regering en elke andere autoriteit die daartoe in het lidstatelijke recht is aangewezen. Zij worden ter beschikking gesteld van het publiek, de Commissie en het Comité.
HOOFDSTUK VII
Samenwerking en coherentie
Artikel 60
Samenwerking tussen de leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten
1. De leidende toezichthoudende autoriteit werkt overeenkomstig dit artikel samen met de andere betrokken toezichthoudende autoriteiten teneinde tot een consensus proberen te komen. De leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten wisselen alle relevante informatie met elkaar uit.
2. De leidende toezichthoudende autoriteit kan te allen tijde andere betrokken toezichthoudende autoriteiten verzoeken wederzijdse bijstand overeenkomstig artikel 61 te verlenen, en kan gezamenlijke werkzaamheden ondernemen overeenkomstig artikel 62, in het bijzonder voor het uitvoeren van onderzoeken of voor het toezicht op de uitvoering van een maatregel betreffende een in een andere lidstaat gevestigde verwerkingsverantwoordelijke of verwerker.
3. De leidende toezichthoudende autoriteit deelt onverwijld alle relevante informatie over de aangelegenheid mee aan de andere betrokken toezichthoudende autoriteiten. Zij legt de andere betrokken toezichthoudende autoriteiten onverwijld te hunner beoordeling een ontwerpbesluit voor en houdt naar behoren rekening met hun standpunten.
4. Indien één van de andere betrokken toezichthoudende autoriteiten binnen een termijn van vier weken na te zijn geraadpleegd overeenkomstig lid 3 van dit artikel een relevant en gemotiveerd bezwaar tegen het ontwerpbesluit indient, onderwerpt de leidende toezichthoudende autoriteit, indien zij het relevante en gemotiveerde bezwaar afwijst of het niet relevant of niet gemotiveerd acht, de aangelegenheid aan het in artikel 63 bedoelde coherentiemechanisme.
5. Indien de leidende toezichthoudende autoriteit voornemens is het ingediende relevante en gemotiveerde bezwaar te honoreren, legt zij de overige betrokken toezichthoudende autoriteiten te hunner beoordeling een herzien ontwerpbesluit voor. Dat herziene ontwerpbesluit wordt binnen een termijn van twee weken aan de in lid 4 bedoelde procedure onderworpen.
6. Indien geen enkele andere betrokken toezichthoudende autoriteit binnen de in de leden 4 en 5 bedoelde termijn bezwaar heeft gemaakt tegen het door de leidende toezichthoudende autoriteit voorgelegde ontwerpbesluit, worden de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten geacht met dat ontwerpbesluit in te stemmen en zijn zij daaraan gebonden.
7. De leidende toezichthoudende autoriteit stelt het besluit vast en deelt het mee aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker, naargelang het geval, en stelt de andere betrokken toezichthoudende autoriteiten, alsmede het Comité in kennis van het besluit in kwestie, voorzien van een samenvatting van de relevante feiten en gronden. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van het besluit.
8. Ingeval een klacht is afgewezen of verworpen, stelt de toezichthoudende autoriteit waarbij de klacht is ingediend, in afwijking van lid 7, het besluit vast en deelt zij het mee aan de klager en stelt zij de verwerkingsverantwoordelijke ervan in kennis.
9. Indien de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten het erover eens zijn delen van een klacht af te wijzen of te verwerpen en voor andere delen van die klacht op te treden, wordt voor elk van die laatstgenoemde delen een afzonderlijk besluit vastgesteld. De leidende toezichthoudende autoriteit stelt het besluit vast voor het deel betreffende de maatregelen inzake de verwerkingsverantwoordelijke, en deelt het mee aan de hoofdvestiging of de enige vestiging van de verwerkingsverantwoordelijke of de verwerker op het grondgebied van haar lidstaat, en stelt de klager daarvan in kennis. Voor het deel waarvoor de klacht in kwestie is afgewezen of verworpen, wordt het besluit vastgesteld door de toezichthoudende autoriteit van de klager, en door haar aan die klager medegedeeld, en wordt de verwerkingsverantwoordelijke of de verwerker daarvan in kennis gesteld.
10. De verwerkingsverantwoordelijke of de verwerker treft, na in kennis te zijn gesteld van het besluit van de leidende toezichthoudende autoriteit overeenkomstig de leden 7 en 9, de nodige maatregelen teneinde het besluit wat betreft de verwerkingsactiviteiten binnen al zijn vestigingen binnen de Unie te doen naleven. De verwerkingsverantwoordelijke of de verwerker deelt de door hem met het oog op de naleving van het besluit getroffen maatregelen mee aan de leidende toezichthoudende autoriteit, die de andere betrokken toezichthoudende autoriteiten ervan in kennis stelt.
11. Indien, in buitengewone omstandigheden, een betrokken toezichthoudende autoriteit het met reden dringend noodzakelijk acht dat in het belang van bescherming van de belangen van betrokkenen wordt opgetreden, is de in artikel 66 bedoelde spoedprocedure van toepassing.
12. De leidende toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten verstrekken elkaar langs elektronische weg, door middel van een standaardformulier, de krachtens dit artikel vereiste informatie.
Artikel 61
Wederzijdse bijstand
1. De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name informatieverzoeken en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemming en raadplegingen, inspecties en onderzoeken.
2. Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om een verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na ontvangst daarvan te beantwoorden. Hierbij kan het in het bijzonder gaan om toezending van relevante informatie over de uitvoering van een onderzoek.
3. Verzoeken om bijstand bevatten alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.
4. De toezichthoudende autoriteit waaraan een verzoek om bijstand is gericht, wijst dit verzoek slechts af indien:
a) |
zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij verzocht wordt uit te voeren; of |
b) |
het verzoek inbreuk maakt op deze verordening of met Unierecht of lidstatelijk recht dat van toepassing is op de toezichthoudende autoriteit die het verzoek ontvangt. |
5. De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. Indien de toezichthoudende autoriteit tot wie het verzoek is gericht het verzoek op grond van lid 4 afwijst, licht zij de redenen daarvoor toe.
6. Toezichthoudende autoriteiten tot wie het verzoek is gericht delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.
7. De maatregelen die toezichthoudende autoriteiten tot wie een verzoek is gericht nemen uit hoofde van een verzoek om wederzijdse bijstand, zijn kosteloos. De toezichthoudende autoriteiten kunnen regels overeenkomen om elkaar te vergoeden voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.
8. Wanneer een toezichthoudende autoriteit de in lid 5 van dit artikel bedoelde informatie niet binnen één maand na ontvangst van het verzoek van een andere toezichthoudende autoriteit verstrekt, kan de verzoekende toezichthoudende autoriteit overeenkomstig artikel 55, lid 1, op het grondgebied van haar lidstaat een voorlopige maatregel nemen. In dat geval wordt geacht dat er overeenkomstig artikel 66, lid 1, dringend moet worden opgetreden en dat dit een dringend bindend besluit van het Comité vereist overeenkomstig artikel 66, lid 2.
9. De Commissie kan door middel van uitvoeringshandelingen het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité, waaronder het in lid 6 van dit artikel bedoelde standaardformulier. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Artikel 62
Gezamenlijke werkzaamheden van toezichthoudende autoriteiten
1. In voorkomend geval voeren de toezichthoudende autoriteiten gezamenlijke werkzaamheden uit, waaronder gezamenlijke onderzoeken en gezamenlijke handhavingsmaatregelen, waarbij leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten worden betrokken.
2. Indien de verwerkingsverantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten, of indien een significant aantal betrokkenen in meer dan één lidstaat waarschijnlijk wezenlijke gevolgen ondervindt van de verwerkingsactiviteiten, heeft van elk van die lidstaten één toezichthoudende autoriteit het recht om aan de gezamenlijke werkzaamheden deel te nemen. De toezichthoudende autoriteit die bevoegd is overeenkomstig artikel 56, lid 1 of lid 4, verzoekt de toezichthoudende autoriteit van elk van die lidstaten om deelname aan de gezamenlijke werkzaamheden in kwestie en beantwoordt onverwijld het verzoek van een toezichthoudende autoriteit om te mogen deelnemen.
3. Een toezichthoudende autoriteit kan overeenkomstig het lidstatelijke recht en met toestemming van de ondersteunende toezichthoudende autoriteit, aan de aan gezamenlijke werkzaamheden deelnemende leden of personeelsleden van de ondersteunende toezichthoudende autoriteit bevoegdheden toekennen, onder meer in verband met het voeren van onderzoek, of, voor zover het nationale recht de ontvangende toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit toestaan om hun onderzoeksbevoegdheden overeenkomstig het nationale recht van de ondersteunende toezichthoudende autoriteit uit te oefenen. Deze onderzoeksbevoegdheden mogen hierbij uitsluitend worden uitgeoefend onder leiding en in aanwezigheid van leden of personeelsleden van de ontvangende toezichthoudende autoriteit. De leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit zijn onderworpen aan het recht van de lidstaat van de ontvangende toezichthoudende autoriteit.
4. Wanneer personeelsleden van een ondersteunende toezichthoudende autoriteit overeenkomstig lid 1 actief zijn in een andere lidstaat, neemt de lidstaat van de ontvangende toezichthoudende autoriteit de verantwoordelijkheid voor hun activiteiten, met inbegrip van de aansprakelijkheid voor alle door die personeelsleden bij de uitvoering van hun werkzaamheden veroorzaakte schade, overeenkomstig het recht van de lidstaat op het grondgebied waarvan die personeelsleden actief zijn.
5. De lidstaat op het grondgebied waarvan de schade is veroorzaakt, vergoedt deze schade onder de voorwaarden die gelden voor door zijn eigen personeelsleden veroorzaakte schade. De lidstaat van de ondersteunende toezichthoudende autoriteit waarvan de personeelsleden op het grondgebied van een andere lidstaat aan iemand schade hebben berokkend, betaalt die andere lidstaat het volledige bedrag terug dat die andere lidstaat voor rekening van die personeelsleden aan de rechthebbenden heeft uitgekeerd.
6. Onverminderd de uitoefening van zijn rechten tegenover derden en met uitzondering van het in lid 5 bepaalde, ziet elke lidstaat er in het in lid 1 bedoelde geval van af het bedrag van de in lid 4 bedoelde schade op een andere lidstaat te verhalen.
7. Wanneer een gezamenlijke werkzaamheid is gepland en een toezichthoudende autoriteit niet binnen één maand aan de in lid 2, tweede zin, van dit artikel vastgestelde verplichting voldoet, kunnen de andere toezichthoudende autoriteiten een voorlopige maatregel nemen op het grondgebied van de lidstaat waarvoor zij bevoegd zijn overeenkomstig artikel 55. In dat geval wordt geacht dat er overeenkomstig artikel 66, lid 1, dringend moet worden opgetreden en dat dit een dringend advies of een dringend bindend besluit van het Comité vereist overeenkomstig artikel 66, lid 2.
Artikel 63
Coherentiemechanisme
Teneinde bij te dragen aan de consequente toepassing van deze verordening in de gehele Unie werken de toezichthoudende autoriteiten met elkaar en waar passend samen met de Commissie in het kader van het in deze afdeling uiteengezette coherentiemechanisme.
Artikel 64
Advies van het Comité
1. Het Comité brengt een advies uit wanneer een bevoegde toezichthoudende autoriteit voornemens is een van onderstaande maatregelen vast te stellen. Hiertoe deelt de bevoegde toezichthoudende autoriteit het Comité het ontwerpbesluit mee indien het:
a) |
de vaststelling beoogt van een lijst van verwerkingen waarvoor de eis inzake een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 35, lid 4, geldt; |
b) |
betrekking heeft op de vraag, overeenkomstig artikel 40, lid 7, of een gedragscode of de wijziging of uitbreiding van een gedragscode met deze verordening in overeenstemming is; |
c) |
beoogt de criteria voor accreditatie van een orgaan overeenkomstig artikel 41, lid 3, of een certificeringsorgaan overeenkomstig artikel 43, lid 3, goed te keuren; |
d) |
de vaststelling beoogt van de in artikel 46, lid 2, onder d), en in artikel 28, lid 8, bedoelde standaardbepalingen inzake gegevensbescherming; |
e) |
de toestemming beoogt voor de in artikel 46, lid 3, onder a), bedoelde contractbepalingen; of |
f) |
de goedkeuring beoogt van bindende bedrijfsvoorschriften in de zin van artikel 47. |
2. Een toezichthoudende autoriteit, de voorzitter van het Comité of de Commissie kunnen elk verzoeken dat aangelegenheden van algemene strekking of met rechtsgevolgen in meer dan één lidstaat worden onderzocht door het Comité teneinde advies te verkrijgen, met name wanneer een bevoegde toezichthoudende autoriteit haar verplichtingen tot wederzijdse bijstand overeenkomstig artikel 61, of tot gezamenlijke werkzaamheden overeenkomstig artikel 62, niet nakomt.
3. Het Comité brengt in de in de leden 1 en 2 bedoelde gevallen een advies uit over de aan het Comité voorgelegde aangelegenheid, mits het daarover niet eerder advies heeft uitgebracht. Dat advies wordt binnen acht weken vastgesteld met gewone meerderheid van de leden van het Comité. Die termijn kan met zes weken worden verlengd, rekening houdend met de complexiteit van de aangelegenheid. Met het in lid 1 bedoelde ontwerpbesluit, dat overeenkomstig lid 5 onder de leden van het Comité wordt verspreid, wordt een lid dat niet binnen een redelijke, door de voorzitter aangegeven termijn bezwaar heeft aangetekend, geacht in te stemmen.
4. De toezichthoudende autoriteiten en de Commissie delen onverwijld langs elektronische weg door middel van een standaardformulier het Comité alle relevante informatie mee, waaronder naargelang het geval een samenvatting van de feiten, het ontwerpbesluit, de redenen waarom een dergelijke maatregel moet worden genomen en de standpunten van andere betrokken toezichthoudende autoriteiten.
5. De voorzitter van het Comité stelt onverwijld langs elektronische weg:
a) |
de leden van het Comité en de Commissie door middel van een standaardformulier in kennis van alle relevante informatie die het Comité heeft ontvangen. Het secretariaat van het Comité verstrekt indien nodig vertalingen van relevante informatie; en |
b) |
de, naargelang het geval, in de leden 1 en 2 bedoelde toezichthoudende autoriteit en de Commissie in kennis van het advies en maakt dat advies bekend. |
6. De bevoegde toezichthoudende autoriteit stelt haar in lid 1 bedoelde ontwerpbesluit niet vast binnen de in lid 3 bedoelde termijn.
7. De in lid 1 bedoelde toezichthoudende autoriteit houdt maximaal rekening met het advies van het Comité en deelt de voorzitter van het Comité binnen twee weken na ontvangst van het advies langs elektronische weg door middel van een standaardformulier mee of zij haar ontwerpbesluit zal handhaven dan wel wijzigen alsmede, in voorkomend geval het gewijzigde ontwerpbesluit.
8. Wanneer de betrokken toezichthoudende autoriteit de voorzitter van het Comité binnen de in lid 7 van dit artikel bedoelde termijn, onder opgave van de redenen, kennis geeft van haar voornemen het advies van het Comité geheel of gedeeltelijk niet op te volgen, is artikel 65, lid 1, van toepassing.
Artikel 65
Geschillenbeslechting door het Comité
1. Om te zorgen voor de correcte en consequente toepassing van deze verordening in individuele gevallen, stelt het Comité een bindend besluit vast in de volgende gevallen:
a) |
wanneer in een geval als bedoeld in artikel 60, lid 4, een betrokken toezichthoudende autoriteit een relevant en gemotiveerd bezwaar heeft ingediend tegen een ontwerpbesluit van de leidende toezichthoudende autoriteit of de leidende toezichthoudende autoriteit dit bezwaar heeft afgewezen als zijnde irrelevant of ongemotiveerd. Het bindend besluit heeft betrekking op alle aangelegenheden die onderwerp van het relevante en gemotiveerde bezwaar zijn, en met name op de vraag of inbreuk op de onderhavige verordening wordt gemaakt; |
b) |
wanneer er verschillend wordt geoordeeld over de vraag welke betrokken toezichthoudende autoriteit bevoegd is voor de hoofdvestiging; |
c) |
wanneer een bevoegde toezichthoudende autoriteit in de in artikel 64, lid 1, genoemde gevallen het Comité niet om advies vraagt, of het krachtens artikel 64 uitgebrachte advies van het Comité niet volgt. In dat geval kan elke betrokken toezichthoudende autoriteit of de Commissie de aangelegenheid meedelen aan het Comité. |
2. Het in lid 1 bedoelde besluit wordt binnen één maand na de verwijzing van de aangelegenheid vastgesteld met een tweederdemeerderheid van de leden van het Comité. Deze termijn kan wegens de complexiteit van de aangelegenheid met één maand worden verlengd. Het in lid 1 bedoelde besluit wordt met redenen omkleed en gericht tot de leidende toezichthoudende autoriteit en alle betrokken toezichthoudende autoriteiten, en is bindend.
3. Indien het Comité niet binnen de in lid 2 genoemde termijn een besluit heeft kunnen vaststellen, stelt het zijn besluit binnen twee weken na het verstrijken van de in lid 2 bedoelde tweede maand vast, met een gewone meerderheid van zijn leden. Bij staking van stemmen onder de leden van het Comité is de stem van de voorzitter beslissend.
4. De betrokken toezichthoudende autoriteiten stellen tijdens de in de leden 2 en 3 bedoelde termijn geen besluit over de overeenkomstig lid 1 aan het Comité voorgelegde aangelegenheid vast.
5. De voorzitter van het Comité brengt het in lid 1 bedoelde besluit onverwijld ter kennis van de betrokken toezichthoudende autoriteiten. Hij brengt de Commissie daarvan op de hoogte. Het besluit wordt onverwijld bekendgemaakt op de website van het Comité nadat de toezichthoudende autoriteit het in lid 6 bedoelde definitieve besluit ter kennis heeft gebracht.
6. De leidende toezichthoudende autoriteit of, in voorkomend geval, de toezichthoudende autoriteit waarbij de klacht is ingediend, stelt onverwijld en uiterlijk binnen één maand na de kennisgeving door het Comité een definitief besluit vast op basis van het in lid 1 van dit artikel bedoelde besluit. De leidende toezichthoudende autoriteit of, in voorkomend geval, de toezichthoudende autoriteit waarbij de klacht is ingediend, deelt het Comité de datum mee waarop haar definitieve besluit ter kennis wordt gebracht van respectievelijk de verwerkingsverantwoordelijke of de verwerker en van de betrokkene. Het definitieve besluit van de betrokken toezichthoudende autoriteiten wordt vastgesteld overeenkomstig artikel 60a, leden 7, 8 en 9. Het definitieve besluit verwijst naar het in lid 1 van dit artikel bedoelde besluit en geeft aan dat genoemd besluit overeenkomstig lid 5 van dit artikel zal worden bekendgemaakt op de website van het Comité. Het in lid 1 van dit artikel bedoelde besluit wordt aan het definitieve besluit gehecht.
Artikel 66
Spoedprocedure
1. In buitengewone omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de rechten en vrijheden van betrokkenen te beschermen, in afwijking van het in de artikelen 63, 64 en 65 bedoelde coherentiemechanisme of van de in artikel 60 bedoelde procedure, onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur van ten hoogste drie maanden nemen die beogen rechtsgevolgen in het leven te roepen op het eigen grondgebied. De toezichthoudende autoriteit deelt die maatregelen met opgave van de redenen onverwijld mee aan de andere betrokken toezichthoudende autoriteiten, het Comité en de Commissie.
2. Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Comité met opgave van redenen om een dringend advies of een dringend bindend besluit verzoeken.
3. Een toezichthoudende autoriteit kan het Comité met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies of een dringend bindend besluit verzoeken wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden, teneinde de rechten en vrijheden van betrokkenen te beschermen.
4. In afwijking van artikel 64, lid 3, en van artikel 65, lid 2, wordt een als in de leden 2 en 3 bedoeld dringend advies of dringend bindend besluit binnen twee weken met gewone meerderheid van de leden van het Comité vastgesteld.
Artikel 67
Uitwisseling van informatie
De Commissie kan uitvoeringshandelingen van algemene aard vaststellen om d)de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité, met name het in artikel 64 bedoelde standaardformulier, vast te leggen.
Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Artikel 68
Europees Comité voor gegevensbescherming
1. Het Europees Comité voor gegevensbescherming (het „Comité”) wordt ingesteld als orgaan van de Unie en heeft rechtspersoonlijkheid.
2. Het Comité wordt vertegenwoordigd door zijn voorzitter.
3. Het Comité bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming, of hun respectieve vertegenwoordigers.
4. Wanneer in een lidstaat meer dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing van de bepalingen krachtens deze verordening, wordt overeenkomstig het recht van die lidstaat een gezamenlijke vertegenwoordiger aangewezen.
5. De Commissie heeft het recht deel te nemen aan de activiteiten en, zonder stemrecht, aan de bijeenkomsten van het Comité. De Commissie wijst een vertegenwoordiger aan. De voorzitter van het Comité stelt de Commissie in kennis van de activiteiten van het Comité.
6. In de in artikel 65 bedoelde gevallen heeft de Europese Toezichthouder voor gegevensbescherming uitsluitend stemrecht bij besluiten over op de instellingen, organen en instanties van de Unie toepasselijke beginselen en regels die inhoudelijk met die van de onderhavige verordening overeenstemmen.
Artikel 69
Onafhankelijkheid
1. Het Comité treedt bij de uitvoering van zijn taken of de uitoefening van zijn bevoegdheden overeenkomstig de artikelen 70 en 71 onafhankelijk op.
2. Onverminderd verzoeken van de Commissie als bedoeld in artikel 70, lid 1, onder b), en artikel 70, lid 2, vraagt noch aanvaardt het Comité bij de uitvoering van zijn taken of de uitoefening van zijn bevoegdheden instructies van wie dan ook.
Artikel 70
Taken van het Comité
1. Het Comité zorgt ervoor dat deze verordening consequent wordt toegepast. Daartoe doet het Comité op eigen initiatief of, waar passend, op verzoek van de Commissie met name het volgende:
a) |
toezien op en zorgen voor de juiste toepassing van deze verordening in de in de artikelen 64 en 65 bedoelde gevallen, onverminderd de taken van de nationale toezichthoudende autoriteiten; |
b) |
adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze verordening; |
c) |
adviseren van de Commissie over het mechanisme en de procedures voor de uitwisseling van informatie wat betreft bindende bedrijfsvoorschriften tussen verwerkingsverantwoordelijken, verwerkers, en toezichthoudende autoriteiten; |
d) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken inzake procedures voor het wissen van links, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten als bedoeld in artikel 17, lid 2; |
e) |
onderzoeken, op eigen initiatief of op verzoek van een van zijn leden dan wel op verzoek van de Commissie, van kwesties die betrekking hebben op de toepassing van deze verordening, en uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken om te bevorderen dat deze verordening consequent wordt toegepast; |
f) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid ter verdere specificatie van de criteria en de voorwaarden voor besluiten op basis van profilering krachtens artikel 22, lid 2; |
g) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid ter vaststelling van de in de leden 1 en 2 bedoelde inbreuken in verband met persoonsgegevens alsmede van de in artikel 33, leden 1 en 2, bedoelde onredelijke vertraging, en voor de bijzondere omstandigheden waarin een verwerkingsverantwoordelijke of een verwerker verplicht is de inbreuk in verband met persoonsgegevens te melden; |
h) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid ten aanzien van de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, als bedoeld in artikel 34, lid 1; |
i) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid ter verdere specificatie van de criteria en de eisen voor doorgiften van persoonsgegevens op basis van bindende bedrijfsvoorschriften voor verwerkingsverantwoordelijken en bindende bedrijfsvoorschriften voor verwerkers, alsmede op basis van verdere noodzakelijke eisen om de bescherming van persoonsgegevens van de betrokkenen in kwestie te garanderen, als bedoeld in artikel 47; |
j) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid ter verdere specificatie van de criteria en de eisen voor de doorgiften van persoonsgegevens op grond van artikel 49, lid 1; |
k) |
opstellen van richtsnoeren voor toezichthoudende autoriteiten betreffende de toepassing van de in artikel 58, leden 1, 2 en 3, bedoelde maatregelen en betreffende de vaststelling van administratieve geldboeten overeenkomstig artikel 83; |
l) |
evalueren van de praktische toepassing van de in de punten e) en f) bedoelde richtsnoeren, aanbevelingen en beste praktijken; |
m) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt e) van dit lid, ter vaststelling van gemeenschappelijke procedures waarmee natuurlijke personen inbreuken op deze verordening kunnen melden, als bedoeld in artikel 54, lid 2; |
n) |
bevorderen van het opstellen van gedragscodes en het invoeren van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens overeenkomstig de artikelen 40 en 42; |
o) |
verrichten van de accreditatie van certificeringsorganen en van de periodieke evaluatie daarvan overeenkomstig artikel 43, en houden van een openbaar register van geaccrediteerde organen conform artikel 43, lid 6, en van de geaccrediteerde verwerkingsverantwoordelijken of verwerkers die in derde landen zijn gevestigd, overeenkomstig artikel 42, lid 7; |
p) |
specificeren van de in artikel 43, lid 3, bedoelde vereisten met het oog op de accreditatie van certificeringsorganen overeenkomstig artikel 42; |
q) |
uitbrengen van een advies ten behoeve van de Commissie over de in artikel 43, lid 8, bedoelde certificeringseisen; |
r) |
uitbrengen van een advies ten behoeve van de Commissie over de in artikel 12, lid 7, bedoelde icoontjes; |
s) |
uitbrengen aan de Commissie van een advies om haar in staat te stellen te beoordelen of het beschermingsniveau in een derde land of een internationale organisatie adequaat is, en om te beoordelen of een derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of een internationale organisatie geen passend beschermingsniveau meer garandeert. Daartoe verstrekt de Commissie het Comité alle nodige documentatie, met inbegrip van correspondentie met de overheid van het derde land, ten aanzien van derde land, gebied of nader bepaalde sector of met de internationale organisatie. |
t) |
uitbrengen van adviezen over ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van het in artikel 64, lid 1, bedoelde coherentiemechanisme over aangelegenheden die overeenkomstig artikel 64, lid 2, ter sprake worden gebracht en uitbrengen van bindende beslissingen overeenkomstig artikel 65, met inbegrip van de in artikel 66 bedoelde gevallen; |
u) |
bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en beste praktijken tussen de toezichthoudende autoriteiten; |
v) |
bevorderen van gemeenschappelijke opleidingsprogramma’s en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, en waar passend, met de toezichthoudende autoriteiten van derde landen of met internationale organisaties; |
w) |
bevorderen van de uitwisseling van kennis en documentatie over de wetgeving en de praktijk op het gebied van gegevensbescherming met voor gegevensbescherming bevoegde toezichthoudende autoriteiten van de hele wereld; |
x) |
uitbrengen van adviezen over op Unieniveau opgestelde gedragscodes overeenkomstig artikel 40, lid 9; en |
y) |
houden van een openbaar elektronisch register van besluiten van toezichthoudende autoriteiten en gerechten over in het kader van het coherentiemechanisme behandelde aangelegenheden. |
2. Wanneer de Commissie het Comité om advies vraagt, kan zij een termijn aangeven, rekening houdend met de spoedeisendheid van de aangelegenheid.
3. Het Comité zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 93 bedoelde comité en maakt deze bekend.
4. Het Comité raadpleegt, waar passend, de belanghebbende partijen en biedt hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren. Onverminderd artikel 76, maakt het Comité de resultaten van de raadpleging openbaar.
Artikel 71
Rapportage
1. Het Comité stelt een jaarverslag op over de bescherming van natuurlijke personen met betrekking tot de verwerking in de Unie en, in voorkomend geval, in derde landen en internationale organisaties. Het verslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.
2. Het jaarverslag omvat een evaluatie van de praktische toepassing van de richtsnoeren, aanbevelingen en beste praktijken bedoeld in artikel 70, lid 1, punt l), en van de bindende besluiten bedoeld in artikel 65.
Artikel 72
Procedure
1. Het Comité neemt besluiten met een gewone meerderheid van zijn leden, tenzij anders bepaald in deze verordening.
2. Het Comité stelt met een tweederdemeerderheid van zijn leden zijn eigen reglement van orde en zijn eigen werkregelingen vast.
Artikel 73
Voorzitter
1. Het Comité kiest met gewone meerderheid een voorzitter en twee vicevoorzitters uit zijn leden.
2. De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden verlengd.
Artikel 74
Taken van de voorzitter
1. De voorzitter heeft de volgende taken:
a) |
bijeenroepen van de bijeenkomsten van het Comité en het opstellen van zijn agenda; |
b) |
ter kennis brengen van de door het Comité overeenkomstig artikel 65 vastgestelde besluiten aan de leidende toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten; |
c) |
ervoor zorgen dat de taken van het Comité tijdig worden uitgevoerd, met name wat het in artikel 63 bedoelde coherentiemechanisme betreft. |
2. Het Comité stelt in zijn reglement van orde de taakverdeling tussen de voorzitter en de vicevoorzitters vast.
Artikel 75
Secretariaat
1. Het Comité heeft een secretariaat, dat wordt verzorgd door de Europese Toezichthouder voor gegevensbescherming.
2. Het secretariaat verricht zijn taken uitsluitend volgens de instructies van de voorzitter van het Comité.
3. De personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de krachtens deze verordening aan het Comité opgedragen taken vallen onder een andere rapportageregeling dan de personeelsleden die betrokken zijn bij de uitvoering van de aan de Europese Toezichthouder voor gegevensbescherming opgedragen taken.
4. Waar passend wordt door het Comité en de Europese Toezichthouder voor gegevensbescherming een memorandum van overeenstemming ter uitvoering van dit artikel opgesteld en bekendgemaakt, waarin de voorwaarden van hun samenwerking worden vastgelegd en dat van toepassing is op de personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de krachtens deze verordening aan het Comité opgedragen taken.
5. Het secretariaat biedt het Comité analytische, administratieve en logistieke ondersteuning.
6. Het secretariaat is met name belast met:
a) |
de dagelijkse werking van het Comité; |
b) |
de communicatie tussen de leden van het Comité, zijn voorzitter en de Commissie; |
c) |
de communicatie met andere instellingen en het brede publiek; |
d) |
het gebruik van elektronische middelen voor interne en externe communicatie; |
e) |
de vertaling van relevante informatie; |
f) |
de voorbereiding en follow-up van de bijeenkomsten van het Comité; |
g) |
de voorbereiding, opstelling en bekendmaking van adviezen, besluiten inzake beslechting van geschillen tussen toezichthoudende autoriteiten, en andere teksten die het Comité vaststelt. |
Artikel 76
Vertrouwelijkheid
1. De besprekingen van het Comité zijn vertrouwelijk indien het comité dit noodzakelijk acht, in overeenstemming met zijn reglement van orde.
2. Op de toegang tot documenten die aan de leden van het Comité, deskundigen en vertegenwoordigers van derden worden voorgelegd, is Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (21) van toepassing.
HOOFDSTUK VIII
Beroep, aansprakelijkheid en sancties
Artikel 77
Recht om klacht in te dienen bij een toezichthoudende autoriteit
1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op deze verordening.
2. De toezichthoudende autoriteit waarbij de klacht is ingediend, stelt de klager in kennis van de voortgang en het resultaat van de klacht, alsmede van de mogelijke voorziening in rechte overeenkomstig artikel 78.
Artikel 78
Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit
1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft iedere natuurlijke persoon of rechtspersoon het recht om tegen een hem betreffend juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.
2. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig de artikelen 55 en 56 bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de uit hoofde van artikel 77 ingediende klacht.
3. Een procedure tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd.
4. Wanneer een procedure wordt ingesteld tegen een besluit van een toezichthoudende autoriteit waaraan een advies of een besluit van het Comité in het kader van het coherentiemechanisme is voorafgegaan, doet de toezichthoudende autoriteit dat advies of besluit aan de gerechten toekomen.
Artikel 79
Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker
1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht uit hoofde van artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.
2. Een procedure tegen een verwerkingsverantwoordelijke of een verwerker wordt ingesteld bij de gerechten van de lidstaat waar de verwerkingsverantwoordelijke of de verwerker een vestiging heeft. Een dergelijke procedure kan ook worden ingesteld bij de gerechten van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie van een lidstaat is die optreedt in de uitoefening van het overheidsgezag.
Artikel 80
Vertegenwoordiging van betrokkenen
1. De betrokkene heeft het recht een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doelstellingen het openbare belang dienen en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen, namens hem de in artikelen 77, 78 en 79 bedoelde rechten uit te oefenen en namens hem het in artikel 82 bedoelde recht op schadevergoeding uit te oefenen, indien het lidstatelijke recht daarin voorziet.
2. De lidstaten kunnen bepalen dat een orgaan, organisatie of vereniging als bedoeld in lid 1 van dit artikel, over het recht beschikt om onafhankelijk van de opdracht van een betrokkene in die lidstaat klacht in te dienen bij de overeenkomstig artikel 77 bevoegde toezichthoudende autoriteit en de in de artikelen 78 en 79 bedoelde rechten uit te oefenen, indien het/zij van mening is dat de rechten van een betrokkene uit hoofde van deze verordening zijn geschonden ten gevolge van de verwerking.
Artikel 81
Schorsing van de procedure
1. Indien een bevoegd gerecht van een lidstaat over informatie beschikt dat bij een gerecht van een andere lidstaat een procedure inzake verwerking betreffende dezelfde aangelegenheid en dezelfde verwerkingsverantwoordelijke of verwerker hangende is, neemt het contact op met dat gerecht in de andere lidstaat om het bestaan van die procedure te verifiëren.
2. Indien een procedure inzake verwerking met betrekking tot dezelfde aangelegenheid en dezelfde verwerkingsverantwoordelijke of verwerker hangende is bij een gerecht van een andere lidstaat, kan ieder ander bevoegd gerecht dan dat welk als eerste is aangezocht, zijn procedure schorsen.
3. Indien die procedure in eerste aanleg aanhangig is, kan elk gerecht dat niet als eerste is aangezocht, op verzoek van een van de partijen ook tot verwijzing overgaan, mits het eerst aangezochte gerecht bevoegd is om van de beide procedures kennis te nemen en zijn wetgeving de voeging daarvan toestaat.
Artikel 82
Recht op schadevergoeding en aansprakelijkheid
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2. Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
3. Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
4. Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.
5. Wanneer een verwerkingsverantwoordelijke of verwerker de schade overeenkomstig lid 4 geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in lid 2 gestelde voorwaarden.
6. Gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de in artikel 79, lid 2, bedoelde lidstaatrechtelijk bevoegde gerechten.
Artikel 83
Algemene voorwaarden voor het opleggen van administratieve geldboeten
1. Elke toezichthoudende autoriteit zorgt ervoor dat de administratieve geldboeten die uit hoofde van dit artikel worden opgelegd voor de in de leden 4, 5 en 6 vermelde inbreuken op deze verordening in elke zaak doeltreffend, evenredig en afschrikkend zijn.
2. Administratieve geldboeten worden, naargelang de omstandigheden van het concrete geval, opgelegd naast of in plaats van de in artikel 58, lid 2, onder a) tot en met h) en onder j), bedoelde maatregelen. Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a) |
de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; |
b) |
de opzettelijke of nalatige aard van de inbreuk; |
c) |
de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken; |
d) |
de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32; |
e) |
eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker; |
f) |
de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; |
g) |
de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; |
h) |
de wijze waarop de toezichthoudende autoriteit kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld; |
i) |
de naleving van de in artikel 58, lid 2, genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen; |
j) |
het aansluiten bij goedgekeurde gedragscodes overeenkomstig artikel 40 of van goedgekeurde certificeringsmechanismen overeenkomstig artikel 42; en |
k) |
elke andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factor, zoals gemaakte financiële winsten, of vermeden verliezen, die al dan niet rechtstreeks uit de inbreuk voortvloeien. |
3. Indien een verwerkingsverantwoordelijke of een verwerker opzettelijk of uit nalatigheid met betrekking tot dezelfde of daarmee verband houdende verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening, is de totale geldboete niet hoger dan die voor de zwaarste inbreuk.
4. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 10 000 000 EUR of, voor een onderneming, tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
a) |
de verplichtingen van de verwerkingsverantwoordelijke en de verwerker overeenkomstig de artikelen 8, 11, 25 tot en met 39, en 42 en 43; |
b) |
de verplichtingen van het certificeringsorgaan overeenkomstig de artikelen 42 en 43; |
c) |
de verplichtingen van het toezichthoudend orgaan overeenkomstig artikel 41, lid 4. |
5. Inbreuken op onderstaande bepalingen zijn overeenkomstig lid 2 onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is:
a) |
de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 5, 6, 7 en 9; |
b) |
de rechten van de betrokkenen overeenkomstig de artikelen 12 tot en met 22; |
c) |
de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 44 tot en met 49; |
d) |
alle verplichtingen uit hoofde van krachtens hoofdstuk IX door de lidstaten vastgesteldrecht; |
e) |
niet-naleving van een bevel of een tijdelijke of definitieve verwerkingsbeperking of een opschorting van gegevensstromen door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of niet-verlening van toegang in strijd met artikel 58, lid 1. |
6. Niet-naleving van een bevel van de toezichthoudende autoriteit als bedoeld in artikel 58, lid 2, is overeenkomstig lid 2 van dit artikel onderworpen aan administratieve geldboeten tot 20 000 000 EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is.
7. Onverminderd de bevoegdheden tot het nemen van corrigerende maatregelen van de toezichthoudende autoriteiten overeenkomstig artikel 58, lid 2, kan elke lidstaat regels vaststellen betreffende de vraag of en in hoeverre administratieve geldboeten kunnen worden opgelegd aan in die lidstaat gevestigde overheidsinstanties en overheidsorganen.
8. De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel is onderworpen aan passende procedurele waarborgen overeenkomstig het Unierecht en het lidstatelijke recht, waaronder een doeltreffende voorziening in rechte en eerlijke rechtsbedeling.
9. Wanneer het rechtsstelsel van de lidstaat niet voorziet in administratieve geldboeten, kan dit artikel aldus worden toegepast dat geldboeten worden geïnitieerd door de bevoegde toezichthoudende autoriteit en opgelegd door bevoegde nationale gerechten, waarbij wordt gewaarborgd dat deze rechtsmiddelen doeltreffend zijn en eenzelfde effect hebben als de door toezichthoudende autoriteiten opgelegde administratieve geldboeten. De boeten zijn in elk geval doeltreffend, evenredig en afschrikkend. Die lidstaten delen de Commissie uiterlijk op 25 mei 2018 de wetgevingsbepalingen mee die zij op grond van dit lid vaststellen, alsmede onverwijld alle latere wijzigingen daarvan en alle daarop van invloed zijnde wijzigingswetgeving.
Artikel 84
Sancties
1. De lidstaten stellen de regels inzake andere sancties vast die van toepassing zijn op inbreuken op deze verordening, in het bijzonder op inbreuken die niet aan administratieve geldboeten onderworpen zijn overeenkomstig artikel 83, en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. Die sancties zijn doeltreffend, evenredig en afschrikkend.
2. Elke lidstaat deelt de Commissie uiterlijk op 25 mei 2018 de overeenkomstig lid 1 vastgestelde wetgevingsbepalingen mee, alsook onverwijld alle latere wijzigingen daarvan.
HOOFDSTUK IX
Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
Artikel 85
Verwerking en vrijheid van meningsuiting en van informatie
1. De lidstaten brengen het recht op bescherming van persoonsgegevens overeenkomstig deze verordening wettelijk in overeenstemming met het recht op vrijheid van meningsuiting en van informatie, daaronder begrepen de verwerking voor journalistieke doeleinden en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.
2. Voor verwerking voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen stellen de lidstaten uitzonderingen of afwijkingen vast van hoofdstuk II (beginselen), hoofdstuk III (rechten van de betrokkene), hoofdstuk IV (de verwerkingsverantwoordelijke en de verwerker), hoofdstuk V (doorgifte van persoonsgegevens naar derde landen of internationale organisaties), hoofdstuk VI (onafhankelijke toezichthoudende autoriteiten), hoofdstuk VII (samenwerking en coherentie) en hoofdstuk IX (specifieke gegevensverwerkingssituaties) indien deze noodzakelijk zijn om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de vrijheid van meningsuiting en van informatie.
3. Elke lidstaat deelt de Commissie de overeenkomstig lid 2 vastgestelde wetgevingsbepalingen mee, alsook onverwijld alle latere wijzigingen daarvan.
Artikel 86
Verwerking en recht van toegang van het publiek tot officiële documenten
Persoonsgegevens in officiële documenten die voor de uitvoering van een taak van algemeen belang in het bezit zijn van een overheidsinstantie, een overheidsorgaan of een particulier orgaan, mogen door de instantie of het orgaan in kwestie worden bekendgemaakt in overeenstemming met het Unierecht of het lidstatelijke recht dat op de overheidsinstantie of het orgaan van toepassing is, teneinde het recht van toegang van het publiek tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens uit hoofde van deze verordening.
Artikel 87
Verwerking van het nationaal identificatienummer
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.
Artikel 88
Verwerking in het kader van de arbeidsverhouding
1. Bij wet of bij collectieve overeenkomst kunnen de lidstaten nadere regels vaststellen ter bescherming van de rechten en vrijheden met betrekking tot de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, in het bijzonder met het oog op aanwerving, de uitvoering van de arbeidsovereenkomst, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de organisatie van de arbeid, gelijkheid en diversiteit op het werk, gezondheid en veiligheid op het werk, bescherming van de eigendom van de werkgever of de klant dan wel met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding.
2. Die regels omvatten passende en specifieke maatregelen ter waarborging van de menselijke waardigheid, de gerechtvaardigde belangen en de grondrechten van de betrokkene, met name wat betreft de transparantie van de verwerking, de doorgifte van persoonsgegevens binnen een concern of een groepering van ondernemingen die gezamenlijk een economische activiteit uitoefenen en toezichtsystemen op het werk.
3. Elke lidstaat deelt de Commissie uiterlijk op 25 mei 2018 de overeenkomstig lid 1 vastgestelde wetgevingsbepalingen mee, alsook onverwijld alle latere wijzigingen daarvan.
Artikel 89
Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
1. De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.
2. Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
3. Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
4. Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van toepassing op verwerking voor de in die leden bedoelde doeleinden.
Artikel 90
Geheimhoudingsplicht
1. Wanneer dit noodzakelijk en evenredig is om het recht op bescherming van persoonsgegevens in overeenstemming te brengen met de geheimhoudingsplicht kunnen de lidstaten specifieke regels vaststellen voor de in artikel 58, lid 1, punten e) en f), bedoelde bevoegdheden van de toezichthoudende autoriteiten in verband met de verwerkingsverantwoordelijken of verwerkers die krachtens het Unierecht, het lidstatelijke recht of door nationale bevoegde instanties vastgestelde regelgeving, aan het beroepsgeheim of aan een andere gelijkwaardige geheimhoudingsplicht onderworpen zijn. Die regels gelden uitsluitend met betrekking tot persoonsgegevens die de verwerkingsverantwoordelijke of de verwerker in het kader van een onder die geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen.
2. Elke lidstaat deelt de Commissie uiterlijk op 25 mei 2018 de regels mee die hij heeft vastgesteld overeenkomstig lid 1, alsmede onverwijld alle wijzigingen daarvan.
Artikel 91
Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen
1. Wanneer kerken en religieuze verenigingen of gemeenschappen in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide regels betreffende de bescherming van natuurlijke personen in verband met verwerking toepassen, kunnen die regels van toepassing blijven, mits zij in overeenstemming worden gebracht met deze verordening.
2. Kerken en religieuze verenigingen die overeenkomstig lid 1 van dit artikel uitgebreide regels hanteren, zijn onderworpen aan toezicht door een onafhankelijke toezichthoudende autoriteit, die specifiek kan zijn, op voorwaarde dat de autoriteit voldoet aan de voorwaarden die zijn vastgesteld in hoofdstuk VI van deze verordening.
HOOFDSTUK X
Gedelegeerde handelingen en uitvoeringshandelingen
Artikel 92
Uitoefening van de bevoegdheidsdelegatie
1. De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel neergelegde voorwaarden.
2. De in artikel 12, lid 8, en artikel 43, lid 8, bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van 24 mei 2016.
3. Het Europees Parlement of de Raad kan de in artikel 12, lid 8, en artikel 43, lid 8, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheid. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.
4. Zodra de Commissie een gedelegeerde handeling heeft vastgesteld, doet zij daarvan gelijktijdig kennisgeving aan het Europees Parlement en de Raad.
5. Een overeenkomstig artikel 12, lid 8, en artikel 43, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad daartegen binnen een termijn van drie maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van die termijn de Commissie hebben medegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of van de Raad met drie maanden verlengd.
Artikel 93
Comitéprocedure
1. De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
3. Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.
HOOFDSTUK XI
Slotbepalingen
Artikel 94
Intrekking van Richtlijn 95/46/EG
1. Richtlijn 95/46/EG wordt met ingang van 25 mei 2018 ingetrokken.
2. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.
Artikel 95
Verhouding tot Richtlijn 2002/58/EG
Deze verordening legt natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op met betrekking tot verwerking in verband met het verstrekken van openbare elektronische-communicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.
Artikel 96
Verhouding tot eerder gesloten overeenkomsten
Internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten zijn gesloten vóór 24 mei 2016, en die in overeenstemming zijn met het vóór die datum toepasselijke Unierecht, blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken.
Artikel 97
Commissieverslagen
1. Uiterlijk op 25 mei 2020 en om de vier jaar daarna, dient de Commissie een verslag in bij het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening. De verslagen worden openbaar gemaakt.
2. In het kader van de in lid 1 bedoelde evaluaties en toetsingen beoordeelt de Commissie met name de toepassing en de werking van:
a) |
hoofdstuk V betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, in het bijzonder met betrekking tot krachtens artikel 45, lid 3, van deze verordening vastgestelde besluiten en op grond van artikel 25, lid 6, van Richtlijn 95/46/EG vastgestelde besluiten; |
b) |
hoofdstuk VII betreffende samenwerking en coherentie. |
3. Voor het in lid 1 vermelde doel kan de Commissie zowel de lidstaten als toezichthoudende autoriteiten om informatie verzoeken.
4. Bij de uitvoering van de in de leden 1 en 2 vermelde evaluaties en toetsingen neemt de Commissie de standpunten en bevindingen van het Europees Parlement, van de Raad, en van andere relevante instanties of bronnen in aanmerking.
5. Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij.
Artikel 98
Toetsing van andere Unierechtshandelingen inzake gegevensbescherming
Indien passend dient de Commissie wetgevingsvoorstellen in teneinde andere Unierechtshandelingen betreffende de bescherming van persoonsgegevens te wijzigen en aldus een uniforme en consequente bescherming van natuurlijke personen te garanderen in verband met verwerking. Het gaat hierbij met name om de regels betreffende de bescherming van natuurlijke personen in verband met verwerking door instellingen, organen en instanties van de Unie, en betreffende het vrije verkeer van die gegevens.
Artikel 99
Inwerkingtreding en toepassing
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Zij is van toepassing met ingang van 25 mei 2018.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 27 april 2016.
Voor het Europees Parlement
De voorzitter
M. SCHULZ
Voor de Raad
De voorzitter
J.A. HENNIS-PLASSCHAERT
(1) PB C 229 van 31.7.2012, blz. 90.
(2) PB C 391 van 18.12.2012, blz. 127.
(3) Standpunt van het Europees Parlement van 12 maart 2014 (nog niet bekendgemaakt in het Publicatieblad) en standpunt van de Raad op eerste lezing van 8 april 2016 (nog niet bekendgemaakt in het Publicatieblad). Standpunt van het Europees Parlement van 14 april 2016.
(4) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(5) Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (C(2003) 1422) (PB L 124 van 20.5.2003, blz. 36).
(6) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(7) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (zie bladzijde 89 van dit Publicatieblad).
(8) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („Richtlijn inzake elektronische handel”) (PB L 178 van 17.7.2000, blz. 1).
(9) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).
(10) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).
(11) Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statis-tieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70).
(12) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(13) Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 351 van 20.12.2012, blz. 1).
(14) Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie (PB L 345 van 31.12.2003, blz. 90).
(15) Verordening (EU) nr. 536/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende klinische proeven met geneesmiddelen voor menselijk gebruik en tot intrekking van Richtlijn 2001/20/EG (PB L 158 van 27.5.2014, blz. 1).
(16) Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).
(17) PB C 192 van 30.6.2012, blz. 7.
(18) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(19) Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).
(20) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de eisen inzake accreditatie en markttoezicht betreffende het verhandelen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30).
(21) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
RICHTLIJNEN
4.5.2016 |
NL |
Publicatieblad van de Europese Unie |
L 119/89 |
RICHTLIJN (EU) 2016/680 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 27 april 2016
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Comité van de Regio’s (1),
Handelend volgens de gewone wetgevingsprocedure (2),
Overwegende hetgeen volgt:
(1) |
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie („het Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van de hem betreffende persoonsgegevens. |
(2) |
De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht hun nationaliteit of verblijfplaats, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. Deze richtlijn is bedoeld om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht. |
(3) |
Snelle technologische ontwikkelingen en de mondialisering brachten nieuwe uitdagingen voor de bescherming van persoonsgegevens. De mate waarin persoonsgegevens worden verzameld en gedeeld, is aanzienlijk gestegen. Dankzij de technologie kunnen bij activiteiten zoals de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen meer dan ooit tevoren persoonsgegevens worden verwerkt. |
(4) |
Het vrije verkeer van persoonsgegevens tussen bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid binnen de Unie en de doorgifte van dergelijke persoonsgegevens aan derde landen en internationale organisaties, moet worden vergemakkelijkt, en tegelijk moet een hoge mate van bescherming van persoonsgegevens worden gewaarborgd. Die ontwikkelingen vereisen dat een solide en coherenter kader voor de bescherming van persoonsgegevens in de Unie wordt ontwikkeld, gestoeld op een strakke handhaving. |
(5) |
Richtlijn 95/46/EG van het Europees Parlement en de Raad (3) is van toepassing op elke verwerking van persoonsgegevens in de lidstaten, zowel in de publieke als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking. |
(6) |
Kaderbesluit 2008/977/JBZ van de Raad (4) is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten. |
(7) |
Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequente en hoge mate van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd, én dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardige mate van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken, alsmede gelijkwaardige bevoegdheden om de regelgeving inzake de bescherming van persoonsgegevens in de lidstaten te handhaven en toe te zien op naleving daarvan. |
(8) |
Overeenkomstig artikel 16, lid 2, VWEU dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens. |
(9) |
Op die basis worden bij Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5) algemene regels vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen. |
(10) |
In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. |
(11) |
Derhalve is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, daarbij rekening houdend met de specifieke aard van die activiteiten. Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is Verordening (EU) 2016/679 van toepassing. Verordening (EU) 2016/679 is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. Zo bewaren financiële instellingen met het oog op onderzoek, opsporing of vervolging van strafbare feiten bepaalde persoonsgegevens die door hen worden verwerkt, en verstrekken zij die persoonsgegevens uitsluitend in specifieke gevallen en overeenkomstig het lidstatelijke recht aan de bevoegde nationale autoriteiten. Een orgaan dat of entiteit die namens die autoriteiten persoonsgegevens verwerkt binnen het toepassingsgebied van deze richtlijn, dient gebonden te zijn door een overeenkomst of een andere rechtshandeling en door de ingevolge deze richtlijn op verwerkers toepasselijke bepalingen, terwijl Verordening (EU) 2016/679 onverminderd van toepassing blijft op de verwerking van persoonsgegevens door de verwerker die buiten het toepassingsgebied van deze richtlijn valt. |
(12) |
De door de politie of andere rechtshandhavingsautoriteiten verrichte activiteiten zijn hoofdzakelijk gericht op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, met inbegrip van politieactiviteiten waarbij vooraf niet bekend is of een voorval al dan niet een strafbaar feit is. Tot die activiteiten behoren ook de uitoefening van gezag door het nemen van dwangmaatregelen zoals politieactiviteiten bij demonstraties, belangrijke sportevenementen en rellen. Zij omvatten ook de rechts- en ordehandhaving als een, zo nodig, aan de politie of andere rechtshandhavingsautoriteiten toevertrouwde taak ter bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en voor bij wet beschermde fundamentele belangen van de samenleving, die tot strafbare feiten kunnen leiden. De lidstaten kunnen de bevoegde autoriteiten belasten met andere taken die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden, voor zover zij binnen het toepassingsgebied van het Unierecht valt, binnen het toepassingsgebied van Verordening (EU) 2016/679 valt. |
(13) |
Een strafbaar feit in de zin van deze richtlijn moet een autonoom Unierechtelijk begrip zijn zoals uitgelegd door het Hof van Justitie van de Europese Unie (het „Hof van Justitie”). |
(14) |
Aangezien deze richtlijn niet mag gelden voor de verwerking van persoonsgegevens in de loop van een activiteit die buiten het toepassingsgebied van het Unierecht valt, mogen activiteiten die de nationale veiligheid betreffen, activiteiten van agentschappen of eenheden die zich met nationale veiligheidsvraagstukken bezighouden en de verwerking van persoonsgegevens door de lidstaten in het kader van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen, niet als binnen het toepassingsgebied van deze richtlijn vallende activiteiten worden beschouwd. |
(15) |
Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van in rechte afdwingbare rechten en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, moet deze richtlijn voorzien in geharmoniseerde regels betreffende de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. De onderlinge afstemming van de rechtsstelsels van de lidstaten mag niet tot verminderde bescherming van persoonsgegevens leiden, maar moet juist zorgen voor een hoog beschermingsniveau in de Unie. De lidstaten mag niet worden belet met betrekking tot de bescherming van de rechten en vrijheden van de betrokkene inzake de verwerking van persoonsgegevens door bevoegde autoriteiten uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet. |
(16) |
Deze richtlijn laat het beginsel van recht van toegang van het publiek tot officiële documenten onverlet. Uit hoofde van Verordening (EU) 2016/679 mogen persoonsgegevens in officiële documenten die door een overheidsinstantie of een publiek of particulier orgaan voor de uitvoering van een taak van algemeen belang worden bijgehouden, door die instantie of dat orgaan worden bekendgemaakt in overeenstemming met het Unierecht of het lidstatelijke recht waaraan de overheidsinstantie of het orgaan is onderworpen, teneinde de openbare toegang tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens. |
(17) |
De door deze richtlijn geboden bescherming dient van toepassing te zijn op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. |
(18) |
Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technieken. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen. |
(19) |
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (6) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op zulke verwerking van persoonsgegevens moeten worden aangepast aan de beginselen en regels van Verordening (EU) 2016/679. |
(20) |
Deze richtlijn belet niet dat de lidstaten in nationale regels over strafrechtelijke procedures met betrekking tot de verwerking van persoonsgegevens door gerechten en andere rechterlijke autoriteiten een nadere omschrijving geven van verwerkingsactiviteiten en verwerkingsprocedures, met name wat betreft persoonsgegevens die zijn vervat in een rechterlijke beslissing of in registers betreffende strafrechtelijke procedures. |
(21) |
De beginselen van gegevensbescherming moeten voor alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen mogen derhalve niet van toepassing zijn op anonieme gegevens, met name gegevens die geen verband houden met een geïdentificeerde of identificeerbare natuurlijke persoon of met persoonsgegevens die zodanig geanonimiseerd zijn dat de betrokkene niet langer identificeerbaar is. |
(22) |
Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden bekendgemaakt voor het vervullen van een officiële taak, zoals belasting- of douaneautoriteiten, financiële onderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet als ontvangers worden beschouwd indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek in het algemeen belang, overeenkomstig het Unierecht of het recht van de lidstaten. Verzoeken om bekendmaking vanwege overheidsinstanties dienen in ieder geval schriftelijk te worden ingediend, gemotiveerd te worden en incidenteel te zijn, en mogen geen volledig bestand betreffen of resulteren in de koppeling van bestanden. De verwerking van persoonsgegevens door die overheidsinstanties moet stroken met de voor het doel van de verwerking toepasselijke gegevensbeschermingsregels. |
(23) |
Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie geven over de fysiologie of de gezondheid van die natuurlijke persoon, die voortkomen uit een analyse van een biologisch monster van de betrokken persoon, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of een analyse van een ander element waarmee soortgelijke informatie kan worden verkregen. Gezien de complexe en gevoelige aard van genetische informatie bestaat een groot risico op misbruik en hergebruik voor uiteenlopende doeleinden door de verwerkingsverantwoordelijke. Discriminatie op grond van genetische kenmerken moet in beginsel worden verboden. |
(24) |
Als persoonsgegevens over gezondheid moeten worden beschouwd alle gegevens die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Zij omvatten informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten aan die natuurlijke persoon als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad (7), alsmede een aan een natuurlijke persoon toegekend nummer, symbool of kenmerk dat uitsluitend als identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden, de informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters, en alle informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, bijvoorbeeld een arts of andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostische test. |
(25) |
Alle lidstaten zijn aangesloten bij de Internationale Criminele Politieorganisatie (Interpol). Om haar taak te kunnen uitvoeren, zorgt Interpol voor het ontvangen, opslaan en verspreiden van persoonsgegevens om bevoegde autoriteiten bij te staan in het voorkomen en bestrijden van internationale criminaliteit. Daarom is het passend de samenwerking tussen de Unie en Interpol te versterken door een efficiënte uitwisseling van persoonsgegevens te bevorderen, zulks met eerbiediging van de grondrechten en fundamentele vrijheden met betrekking tot de automatische verwerking van persoonsgegevens. Wanneer persoonsgegevens worden doorgegeven van de Unie aan Interpol, en aan landen die vertegenwoordigers naar Interpol hebben afgevaardigd, dient deze richtlijn, met name de bepalingen inzake internationale doorgiften, van toepassing te zijn. Deze richtlijn mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad (8) en van Besluit 2007/533/JBZ van de Raad (9). |
(26) |
Iedere verwerking van persoonsgegevens dient ten aanzien van de natuurlijke personen in kwestie rechtmatig, behoorlijk en transparant te zijn en uitsluitend te geschieden met het oog op specifieke, bij wet vastgestelde doeleinden. Dit belet als zodanig niet dat de rechtshandhavingsinstanties activiteiten verrichten zoals infiltratieoperaties of videobewaking. Die activiteiten kunnen worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, voor zover de activiteiten bij wet zijn vastgelegd en in een democratische samenleving, met inachtneming van de legitieme belangen van de betrokken natuurlijke persoon, een noodzakelijke en evenredige maatregel vormen. Het gegevensbeschermingsbeginsel van behoorlijke verwerking is een ander begrip dan het recht op een onpartijdig gerecht zoals omschreven in artikel 47 van het Handvest en artikel 6 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van hun persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens moeten toereikend en ter zake dienend zijn voor de doeleinden waarvoor zij worden verwerkt. Meer bepaald moet ervoor worden gezorgd dat niet bovenmatig veel gegevens worden verzameld en dat zij niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere manier kan worden verwezenlijkt. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. De lidstaten moeten voorzien in passende waarborgen voor persoonsgegevens die langer worden bewaard voor archivering in het algemeen belang of voor wetenschappelijk of historisch onderzoek of statistische doeleinden. |
(27) |
Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat bevoegde autoriteiten de persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van bepaalde strafbare feiten hebben verzameld, ook buiten dat kader verwerken, teneinde inzicht te verwerven in criminele activiteiten en verbanden te leggen tussen verschillende opgespoorde strafbare feiten. |
(28) |
Om de veiligheid in verband met de verwerking te handhaven en te voorkomen dat met een verwerking inbreuk wordt gemaakt op deze richtlijn, dienen persoonsgegevens te worden verwerkt met inachtneming van een passend niveau van beveiliging en vertrouwelijkheid, wat onder meer inhoudt dat ongeoorloofde toegang tot of het gebruik van persoonsgegevens en de voor de verwerking gebruikte apparatuur wordt voorkomen, en met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met de risico’s en de aard van de te beschermen persoonsgegevens. |
(29) |
Persoonsgegevens dienen te worden verzameld voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden binnen het toepassingsgebied van deze richtlijn, en mogen niet worden verwerkt voor doeleinden die onverenigbaar zijn met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Indien persoonsgegevens door dezelfde of een andere verwerkingsverantwoordelijke worden verwerkt voor een doelstelling die binnen het toepassingsgebied van deze richtlijn valt, niet zijnde die waarvoor zij zijn verzameld, moet deze verwerking worden toegestaan, op voorwaarde dat zij is toegestaan op grond van toepasselijke wettelijke bepalingen, noodzakelijk is en in verhouding staat tot die doestelling. |
(30) |
Het beginsel van juistheid van gegevens moet worden toegepast met inachtneming van de aard en het doel van de verwerking in kwestie. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van natuurlijke personen en niet altijd te controleren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd. |
(31) |
Het is inherent aan de verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking dat persoonsgegevens betreffende verschillende categorieën van betrokkenen worden verwerkt. Daarom moet in voorkomend geval en zoveel mogelijk een onderscheid worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers. Dit mag geen afbreuk doen aan de toepassing van het recht op het vermoeden van onschuld zoals gewaarborgd bij het Handvest en het EVRM, zoals uitgelegd in de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens. |
(32) |
De bevoegde autoriteiten moeten ervoor zorgen dat persoonsgegevens die onjuist, onvolledig of niet langer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Om de bescherming van natuurlijke personen en de juistheid, de volledigheid of mate waarin de persoonsgegevens actueel zijn en de betrouwbaarheid van de doorgezonden of beschikbaar gestelde persoonsgegevens te waarborgen, dienen de bevoegde autoriteiten voor zover mogelijk bij elke doorzending van persoonsgegevens de noodzakelijk informatie toe te voegen. |
(33) |
Wanneer in deze richtlijn wordt verwezen naar het lidstatelijke recht, een rechtsgrond of een wetgevingsmaatregel, betekent dit niet noodzakelijk dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de constitutionele vereisten van de betrokken lidstaat. Dit lidstatelijke recht, die rechtsgrond of die wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens. In het lidstatelijke recht dat de verwerking van persoonsgegevens binnen het toepassingsgebied van deze richtlijn regelt, dienen ten minste de doeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking te worden gespecificeerd, alsmede de procedures voor het vrijwaren van de integriteit en de vertrouwelijkheid van persoonsgegevens en de procedures voor de vernietiging ervan, zodat voldoende garanties worden geboden tegen het risico op misbruik en willekeur. |
(34) |
De verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid moet betrekking hebben op een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens voor die doeleinden, al dan niet uitgevoerd met behulp van geautomatiseerde procedés of anderszins, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, aligneren, combineren, aan verwerkingsbeperkingen onderwerpen, wissen of vernietigen van gegevens. Meer bepaald dienen de bepalingen van deze richtlijn van toepassing te zijn op de doorzending van persoonsgegevens met het oog op de doelstellingen van deze richtlijn aan een ontvanger die niet onder deze richtlijn valt. Onder ontvanger dient te worden verstaan, een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of enig ander orgaan aan wie of waaraan de persoonsgegevens rechtmatig door de bevoegde autoriteit worden bekendgemaakt. Wanneer de persoonsgegevens in eerste instantie zijn verzameld door een bevoegde autoriteit voor een van de doeleinden van deze richtlijn, moet Verordening (EU) 2016/679 van toepassing zijn op de doorzending van die gegevens voor andere doeleinden dan die van deze richtlijn, indien deze verwerking is toegestaan bij het Unierecht of het lidstatelijke recht. Meer bepaald dienen de bepalingen van Verordening (EU) 2016/679 van toepassing te zijn op de doorgifte van persoonsgegevens voor doeleinden die niet onder deze richtlijn vallen. Verordening (EU) 2016/679 dient van toepassing te zijn op de verwerking van persoonsgegevens door een ontvanger die niet de bevoegde autoriteit is of die niet optreedt als bevoegde autoriteit in de zin van deze richtlijn en aan wie de persoonsgegevens rechtmatig zijn bekendgemaakt door een bevoegde autoriteit. Bij de uitvoering van deze richtlijn moeten de lidstaten ook de toepassing van de regels van Verordening (EU) 2016/679 nader kunnen bepalen, mits wordt voldaan aan de daarin gestelde voorwaarden. |
(35) |
Een verwerking van persoonsgegevens op grond van deze richtlijn geldt slechts als rechtmatig indien zij noodzakelijk is om een bevoegde autoriteit in staat te stellen op grond van het Unierecht of het lidstatelijke recht een taak in het algemeen belang uit te voeren met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Die activiteiten dienen de bescherming van vitale belangen van de betrokkene te omvatten. Het uitvoeren van de bij wet aan de bevoegde autoriteiten toegewezen taken in verband met de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, stelt hen in staat van natuurlijke personen te verlangen of te eisen dat zij aan de gedane verzoeken gevolg geven. In dit geval mag de toestemming van de betrokkene als omschreven in Verordening (EU) 2016/679 geen rechtsgrond vormen voor de verwerking van persoonsgegevens door bevoegde autoriteiten. Wanneer van de betrokkene wordt verlangd dat hij aan een wettelijke verplichting voldoet, heeft hij geen echte, vrije keuze, en kan zijn reactie derhalve niet als een spontane blijk van zijn wil worden uitgelegd. Dit mag de lidstaten niet beletten om in hun wetgeving te bepalen dat de betrokkene kan instemmen met de verwerking van zijn persoonsgegevens voor de doeleinden van deze richtlijn, zoals DNA-tests in strafrechtelijke onderzoeken of het toezicht, met behulp van elektronische enkelbanden, op de locatie waar de betrokkene zich bevindt met het oog op de tenuitvoerlegging van straffen. |
(36) |
De lidstaten moeten bepalen dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of lidstatelijke recht voorziet in specifieke voorwaarden die in specifieke omstandigheden op de verwerking van persoonsgegevens van toepassing zijn, zoals het gebruik van behandelingscodes, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging ervan in kennis dient te stellen. Die voorwaarden kunnen bijvoorbeeld voorzien in een verbod om de persoonsgegevens aan anderen door te zenden, of deze voor andere doeleinden te gebruiken dan deze waarvoor zij aan de ontvanger werden doorgezonden, of de betrokkene niet in kennis te stellen in geval van een beperking van het recht op informatie zonder de voorafgaande toestemming van de doorzendende bevoegde autoriteit. Die verplichtingen dienen ook te gelden voor doorgiften van de doorzendende bevoegde autoriteit aan ontvangers in derde landen of internationale organisaties. De lidstaten moeten ervoor zorgen dat de doorzendende bevoegde autoriteit geen andere voorwaarden toepast op ontvangers in andere lidstaten of op agentschappen, organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V VWEU, dan die welke van toepassing zijn op vergelijkbare doorzending van gegevens binnen de lidstaat van die bevoegde autoriteit. |
(37) |
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Die persoonsgegevens dienen de persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. Dergelijke persoonsgegevens mogen slechts worden verwerkt indien bij de verwerking passende bij wet vastgelegde waarborgen gelden wat de rechten en vrijheden van de betrokkene betreft en zij is toegelaten in bij wet bepaalde gevallen; bij ontstentenis van zulke wet, indien de verwerking noodzakelijk is om de vitale belangen van de betrokkene of een andere persoon te beschermen; of indien de verwerking betrekking heeft op gegevens die de betrokkene zelf kennelijk openbaar heeft gemaakt. Passende waarborgen voor de rechten en vrijheden van de betrokkene kunnen bijvoorbeeld inhouden dat die gegevens enkel mogen worden verzameld in samenhang met andere gegevens over de natuurlijke persoon in kwestie, dat de verzamelde gegevens afdoende kunnen worden beveiligd, dat strengere regels gelden voor de toegang van het personeel van de bevoegde autoriteit tot de gegevens, en dat de doorzending van die gegevens wordt verboden. De verwerking van die gegevens dient ook bij wet toegelaten te zijn wanneer de betrokkene uitdrukkelijk heeft toegestemd met de verwerking die een ingrijpende inbreuk vormt op zijn privacy. De toestemming van de betrokkene op zich mag evenwel geen rechtsgrond vormen voor de verwerking van die gevoelige persoonsgegevens door bevoegde autoriteiten. |
(38) |
De betrokkene dient het recht te hebben niet te worden onderworpen aan een besluit waaraan voor hem negatieve rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking die bedoeld is om een beeld te krijgen van bepaalde van zijn persoonlijke aspecten. Voor die verwerking moeten in ieder geval passende waarborgen worden geboden, waaronder specifieke voorlichting van de betrokkene en het recht op menselijke tussenkomst, met name om zijn standpunt kenbaar te maken, om uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit. Profilering die leidt tot discriminatie van natuurlijke personen op grond van persoonsgegevens die door de aard ervan bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, dient verboden te worden overeenkomstig de bepalingen van de artikelen 21 en 52 van het Handvest. |
(39) |
Informatie die aan de betrokkene wordt verstrekt, dient eenvoudig toegankelijk, onder meer op de website van de verwerkingsverantwoordelijke, en begrijpelijk te zijn, en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten uit te oefenen. Die informatie dient aangepast te zijn aan de behoeften van kwetsbare personen, zoals kinderen. |
(40) |
Er moet worden voorzien in regelingen om de betrokkene beter in staat te stellen zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen uit te oefenen, waaronder regelingen voor het verzoeken om, en in voorkomend geval kosteloos verkrijgen van, inzage in, en rectificatie of wissing van persoonsgegevens en verwerkingsbeperking. De verwerkingsverantwoordelijke dient te worden verplicht zonder onnodige vertraging op verzoeken van betrokkenen te reageren, tenzij de verwerkingsverantwoordelijke beperkingen toepast op de rechten van betrokkenen overeenkomstig de regels van deze richtlijn. De verwerkingsverantwoordelijke moet bovendien een redelijke vergoeding kunnen aanrekenen of kunnen weigeren aan het verzoek gevolg te geven wanneer verzoeken kennelijk ongegrond of buitensporig zijn, zoals wanneer de betrokkene zonder goede reden en herhaaldelijk om informatie verzoekt, of wanneer de betrokkene zijn recht om informatie te verkrijgen misbruikt, bijvoorbeeld door bij het verzoek valse of misleidende informatie te verstrekken. |
(41) |
Wanneer de verwerkingsverantwoordelijke om aanvullende informatie verzoekt die noodzakelijk is ter bevestiging van de identiteit van de betrokkene, dient die informatie uitsluitend voor dat specifieke doel te worden verwerkt en mag die informatie niet langer worden opgeslagen dan voor dat doel noodzakelijk is. |
(42) |
Ten minste de volgende informatie moet ter beschikking van de betrokkene worden gesteld: de identiteit van de verwerkingsverantwoordelijke, het bestaan van de verwerking, de doeleinden van de verwerking, het recht klacht in te dienen en het bestaan van het recht om van de verwerkingsverantwoordelijke toegang tot en rectificatie of wissing van persoonsgegevens of verwerkingsbeperking te verlangen. Dit kan worden gedaan op de website van de bevoegde autoriteit. Daarnaast dient de betrokkene, in specifieke gevallen en om hem in staat te stellen zijn rechten uit te oefenen, te worden ingelicht over de rechtsgrond voor de verwerking en over hoe lang de gegevens zullen worden opgeslagen, voor zover die nadere informatie noodzakelijk is om, met inachtneming van de specifieke omstandigheden waarin de persoonsgegevens worden verwerkt, met betrekking tot de betrokkene een behoorlijke verwerking te waarborgen. |
(43) |
Een natuurlijke persoon moet beschikken over het recht op inzage van de gegevens die over hem zijn verzameld, en moet dit recht gemakkelijk en met redelijke tussenpozen kunnen uitoefenen, zodat hij kennis kan nemen van de verwerking en de rechtmatigheid daarvan kan nagaan. Iedere betrokkene moet dan ook het recht hebben om op de hoogte te zijn van, en mededelingen te verkrijgen over, de doeleinden waarvoor de gegevens worden verwerkt, de periode waarin deze gegevens worden verwerkt, en de ontvangers van de gegevens, ook in derde landen. Wanneer die mededelingen informatie behelzen over de oorsprong van de persoonsgegevens, mag die informatie de identiteit van natuurlijke personen, met name van vertrouwelijke bronnen, niet onthullen. Om aan dit recht te voldoen, volstaat het dat aan de betrokkene in een begrijpelijke vorm een volledig overzicht van die gegevens wordt verstrekt, dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van deze gegevens en na te gaan of deze juist zijn en overeenkomstig deze richtlijn zijn verwerkt, zodat hij in voorkomend geval de hem uit hoofde van deze richtlijn toegekende rechten kan uitoefenen. Dat overzicht kan worden verstrekt in de vorm van een kopie van de persoonsgegevens die worden verwerkt. |
(44) |
De lidstaten dienen de mogelijkheid te hebben wetgevingsmaatregelen te treffen om de informatieverstrekking aan de betrokkenen uit te stellen, te beperken of achterwege te laten, of de inzage in hun persoonsgegevens volledig of gedeeltelijk te beperken, voor zover en zolang die maatregel in een democratische samenleving, met inachtneming van de grondrechten en van de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om ervoor te zorgen dat de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen niet in het gedrang komt, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de rechten en vrijheden van anderen te beschermen. De verwerkingsverantwoordelijke dient door middel van een concreet en individueel onderzoek van elk geval te beoordelen of het inzagerecht gedeeltelijk dan wel volledig moet worden beperkt. |
(45) |
Elke weigering of beperking van de inzage dient in principe schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen. |
(46) |
Elke beperking van de rechten van de betrokkene dient in overeenstemming te zijn met het Handvest en met het EVRM, zoals uitgelegd in de rechtspraak van respectievelijk het Hof van Justitie en het Europees Hof voor de Rechten van de Mens, en met name de wezenlijke inhoud van die rechten en vrijheden te eerbiedigen. |
(47) |
Een natuurlijke persoon dient het recht te hebben onjuiste hem betreffende persoonsgegevens te laten rectificeren, vooral wanneer het gaat om feiten, en deze te laten wissen indien de verwerking van die gegevens inbreuk maakt op deze richtlijn. Het recht op rectificatie mag echter geen invloed hebben op, bijvoorbeeld, de inhoud van een getuigenverklaring. Een natuurlijke persoon dient tevens recht te hebben op verwerkingsbeperking wanneer hij de juistheid van persoonsgegevens betwist en de juistheid of onjuistheid niet kan worden vastgesteld, of wanneer de persoonsgegevens moeten worden bewaard als bewijsmateriaal. Meer bepaald moeten persoonsgegevens niet worden gewist maar moet de verwerking worden beperkt indien in een specifiek geval redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de legitieme belangen van de betrokkene zou kunnen schaden. In een dergelijk geval moeten de aan beperkingen onderworpen gegevens alleen worden verwerkt voor het doel dat aan het wissen in de weg staat. De verwerking van persoonsgegevens zou onder meer kunnen worden beperkt door het overbrengen van de geselecteerde gegevens naar een ander verwerkingssysteem, bijvoorbeeld voor archivering, of door het niet-beschikbaar maken van de geselecteerde gegevens. In geautomatiseerde bestanden moet de verwerking in beginsel met technische middelen worden beperkt. Het feit dat de verwerking van persoonsgegevens wordt beperkt, dient in het bestand duidelijk te worden aangegeven. Die rectificatie of wissing van persoonsgegevens of die verwerkingsbeperking moet worden meegedeeld aan de ontvangers aan wie de gegevens zijn bekendgemaakt en aan de bevoegde autoriteiten van wie de onjuiste data afkomstig waren. De verwerkingsverantwoordelijke dient er tevens voor te zorgen dat verdere verspreiding van die gegevens achterwege blijft. |
(48) |
Indien de verwerkingsverantwoordelijke een betrokkene zijn recht op informatie, inzage, rectificatie of wissing van persoonsgegevens of verwerkingsbeperking ontzegt, moet de betrokkene het recht hebben de nationale toezichthoudende autoriteit te verzoeken om de rechtmatigheid van de verwerking te controleren. De betrokkene dient over dat recht te worden ingelicht. Wanneer de toezichthoudende autoriteit namens de betrokkene optreedt, dient zij de betrokkene er ten minste van in kennis te stellen dat zij alle noodzakelijke controles of toetsingen heeft verricht. De toezichthoudende autoriteit dient de betrokkene tevens te informeren over zijn recht om een voorziening in rechte in te stellen. |
(49) |
Indien de persoonsgegevens in het kader van een strafrechtelijk onderzoek en een strafrechtelijke procedure worden verwerkt, moeten de lidstaten erin kunnen voorzien dat het recht op informatie, inzage en op rectificatie of wissing van persoonsgegevens en op verwerkingsbeperking overeenkomstig het nationaal procesrecht wordt uitgeoefend. |
(50) |
De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke met betrekking tot elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd, dienen te worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen te implementeren, en dient hij te kunnen aantonen dat de verwerkingsactiviteiten stroken met deze richtlijn. Bij die maatregelen moet rekening worden gehouden met de aard, de reikwijdte, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. De door de verwerkingsverantwoordelijke genomen maatregelen dienen onder meer te bestaan in het opstellen en implementeren van specifieke waarborgen inzake de behandeling van persoonsgegevens van kwetsbare natuurlijke personen, zoals kinderen. |
(51) |
Gegevensverwerking kan voor de rechten en vrijheden van natuurlijke personen qua waarschijnlijkheid en ernst uiteenlopende risico’s inhouden die tot lichamelijke, materiële of immateriële schade kunnen leiden, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden of de controle over hun persoonsgegevens dreigen te verliezen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt; wanneer genetische gegevens of biometrische gegevens worden verwerkt met het oog op de unieke identificatie van een persoon of wanneer gegevens over gezondheid of gegevens over seksueel gedrag en seksuele gerichtheid of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen worden verwerkt; wanneer persoonlijke aspecten worden geëvalueerd, om met name aspecten van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of belangstellingssferen, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens en een groot aantal betrokkenen betreft. |
(52) |
De waarschijnlijkheid en ernst van het risico moet worden bepaald op basis van de aard, de reikwijdte, de context en de doeleinden van de gegevensverwerking. Het risico moet worden beoordeeld op basis van een objectieve evaluatie, aan de hand waarvan wordt bepaald of de gegevensverwerking een hoog risico inhoudt. Een hoog risico is een bijzonder risico op aantasting van de rechten en vrijheden van betrokkenen. |
(53) |
De bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de voorschriften van deze richtlijn wordt voldaan. De tenuitvoerlegging van die maatregelen mag niet alleen van economische overwegingen afhangen. Om de naleving van deze richtlijn te kunnen aantonen, dient de verwerkingsverantwoordelijke intern beleid vast te stellen en maatregelen te implementeren die in het bijzonder voldoen aan de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Wanneer de verwerkingsverantwoordelijke ingevolge deze richtlijn een gegevensbeschermingseffectbeoordeling heeft uitgevoerd, dienen de resultaten daarvan in acht te worden genomen bij de ontwikkeling van die maatregelen en procedures. Die maatregelen kunnen onder meer inhouden dat zo spoedig mogelijk wordt overgegaan tot pseudonimisering. Het gebruik van pseudonimisering voor de toepassing van deze richtlijn kan dienst doen als instrument om het vrije verkeer van persoonsgegevens binnen de ruimte van vrijheid, veiligheid en recht te vergemakkelijken. |
(54) |
Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers, onder meer wat de monitoring door en de maatregelen van toezichthoudende autoriteiten betreft, is het noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, onder meer voor het geval waarin een verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd. |
(55) |
De uitvoering van een verwerking door een verwerker dient te worden geregeld door een rechtshandeling, met inbegrip van een overeenkomst die de verwerker bindt aan de verwerkingsverantwoordelijke, en waarin met name is bepaald dat de verwerker uitsluitend op instructie van de verwerkingsverantwoordelijke dient te handelen. De verwerker dient de beginselen van gegevensbescherming door ontwerp en van gegevensbescherming door standaardinstellingen in acht te nemen. |
(56) |
Om de naleving van deze richtlijn aan te tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van alle categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Iedere verwerkingsverantwoordelijke en verwerker dient ertoe te worden verplicht met de toezichthoudende autoriteit samen te werken en haar desgevraagd dat register te verstrekken zodat zij die kan gebruiken om op die verwerkingen toe te zien. De verwerkingsverantwoordelijke of de verwerker die persoonsgegevens verwerkt in systemen voor niet-geautomatiseerde verwerking dient te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de verwerking aan te tonen, om interne controle mogelijk te maken en om de integriteit en de beveiliging van gegevens te waarborgen. |
(57) |
Er dienen logbestanden te worden bijgehouden van ten minste de volgende activiteiten in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van doorgiften, samenvoeging en wissing. De identificatie van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, dient te worden geregistreerd en op basis daarvan moeten de redenen voor de verwerkingsactiviteiten kunnen worden vastgesteld. De logbestanden dienen uitsluitend te worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen, om de integriteit en de beveiliging van de gegevens te garanderen en om strafrechtelijke procedures te waarborgen. Interne controle dient interne tuchtprocedures van bevoegde autoriteiten te omvatten. |
(58) |
Indien verwerkingsactiviteiten op grond van hun aard, reikwijdte of doel waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen met zich brengen, dient de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de voorgenomen maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan. Effectbeoordelingen dienen relevante systemen en procedures van verwerkingsactiviteiten te bestrijken, maar geen individuele gevallen. |
(59) |
Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen dient de verwerkingsverantwoordelijke of de verwerker in bepaalde gevallen de toezichthoudende autoriteit voorafgaand aan de verwerking te raadplegen. |
(60) |
Teneinde de veiligheid te handhaven en te voorkomen dat met een verwerking inbreuk op deze richtlijn wordt gemaakt, dient de verwerkingsverantwoordelijke of de verwerker de risico’s die de verwerking met zich brengt te beoordelen en maatregelen te treffen om deze risico’s te beperken, zoals versleuteling. Die maatregelen dienen een passend niveau van veiligheid, met inbegrip van vertrouwelijkheid, te waarborgen, met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met het risico en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan de risico’s die zich voordoen bij gegevensverwerking, zoals de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden. De verwerkingsverantwoordelijke en de verwerker dienen ervoor te zorgen dat de verwerking van persoonsgegevens niet door onbevoegde personen wordt verricht. |
(61) |
Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en adequaat wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit zonder onnodige vertraging en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer ze niet binnen 72 uur kan plaatsvinden, dient de kennisgeving vergezeld te gaan van een toelichting bij de vertraging en kan informatie zonder verdere onnodige vertraging in fasen worden verstrekt. |
(62) |
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich brengt, dienen de natuurlijke personen daarvan zonder onnodige vertraging in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. De kennisgeving moet melding maken van de aard van de inbreuk in verband met persoonsgegevens en aanbevelingen bevatten over hoe de persoon in kwestie mogelijke negatieve gevolgen kan beperken. Betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door deze laatste of andere relevante autoriteiten aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere termijn gerechtvaardigd kan zijn wanneer passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens. Wanneer door het uitstellen of beperken van de kennisgeving inzake een inbreuk in verband met persoonsgegevens aan de natuurlijk persoon in kwestie niet kan worden belet dat officiële of gerechtelijke onderzoeken of procedures worden belemmerd, dat de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten in het gedrang komen, dat straffen niet ten uitvoer worden gelegd, dat de openbare veiligheid, de nationale veiligheid of de rechten en vrijheden van anderen niet worden beschermd, zou die kennisgeving in uitzonderlijke omstandigheden achterwege kunnen worden gelaten. |
(63) |
De verwerkingsverantwoordelijke dient een persoon aan te wijzen die de verwerkingsverantwoordelijke bijstaat bij het toezicht op de interne naleving van de krachtens deze richtlijn vastgestelde bepalingen, behalve wanneer een lidstaat beslist om gerechten en andere onafhankelijke rechterlijke autoriteiten daarvan vrij te stellen in het kader van hun gerechtelijke taken. Die persoon kan een lid van het bestaande personeel van de verwerkingsverantwoordelijke zijn die een speciale opleiding inzake gegevensbeschermingswetgeving en -praktijk heeft genoten om deskundigheid op dat gebied te verwerven. Het vereiste expertiseniveau dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de verwerkingsverantwoordelijke verwerkte persoonsgegevens wordt vereist. De aangewezen persoon kan zijn taken op deeltijdse of voltijdse basis uitvoeren. Verschillende verwerkingsverantwoordelijken kunnen, rekening houdend met hun organisatiestructuur en omvang, samen een functionaris voor gegevensbescherming benoemen, bijvoorbeeld in het geval van gezamenlijke middelen in centrale eenheden. Binnen de structuur van de verwerkingsverantwoordelijken in kwestie kunnen aan deze persoon ook verschillende functies worden toegewezen. Die persoon dient de verwerkingsverantwoordelijke en de werknemers die persoonsgegevens verwerken bij te staan door hen te informeren en te adviseren over de nakoming van hun relevante verplichtingen inzake gegevensbescherming. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk in overeenstemming met het lidstatelijke recht uit te voeren. |
(64) |
De lidstaten dienen ervoor te zorgen dat doorgifte aan een derde land of aan een internationale organisatie enkel plaatsvindt indien die specifieke doorgifte noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, waaronder de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en dat de verwerkingsverantwoordelijke in het derde land of de internationale organisatie een bevoegde autoriteit is in de zin van deze richtlijn. Doorgifte mag enkel worden verricht door bevoegde autoriteiten die als verwerkingsverantwoordelijken optreden, behalve wanneer verwerkers expliciet wordt opgedragen om namens verwerkingsverantwoordelijken gegevens door te geven. Een dergelijke doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het derde land of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden of waarin afwijkingen voor specifieke situaties van toepassing zijn. Wanneer persoonsgegevens van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarin voor natuurlijke personen in de Unie door deze richtlijn wordt voorzien, ook in gevallen van verdere doorgiften van persoonsgegevens door het derde land of de internationale organisatie aan verwerkingsverantwoordelijken of verwerkers in hetzelfde of een ander derde land dan wel in dezelfde of een andere internationale organisatie. |
(65) |
Doorgifte van persoonsgegevens vanuit een lidstaat aan derde landen of internationale organisaties is in beginsel enkel toegestaan nadat de lidstaat waarvan de gegevens zijn verkregen daarin heeft toegestemd. Wanneer de bedreiging van de openbare veiligheid van een lidstaat of derde land of voor de fundamentele belangen van een lidstaat zo onmiddellijk is dat de voorafgaande toestemming niet tijdig kan worden verkregen, dient de bevoegde autoriteit met het oog op een doeltreffende samenwerking op het gebied van rechtshandhaving de mogelijkheid te hebben de desbetreffende persoonsgegevens zonder voorafgaande toestemming aan het derde land of de internationale organisatie in kwestie door te geven. De lidstaten dienen te bepalen dat eventuele specifieke voorwaarden met betrekking tot de doorgifte moeten worden meegedeeld aan derde landen of internationale organisaties. Aan verdere doorgiften van persoonsgegevens dient de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht voorafgaand haar toestemming te verlenen. Wanneer de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, beslist over een verzoek om toestemming voor een verdere doorgifte, dient deze naar behoren rekening te houden met alle relevante factoren, waaronder de ernst van het strafbare feit, de specifieke voorwaarden voor en het doel van de oorspronkelijke gegevensdoorgifte, de aard en de modaliteiten van de uitvoering van de strafrechtelijke sanctie, en het beschermingsniveau van de persoonsgegevens in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven. De bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, moet ook specifieke voorwaarden kunnen stellen aan de verdere doorgifte. Dergelijke specifieke voorwaarden kunnen worden beschreven in, bijvoorbeeld, behandelingscodes. |
(66) |
De Commissie moet kunnen besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat niveau van persoonsgegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die worden geacht een dergelijk beschermingsniveau te bieden. In die gevallen moeten doorgiften van persoonsgegevens aan die landen zonder specifieke toestemming kunnen plaatsvinden, behalve wanneer een andere lidstaat waarvan de gegevens zijn verkregen zijn toestemming aan de doorgifte moet verlenen. |
(67) |
Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van een derde land of van een gebied of een nader bepaalde sector in een derde land, in aanmerking te nemen in hoeverre de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het specifieke derde land worden geëerbiedigd, en dient zij rekening te houden met het algemene en sectorale recht, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land. Voor de vaststelling van een adequaatheidsbesluit met betrekking tot een gebied of een nader bepaalde sector in een derde land dienen duidelijke en objectieve criteria te worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de toepasselijke wettelijke normen en geldende wetgeving in het derde land. Het derde land dient waarborgen te bieden voor een adequaat beschermingsniveau dat in wezen overeenkomt met het beschermingsniveau in de Unie, vooral wanneer gegevens in één of meerdere specifieke sectoren worden verwerkt. Meer bepaald moet het derde land zorgen voor doeltreffend onafhankelijk gegevensbeschermingstoezicht en voor mechanismen van samenwerking met de gegevensbeschermingsautoriteiten van de lidstaten en moeten de betrokkenen beschikken over daadwerkelijke en afdwingbare rechten en dienen zij effectief administratief beroep en beroep in rechte te kunnen instellen. |
(68) |
Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie ook rekening te houden met de verplichtingen die voortvloeien uit de deelname van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de nakoming van die verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het bij Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming (het „Comité”). De Commissie dient tevens rekening te houden met de relevante adequaatheidsbesluiten die zij overeenkomstig artikel 45 van Verordening (EU) 2016/679 heeft vastgesteld. |
(69) |
De Commissie dient toe te zien op de werking van besluiten over het beschermingsniveau in een derde land, een gebied of nader bepaalde sector in een derde land, of in een internationale organisatie. Bij haar adequaatheidsbesluiten dient de Commissie te voorzien in een mechanisme voor de periodieke evaluatie van de werking ervan. Die periodieke evaluatie dient in overleg met het derde land of de internationale organisatie in kwestie en met inachtneming van alle relevante ontwikkelingen in het derde land of de internationale organisatie te geschieden. |
(70) |
De Commissie dient tevens te kunnen erkennen dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie niet langer een adequaat gegevensbeschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens aan dat derde land of die internationale organisatie te worden verboden, tenzij aan de voorschriften van deze richtlijn met betrekking tot doorgiften is voldaan en met inachtneming van passende waarborgen en afwijkingen voor specifieke gevallen. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie dient het derde land of de internationale organisatie tijdig op de hoogte te brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen. |
(71) |
Doorgiften die niet plaatsvinden op grond van een adequaatheidsbesluit mogen enkel worden toegestaan indien in een juridisch bindend instrument passende waarborgen voor de persoonsgegevensbescherming worden geboden, of indien de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende waarborgen voor de bescherming van persoonsgegevens worden geboden. Dergelijke juridisch bindende instrumenten zouden bijvoorbeeld juridisch bindende bilaterale overeenkomsten kunnen zijn die door de lidstaten zijn gesloten en in hun rechtsorde zijn geïmplementeerd en waarop de betrokkenen van die lidstaten zich zouden kunnen beroepen, en die de naleving van gegevensbeschermingsvoorschriften en de rechten van de betrokkenen waarborgen, waaronder het recht om administratief beroep of beroep in rechte in te stellen. De verwerkingsverantwoordelijke moet rekening kunnen houden met tussen Europol of Eurojust en derde landen gesloten samenwerkingsovereenkomsten die de uitwisseling van persoonsgegevens mogelijk maken wanneer de beoordeling van alle omstandigheden omtrent de gegevensdoorgifte wordt verricht. De verwerkingsverantwoordelijke moet er ook rekening mee kunnen houden dat de doorgifte van persoonsgegevens zal worden onderworpen aan verplichtingen inzake vertrouwelijkheid en aan het beginsel van specificiteit, om ervoor te zorgen dat de gegevens niet worden verwerkt voor andere doeleinden dan die waarvoor zij worden doorgegeven. Verder dient de verwerkingsverantwoordelijke in acht te nemen dat de persoonsgegevens niet zullen worden gebruikt om de doodstraf of enige vorm van wrede of onmenselijke behandeling te vorderen, uit te spreken of uit te voeren. Hoewel die voorwaarden kunnen worden bezien als passende waarborgen voor de overdracht van gegevens, moet de verwerkingsverantwoordelijke bijkomende waarborgen kunnen eisen. |
(72) |
Wanneer er geen adequaatheidsbesluit voorhanden is en geen passende waarborgen worden geboden, zou een doorgifte of een categorie van doorgiften slechts in specifieke situaties kunnen plaatsvinden, indien zulks noodzakelijk is: om de vitale belangen van de betrokkene of een andere persoon te beschermen of om legitieme belangen van de betrokkene te waarborgen indien het recht van de lidstaat die de persoonsgegevens doorgeeft aldus bepaalt; om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; in een afzonderlijk geval, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of, in een afzonderlijk geval, met het oog op de vaststelling, de uitoefening of de onderbouwing van rechtsvorderingen. Die afwijkingen dienen beperkend te worden opgevat en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar dienen tot de strikt noodzakelijke gegevens te worden beperkt. Dergelijke doorgiften dienen te worden gedocumenteerd en op verzoek ter beschikking van de toezichthoudende autoriteit te worden gesteld zodat deze de rechtmatigheid van de doorgifte kan controleren. |
(73) |
De bevoegde autoriteiten van de lidstaten passen de vigerende bilaterale of multilaterale internationale overeenkomsten met derde landen op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking toe met het oog op de uitwisseling van relevante informatie voor het uitvoeren van de hun bij wet opgedragen taken. Deze uitwisseling vindt in beginsel plaats door samenwerking met, of ten minste met de medewerking van, de autoriteiten die in de betrokken derde landen bevoegd zijn voor de toepassing van deze richtlijn, soms zelfs zonder bilaterale of multilaterale internationale overeenkomst. In specifieke individuele gevallen kunnen de normale procedures die het contacteren van die autoriteit in het derde land voorschrijven, echter inefficiënt of ongepast zijn, met name omdat de doorgifte niet tijdig kon worden verricht of omdat de autoriteit in het derde land de rechtsstatelijkheid of de internationale mensenrechtennormen en -regels niet eerbiedigt, zodat de bevoegde autoriteiten van de lidstaten zouden kunnen beslissen de persoonsgegevens rechtstreeks aan in die derde landen gevestigde ontvangers door te geven. Dit kan het geval zijn wanneer doorgifte van persoonsgegevens dringend noodzakelijk is om het leven van een persoon die het slachtoffer van een strafbaar feit dreigt te worden, te redden of om een op handen zijnd misdrijf, waaronder terrorisme, te voorkomen. Niettegenstaande dat een dergelijke vorm van doorgifte tussen bevoegde autoriteiten en in derde landen gevestigde ontvangers voorbehouden moet blijven voor specifieke individuele gevallen, dient deze richtlijn te voorzien in voorwaarden om dergelijke gevallen te regelen. Die bepalingen mogen niet worden beschouwd als afwijkingen van bestaande bilaterale of multilaterale internationale overeenkomsten op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking. Die regels dienen te gelden naast de overige bepalingen van deze richtlijn, met name de bepalingen betreffende de rechtmatigheid van de verwerking en de bepalingen van hoofdstuk V. |
(74) |
Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor natuurlijke personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige bekendmaking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten in verband met activiteiten in het buitenland. Daarnaast kunnen hun inspanningen met het oog op grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden en inconsistente rechtskaders. Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland. |
(75) |
Voor de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens is het van wezenlijk belang dat in de lidstaten toezichthoudende autoriteiten worden ingesteld die hun taken volstrekt onafhankelijk uitvoeren. De toezichthoudende autoriteiten dienen toe te zien op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en moeten bijdragen aan de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen op het vlak van verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken. |
(76) |
De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) 2016/679 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren. |
(77) |
De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over de financiële en personele middelen, dienstruimten en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. Iedere toezichthoudende autoriteit dient over een afzonderlijke openbare jaarbegroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting. |
(78) |
De toezichthoudende autoriteiten dienen te worden onderworpen aan onafhankelijke controle- of monitoringmechanismen betreffende hun financiële uitgaven, op voorwaarde dat die financiële controle geen afbreuk doet aan hun onafhankelijkheid. |
(79) |
De algemene voorwaarden voor het lid of de leden van de toezichthoudende autoriteit dienen in het lidstatelijke recht te worden vastgesteld en dienen met name te bepalen dat de leden moeten worden benoemd door het parlement dan wel de regering of het staatshoofd van de lidstaat op voordracht van de regering, een lid van de regering, het parlement of haar kamer, hetzij door een onafhankelijke instantie die krachtens het lidstatelijke recht middels een transparante procedure met de benoeming is belast. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het lid of dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met zijn of hun taken en gedurende zijn of hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met zijn of hun taken. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het personeel door de toezichthoudende autoriteit te worden gekozen, met eventueel een interventie van een onafhankelijk instantie die krachtens het lidstatelijke recht met die taak is belast. |
(80) |
Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechten en andere rechterlijke autoriteiten, dient de competentie van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun taken, teneinde de onafhankelijkheid van rechters bij de uitvoering van hun gerechtelijke taken te vrijwaren. Die vrijstelling dient beperkt te blijven tot gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het lidstatelijke recht verrichten. De lidstaten moeten ook kunnen bepalen dat de bevoegdheid van de toezichthoudende autoriteit zich niet uitstrekt tot de verwerking van persoonsgegevens door andere onafhankelijke rechterlijke autoriteiten in het kader van hun gerechtelijke taken, bijvoorbeeld het openbaar ministerie. De naleving van de regels van deze richtlijn door gerechten en andere onafhankelijke rechterlijke autoriteiten is in elk geval altijd onderworpen aan onafhankelijk toezicht in overeenstemming met artikel 8, lid 3, van het Handvest. |
(81) |
Elke toezichthoudende autoriteit dient klachten die door een betrokkene zijn ingediend, in behandeling te nemen en dient de zaak te onderzoeken of deze door te zenden naar de bevoegde toezichthoudende autoriteit. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt. |
(82) |
Met het oog op efficiënte, betrouwbare en consequente monitoring van de naleving en handhaving van deze richtlijn in de gehele Unie krachtens het VWEU zoals uitgelegd door het Hof van Justitie, dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder onderzoeksbevoegdheden, bevoegdheden tot het nemen van corrigerende maatregelen en adviesbevoegdheden die noodzakelijk zijn voor de uitvoering van hun taken. Hun bevoegdheden mogen echter geen afbreuk doen aan de specifieke regels voor strafrechtelijke procedures, met inbegrip van het onderzoek en de vervolging van strafbare feiten, of aan de onafhankelijkheid van de rechterlijke macht. Onverminderd de bevoegdheden die krachtens het lidstatelijke recht aan de met vervolging belaste autoriteiten zijn toegekend, dienen de toezichthoudende autoriteiten tevens de bevoegdheid te hebben inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen of gerechtelijke procedures te voeren. De bevoegdheden van de toezichthoudende autoriteiten dienen in overeenstemming met passende in het Unierecht of het lidstatelijke recht vastgestelde procedurele waarborgen, op onpartijdige en eerlijke wijze en binnen een redelijke termijn te worden uitgeoefend. In het bijzonder dient elke maatregel passend, noodzakelijk en proportioneel te zijn met het oog op naleving van deze richtlijn en, rekening houdend met de omstandigheden van elk afzonderlijk geval, het recht te eerbiedigen van eenieder om te worden gehoord voordat een individuele maatregel wordt genomen die voor hem nadelige gevolgen zou hebben; verder dienen overbodige kosten en buitensporige ongemakken voor de persoon in kwestie te worden vermeden. Onderzoeksbevoegdheden betreffende toegang tot dienstruimten dienen overeenkomstig de specifieke voorschriften van het lidstatelijke recht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, te worden uitgeoefend. De vaststelling van een juridisch bindend besluit dient te worden onderworpen aan rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld. |
(83) |
De toezichthoudende autoriteiten dienen elkaar te helpen bij de uitvoering van hun taken en wederzijdse bijstand te verlenen met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen. |
(84) |
Het Comité dient bij te dragen tot de consequente toepassing van deze richtlijn in de gehele Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen. |
(85) |
Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één toezichthoudende autoriteit en om overeenkomstig artikel 47 van het Handvest een doeltreffende voorziening in rechte in te stellen indien de betrokkene meent dat inbreuk is gemaakt op zijn rechten krachtens uit hoofde van deze richtlijn vastgestelde bepalingen, of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel afwijst, of niet optreedt wanneer zulk optreden voor de bescherming van de rechten van de betrokkene noodzakelijk is. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De bevoegde toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan ook worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten. |
(86) |
Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om voor de bevoegde nationale rechterlijke instantie een doeltreffende voorziening in rechte in te stellen tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening door de toezichthoudende autoriteit van bevoegdheden in verband met onderzoek, corrigerende maatregelen en toestemming, of op de afwijzing van klachten. Dat recht geldt echter niet voor andere maatregelen van de toezichthoudende autoriteiten die niet juridisch bindend zijn, zoals standpunten en adviezen. Een vordering tegen een toezichthoudende autoriteit dient te worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd, en moet stroken met het recht van die lidstaat. Die gerechten dienen volledige rechtsmacht uit te oefenen, waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het aanhangige geschil te onderzoeken. |
(87) |
Wanneer een betrokkene van oordeel is dat zijn rechten uit hoofde van deze richtlijn zijn geschonden, dient hij het recht te hebben een instantie die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel heeft en die volgens het recht van een lidstaat is opgericht, te machtigen om namens hem klacht in te dienen bij een toezichthoudende autoriteit en het recht op een voorziening in rechte uit te oefenen. Het recht van vertegenwoordiging van de betrokkenen mag geen afbreuk doen aan het lidstatelijke procesrecht op grond waarvan een verplichte vertegenwoordiging van de betrokkenen door een advocaat, zoals omschreven in Richtlijn 77/249/EEG van de Raad (10), voor de nationale rechter vereist kan zijn. |
(88) |
Alle schade die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, moet worden vergoed door de verwerkingsverantwoordelijke of door een naar lidstatelijk recht bevoegde instantie. Het begrip „schade” moet ruim worden opgevat in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doeleinden van deze richtlijn. Dit laat eventuele vorderingen tot schadevergoeding wegens inbreuken op andere regels van het Unierecht of het lidstatelijke recht onverlet. Wanneer sprake is van een verwerking die onrechtmatig is of die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, worden daarmee ook verwerkingen bedoeld die inbreuk maken op overeenkomstig deze richtlijn vastgestelde uitvoeringshandelingen. De betrokkenen dienen volledige en daadwerkelijke vergoeding van de door hen geleden schade te ontvangen. |
(89) |
Er dienen sancties te worden opgelegd aan de natuurlijke personen of rechtspersonen, ongeacht of deze personen onder het publiekrecht dan wel onder het privaatrecht vallen, die inbreuk maken op deze richtlijn. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en dienen alle maatregelen te nemen om de sancties ten uitvoer te leggen. |
(90) |
Met het oog op uniforme voorwaarden voor de uitvoering van deze richtlijn dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend met betrekking tot het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie en het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité. Die bevoegdheden dienen te worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). |
(91) |
De onderzoeksprocedure dient te worden toegepast voor de vaststelling van uitvoeringshandelingen inzake het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie, en inzake het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité, aangezien dit handelingen van algemene strekking zijn. |
(92) |
Wanneer een derde land, een gebied of nader bepaalde sector in een derde land, dan wel een internationale organisatie niet langer een adequaat beschermingsniveau waarborgt, dient de Commissie in naar behoren gerechtvaardigde gevallen onmiddellijk toepasselijke uitvoeringshandelingen vast te stellen indien dit om dwingende redenen van urgentie is vereist. |
(93) |
Aangezien de doeleinden van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder het recht op de bescherming van hun persoonsgegevens, en het waarborgen van de vrije uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt en, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie worden gerealiseerd, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen treffen. Overeenkomstig het in datzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om die doeleinden te verwezenlijken. |
(94) |
Specifieke bepalingen van handelingen van de Unie op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven, zoals de specifieke bepalingen inzake de bescherming van persoonsgegevens die worden toegepast uit hoofde van Besluit 2008/615/JBZ van de Raad (12), of artikel 23 van de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie. (13) Aangezien artikel 8 van het Handvest en artikel 16 VWEU voorschrijven dat het grondrecht op bescherming van persoonsgegevens op een consequente manier in de Unie wordt gewaarborgd, dient de Commissie na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen. In voorkomend geval dient de Commissie voorstellen te doen om consistente rechtsregels met betrekking tot de verwerking van persoonsgegevens te waarborgen. |
(95) |
Teneinde een alomvattende en consequente bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de lidstaten vóór de datum van inwerkingtreding van deze richtlijn hebben gesloten en die stroken met het vóór die datum toepasselijke Unierecht van kracht te blijven totdat zij worden gewijzigd, vervangen of ingetrokken. |
(96) |
Voor de omzetting van deze richtlijn dienen de lidstaten te beschikken over een termijn van maximaal 2 jaar vanaf de datum van inwerkingtreding ervan. Verwerkingen die reeds gaande zijn op die datum dienen binnen twee jaar na de inwerkingtreding van deze richtlijn daarmee in overeenstemming te worden gebracht. Indien een dergelijke verwerking evenwel in overeenstemming is met het Unierecht dat vóór de datum van inwerkingtreding van deze richtlijn van toepassing is, mogen de voorschriften van deze richtlijn die betrekking hebben op de voorafgaande raadpleging van de toezichthoudende autoriteit, niet worden toegepast op de verwerkingsactiviteiten die reeds van vóór die datum gaande zijn, aangezien die voorschriften vanwege hun aard voorafgaand aan de verwerkingen dienen te worden vervuld. Wanneer de lidstaten van de langere omzettingsperiode die zeven jaar na de datum van inwerkingtreding van deze richtlijn verstrijkt, gebruikmaken teneinde te voldoen aan de registratieverplichtingen voor systemen voor geautomatiseerde verwerking die vóór die datum zijn opgezet, dient de verwerkingsverantwoordelijke of de verwerker te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de gegevensverwerking aan te tonen, interne controle mogelijk te maken en de integriteit en de beveiliging van gegevens te waarborgen. |
(97) |
Deze richtlijn laat de regels ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, als vastgesteld in Richtlijn 2011/93/EU van het Europees Parlement en de Raad (14), onverlet. |
(98) |
Kaderbesluit 2008/977/JBZ dient derhalve te worden ingetrokken. |
(99) |
Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het VEU en het VWEU, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel VWEU, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd. |
(100) |
Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel van het VWEU niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn voortbouwt op het Schengenacquis krachtens titel V van het derde deel van het VWEU, dient Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden na de vaststelling van deze richtlijn te beslissen of het deze in het nationale recht zal omzetten. |
(101) |
Wat IJsland en Noorwegen betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (15). |
(102) |
Wat Zwitserland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (16). |
(103) |
Wat Liechtenstein betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (17). |
(104) |
Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest, zoals vastgelegd in het VWEU, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van die rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te voldoen aan door de Unie erkende doeleinden van algemeen belang of aan de noodzaak van bescherming van de rechten en vrijheden van anderen. |
(105) |
Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsmaatregelen wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd. |
(106) |
De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 geraadpleegd en heeft op 7 maart 2012 (18) advies uitgebracht. |
(107) |
Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, inzage, rectificatie of wissing van persoonsgegevens en verwerkingsbeperking in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen, |
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
HOOFDSTUK I
Algemene bepalingen
Artikel 1
Onderwerp en doelstellingen
1. Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
2. Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:
a) |
de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en |
b) |
erop toe te zien dat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de Unie, wanneer die uitwisseling bij het Unierecht of het recht van de lidstaten is vereist, niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. |
3. Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.
Artikel 2
Toepassingsgebied
1. Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1.
2. Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
3. Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:
a) |
in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen; |
b) |
door instellingen, organen en instanties van de Unie. |
Artikel 3
Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
1) „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
3) „verwerkingsbeperking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;
4) „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
5) „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
6) „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
7) „bevoegde autoriteit”:
a) |
iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of |
b) |
ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; |
8) „verwerkingsverantwoordelijke”: de bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
9) „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
10) „ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het lidstatelijke recht, gelden echter niet als ontvangers; bij de verwerking van die persoonsgegevens door die overheidsinstanties voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking;
11) „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
12) „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
13) „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
14) „gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;
15) „toezichthoudende autoriteit”: een door een lidstaat ingevolge artikel 41 ingestelde onafhankelijke overheidsinstantie;
16) „internationale organisatie”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.
HOOFDSTUK II
Beginselen
Artikel 4
Beginselen inzake verwerking van persoonsgegevens
1. De lidstaten schrijven voor dat persoonsgegevens:
a) |
rechtmatig en eerlijk worden verwerkt; |
b) |
voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt; |
c) |
toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt, zijn; |
d) |
juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren; |
e) |
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; |
f) |
met gebruikmaking van passende technische of organisatorische middelen op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. |
2. Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doel van artikel 1, lid 1, dan dat waarvoor de persoonsgegevens worden verzameld, is toegelaten voor zover:
a) |
de verwerkingsverantwoordelijke overeenkomstig het Unierecht of het lidstatelijke recht gemachtigd is deze persoonsgegevens voor een dergelijk doel te verwerken; en |
b) |
de verwerking noodzakelijk is en in verhouding staat tot dat andere doel overeenkomstig het Unierecht of het lidstatelijke recht. |
3. Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in artikel 1, lid 1, bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.
4. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de leden 1, 2 en 3 en kan deze naleving aantonen.
Artikel 5
Termijnen voor opslag en evaluatie
De lidstaten voorzien erin dat passende termijnen worden vastgelegd voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak van de opslag van persoonsgegevens. De naleving van die termijnen wordt met procedurele maatregelen gewaarborgd.
Artikel 6
Onderscheid tussen verschillende categorieën van betrokkenen
De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals:
a) |
personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen; |
b) |
personen die voor een strafbaar feit zijn veroordeeld; |
c) |
slachtoffers van een strafbaar feit, of personen ten aanzien van wie bepaalde feiten aanleiding geven tot het vermoeden dat zij het slachtoffer zouden kunnen worden van een strafbaar feit; en |
d) |
andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen als bedoeld onder a) en b). |
Artikel 7
Onderscheid tussen persoonsgegevens en controle van de kwaliteit van persoonsgegevens
1. De lidstaten voorzien erin dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.
2. De lidstaten voorzien erin dat de bevoegde autoriteiten alle redelijke maatregelen nemen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert iedere bevoegde autoriteit, voor zover praktisch haalbaar, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld. Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.
3. Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 16.
Artikel 8
Rechtmatigheid van de verwerking
1. De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde autoriteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die verwerking gebaseerd is op het Unierecht of het lidstatelijke recht.
2. In het lidstatelijke recht dat verwerking binnen het toepassingsgebied van deze richtlijn regelt, worden ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking gespecificeerd.
Artikel 9
Specifieke verwerkingsvoorwaarden
1. Persoonsgegevens die door bevoegde autoriteiten voor de in artikel 1, lid 1 omschreven doeleinden worden verzameld, worden niet verwerkt voor andere doeleinden, tenzij die verwerking krachtens het Unierecht of het lidstatelijke recht is toegestaan. Wanneer persoonsgegevens voor zulke andere doeleinden worden verwerkt, is Verordening (EU) 2016/679 van toepassing, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.
2. Wanneer aan bevoegde autoriteiten krachtens het lidstatelijke recht andere taken dan die ter verwezenlijking van de in artikel 1, lid 1, omschreven doeleinden worden toevertrouwd, is Verordening (EU) 2016/679 van toepassing op verwerking voor die doeleinden, waaronder archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.
3. De lidstaten schrijven voor dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of recht van de listaten voorziet in specifieke verwerkingsvoorwaarden, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis stelt.
4. De lidstaten schrijven voor dat, wanneer de doorzendende bevoegde autoriteit uit hoofde van lid 3 voorwaarden toepast op ontvangers in andere lidstaten en op organen en instanties die zijn opgericht krachtens de hoofstukken 4 en 5 van titel V VWEU, die voorwaarden niet mogen afwijken van de voorwaarden voor vergelijkbare doorzendingen van gegevens binnen de lidstaat van de doorzendende bevoegde autoriteit.
Artikel 10
Verwerking van bijzondere categorieën van persoonsgegevens
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en:
a) |
bij het Unierecht of het lidstatelijke recht is toegestaan; |
b) |
noodzakelijk is om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen; of |
c) |
die verwerking betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar zijn gemaakt. |
Artikel 11
Geautomatiseerde individuele besluitvorming
1. De lidstaten schrijven voor dat uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, verboden zijn, tenzij het betrokken besluit is toegestaan krachtens het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.
2. De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten en vrijheden en de legitieme belangen van de betrokkene zijn getroffen.
3. Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.
HOOFDSTUK III
Rechten van de betrokkene
Artikel 12
Communicatie en regelingen voor de uitoefening van de rechten van de betrokkene
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke redelijke maatregelen neemt om de betrokkene de in artikel 13 bedoelde informatie te verstrekken, en dat iedere mededeling aan de betrokkene in het kader van de artikelen 11, 14 tot en met 18, en 31 in verband met verwerking in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal plaatsvindt. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.
2. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van artikel 11 en de artikelen 14 tot en met 18 faciliteert.
3. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt met betrekking tot de opvolging van zijn verzoek.
4. De lidstaten schrijven voor dat het verstrekken van informatie overeenkomstig artikel 13, en elke communicatie of maatregel overeenkomstig de artikelen 11, 14 tot en met 18, en 31 kosteloos geschieden. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke:
a) |
een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; of |
b) |
weigeren gevolg te geven aan het verzoek. |
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
5. Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 14 en 16 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.
Artikel 13
Aan de betrokkene ter beschikking gestelde of verstrekte informatie
1. De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene ten minste de volgende informatie ter beschikking stelt:
a) |
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke; |
b) |
in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd; |
d) |
het bestaan van het recht klacht in te dienen bij een toezichthoudende autoriteit, en de contactgegevens van de toezichthoudende autoriteit; |
e) |
het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van hem betreffende persoonsgegevens, en beperking van de verwerking van persoonsgegevens betreffende de betrokkene. |
2. In aanvulling op de in lid 1 bedoelde informatie schrijven de lidstaten bij wet voor dat de verwerkingsverantwoordelijke de betrokkene in specifieke gevallen de volgende verdere informatie verstrekt om de betrokkene in staat te stellen zijn rechten uit te oefenen:
a) |
de rechtsgrond van de verwerking; |
b) |
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
c) |
in voorkomend geval, de categorieën van ontvangers van de persoonsgegevens, ook in derde landen of internationale organisaties; |
d) |
indien noodzakelijk, extra informatie, in het bijzonder wanneer de persoonsgegevens zonder medeweten van de betrokkene worden verzameld. |
3. De lidstaten kunnen wettelijke maatregelen treffen om de verstrekking van de in lid 2 bedoelde informatie aan de betrokkene uit te stellen, te beperken of achterwege te laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid te beschermen; |
d) |
de nationale veiligheid te beschermen; |
e) |
de rechten en vrijheden van anderen te beschermen. |
4. De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder één van de punten van lid 3 kunnen vallen.
Artikel 14
Recht op inzage van de betrokkene
Behoudens artikel 15 schrijven de lidstaten voor dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de al dan niet verwerking van hem betreffende persoonsgegevens en, wanneer dat het geval is, om die persoonsgegevens in te zien en om de volgende informatie te verkrijgen:
a) |
de doeleinden van en de rechtsgrond voor de verwerking; |
b) |
de betrokken categorieën van persoonsgegevens; |
c) |
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn bekendgemaakt, met name ontvangers in derde landen of internationale organisaties; |
d) |
indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
e) |
dat hij het recht heeft van de verwerkingsverantwoordelijke rectificatie of wissing van hem betreffende persoonsgegevens of beperking van verwerking van hem betreffende persoonsgegevens te verlangen; |
f) |
het bestaan van het recht klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van de toezichthoudende autoriteit; |
g) |
de persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens. |
Artikel 15
Beperkingen van het inzagerecht
1. De lidstaten kunnen wettelijke maatregelen treffen om het inzagerecht van de betrokkene geheel of gedeeltelijk te beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid te beschermen; |
d) |
de nationale veiligheid te beschermen; |
e) |
de rechten en vrijheden van anderen te beschermen. |
2. De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder de vrijstellingen van lid 1 kunnen vallen.
3. In de in de leden 1 en 2 bedoelde gevallen schrijven de lidstaten voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om een beroep in te stellen bij de rechter.
4. De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, documenteert. Die informatie wordt ter beschikking gesteld van de toezichthoudende autoriteiten.
Artikel 16
Recht op rectificatie of wissing van persoonsgegevens en verwerkingsbeperking
1. De lidstaten voorzien erin dat de betrokkene het recht heeft van de verwerkingsverantwoordelijke zonder onnodige vertraging rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking schrijven de lidstaten voor dat de betrokkene het recht heeft om onvolledige persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.
2. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de persoonsgegevens zonder onnodige vertraging wist, en voorzien in het recht voor de betrokkene om van de verwerkingsverantwoordelijke zonder onnodige vertraging wissing van hem betreffende persoonsgegevens te verkrijgen wanneer verwerking indruist tegen artikel 4, 8 of 10 of wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een op de verwerkingsverantwoordelijke rustende wettelijke verplichting.
3. In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:
a) |
de juistheid van de persoonsgegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd; of |
b) |
de persoonsgegevens als bewijsmateriaal moeten worden bewaard. |
Wanneer de verwerking op grond van punt a) van de eerste alinea wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de verwerkingsbeperking op te heffen.
4. De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene schriftelijk in kennis stelt van een eventuele weigering tot rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, en van de redenen voor die weigering. De lidstaten kunnen wettelijke maatregelen treffen om de verplichting tot het verstrekken van die informatie geheel of gedeeltelijk te beperken, voor zover een dergelijke verwerkingsbeperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid te beschermen; |
d) |
de nationale veiligheid te beschermen; |
e) |
de rechten en vrijheden van anderen te beschermen. |
De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om beroep in te stellen bij de rechter.
5. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de rectificatie van de onjuiste persoonsgegevens meedeelt aan de bevoegde autoriteit van wie de onjuiste persoonsgegevens afkomstig zijn.
6. De lidstaten schrijven voor dat, wanneer overeenkomstig de leden 1, 2 en 3 persoonsgegevens zijn gerectificeerd of gewist, of wanneer de verwerking ervan is beperkt, de verwerkingsverantwoordelijke de ontvangers in kennis stelt, ende ontvangers de persoonsgegevens rectificeren of wissen of de onder hun bevoegdheid vallende verwerking van persoonsgegevens beperken.
Artikel 17
Uitoefening van rechten door de betrokkene en controle door de toezichthoudende autoriteit
1. In de in artikel 13, lid 3, artikel 15, lid 3, en artikel 16, lid 4, bedoelde gevallen treffen de lidstaten maatregelen die ertoe strekken dat de betrokkene zijn rechten ook via de bevoegde toezichthoudende autoriteit kan uitoefenen.
2. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene in kennis stelt van de mogelijkheid uit hoofde van lid 1 zijn rechten via de toezichthoudende autoriteit uit te oefenen.
3. Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de toezichthoudende autoriteit de betrokkene er ten minste van in kennis dat alle noodzakelijke controles of een evaluatie door de toezichthoudende autoriteit hebben plaatsgevonden. De toezichthoudende autoriteit stelt de betrokkene tevens in kennis van zijn recht om beroep in te stellen bij de rechter.
Artikel 18
Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures
De lidstaten kunnen ervoor zorgen dat de uitoefening van de in de artikelen 13, 14 en 16 bedoelde rechten overeenkomstig het lidstatelijke recht geschiedt wanneer de persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt.
HOOFDSTUK IV
Verwerkingsverantwoordelijke en verwerker
Artikel 19
Verplichtingen van de verwerkingsverantwoordelijke
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze richtlijn wordt verricht. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.
Artikel 20
Gegevensbescherming door ontwerp en door standaardinstellingen
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, welke aan de verwerking zijn verbonden, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf overgaat tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze richtlijn en ter bescherming van de rechten van de betrokkenen.
2. De lidstaten voorzien erin dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens standaard niet zonder de tussenkomst van de natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Artikel 21
Gezamenlijke verwerkingsverantwoordelijken
1. De lidstaten schrijven voor dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zij gezamenlijke verwerkingsverantwoordelijken zijn. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van deze richtlijn vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in artikel 13 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij, en voor zover, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij het Unierecht of het lidstatelijke recht die dat op de verwerkingsverantwoordelijken van toepassing is. In de regeling wordt een contactpunt voor betrokkenen aangewezen. De lidstaten kunnen bepalen welke van de gezamenlijke verwerkingsverantwoordelijken kan optreden als enig contactpunt voor betrokkenen die hun rechten willen uitoefenen.
2. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kunnen de lidstaten bepalen dat de betrokkene zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen met betrekking tot en jegens iedere verwerkingsverantwoordelijke kan uitoefenen.
Artikel 22
Verwerker
1. De lidstaten schrijven voor dat, wanneer verwerking namens een verwerkingsverantwoordelijke wordt verricht, de verwerkingsverantwoordelijke uitsluitend een beroep doet op verwerkers die afdoende garanderen dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking aan de vereisten van deze richtlijn wordt voldaan en de bescherming van de rechten van de betrokkene wordt gewaarborgd.
2. De lidstaten schrijven voor dat de verwerker geen andere verwerker in dienst neemt zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. De lidstaten schrijven voor dat de verwerking door een verwerker in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht wordt geregeld die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de verplichtingen en de rechten van de verwerkingsverantwoordelijke worden omschreven. In die overeenkomst of andere rechtshandeling wordt met name bepaald dat de verwerker:
a) |
uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt; |
b) |
ervoor zorgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn; |
c) |
de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren; |
d) |
na afloop van de gegevensverwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of hem deze terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens bij het Unierecht of het lidstatelijke recht is verplicht; |
e) |
de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om nakoming van dit artikel aan te tonen; |
f) |
aan de in de leden 2 en 3 bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet. |
4. De in lid 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, onder meer in elektronische vorm.
5. Indien een verwerker in strijd met deze richtlijn de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 23
Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker
De lidstaten schrijven voor dat de verwerker en eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze uitsluitend volgens de instructies van de verwerkingsverantwoordelijke verwerkt, tenzij hij op grond van het Unierecht of het lidstatelijke recht tot de verwerking gehouden is.
Artikel 24
Register van de verwerkingsactiviteiten
1. De lidstaten schrijven voor dat verwerkingsverantwoordelijken een register bijhouden van alle categorieën van onder hun verantwoordelijkheid vallende verwerkingsactiviteiten. Dat register bevat alle volgende gegevens:
a) |
de naam en de contactgegevens van de verwerkingsverantwoordelijke, van de eventuele gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming; |
b) |
de verwerkingsdoeleinden; |
c) |
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, met inbegrip van ontvangers in derde landen of internationale organisaties; |
d) |
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; |
e) |
in voorkomend geval het gebruik van profilering; |
f) |
in voorkomend geval de categorieën van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie; |
g) |
een aanwijzing betreffende de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de persoonsgegevens bestemd zijn; |
h) |
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden gewist; |
i) |
indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen. |
2. De lidstaten schrijven voor dat elke verwerker een register bijhoudt van alle categorieën van verwerkingsactiviteiten die hij namens een verwerkingsverantwoordelijke heeft verricht; dat register bevat de volgende gegevens:
a) |
de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming; |
b) |
de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd; |
c) |
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie indien daartoe door de verwerkingsverantwoordelijke uitdrukkelijke instructies zijn gegeven, met inbegrip van de vermelding van dat derde land of die internationale organisatie; |
d) |
indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen. |
3. Het in de leden 1 en 2 bedoelde register is opgesteld in schriftelijke vorm, onder meer in elektronische vorm.
De verwerkingsverantwoordelijke en de verwerker stellen die registers desgevraagd ter beschikking van de toezichthoudende autoriteit.
Artikel 25
Bijhouden van logbestanden
1. De lidstaten voorzien erin dat logbestanden worden bijgehouden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing. De logbestanden van raadpleging en bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.
2. De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor strafrechtelijke procedures.
3. De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de toezichthoudende autoriteit.
Artikel 26
Medewerking met de toezichthoudende autoriteit
De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker desgevraagd met de toezichthoudende autoriteit samenwerken bij het vervullen van haar taken.
Artikel 27
Gegevensbeschermingseffectbeoordeling
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de reikwijdte, de context of de doeleinden daarvan, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, voorzien de lidstaten erin dat de verwerkingsverantwoordelijke vóór de verwerking een beoordeling verricht van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
2. De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico’s, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze richtlijn is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.
Artikel 28
Voorafgaande raadpleging van de toezichthoudende autoriteit
1. De lidstaten voorzien erin dat de verwerkingsverantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:
a) |
uit een gegevensbeschermingsffectbeoordeling als bedoeld in artikel 27 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of |
b) |
de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt. |
2. De lidstaten voorzien erin dat de toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.
3. De lidstaten schrijven voor dat de toezichthoudende autoriteit een lijst kan opstellen van de verwerkingen waarvoor overeenkomstig lid 1 voorafgaande raadpleging moet plaatsvinden.
4. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling uit hoofde van artikel 27 verstrekt en, desgevraagd, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
5. De lidstaten schrijven voor dat, wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 van dit artikel bedoelde voorgenomen verwerking indruist tegen deze richtlijn, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, zij binnen zes weken na ontvangst van het verzoek om raadpleging schriftelijk advies geeft aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en zij al haar in artikel 47 bedoelde bevoegdheden kan uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.
Artikel 29
Beveiliging van de verwerking
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de in artikel 10 bedoelde verwerking van bijzondere categorieën van persoonsgegevens.
2. Ten aanzien van de geautomatiseerde verwerking voorziet elke lidstaat erin dat de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen treft om:
a) |
te verhinderen dat onbevoegden toegang krijgen tot verwerkingsapparatuur („controle op de toegang tot de apparatuur”); |
b) |
te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”); |
c) |
te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”); |
d) |
te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”); |
e) |
ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”); |
f) |
ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur („transmissiecontrole”); |
g) |
ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”); |
h) |
te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”); |
i) |
ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”); |
j) |
ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”). |
Artikel 30
Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
1. De lidstaten schrijven voor dat indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke deze zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de toezichthoudende autoriteit meldt, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico voor de rechten en vrijheden van personen met zich brengt. Wanneer de kennisgeving aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat deze vergezeld van een motivering voor de vertraging.
2. De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) |
de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie; |
b) |
de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; |
c) |
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; |
d) |
de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. |
4. Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.
5. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen ervan en de genomen corrigerende maatregelen documenteert. Die documentatie moet de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te controleren.
6. De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat, de in lid 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat wordt meegedeeld.
Artikel 31
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging meedeelt.
2. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 30, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.
3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:
a) |
de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; |
b) |
de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; of |
c) |
de mededeling zou een onevenredige inspanning vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een vergelijkbare maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. |
4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.
5. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 13, lid 3.
Artikel 32
Aanwijzing van de functionaris voor gegevensbescherming
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming aanwijst. De lidstaten kunnen gerechten en andere onafhankelijke rechterlijke autoriteiten van die verplichting vrijstellen bij de uitoefening van hun rechterlijke taken.
2. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 34 bedoelde taken te vervullen.
3. Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen.
4. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de contactgegevens van de functionaris voor gegevensbescherming openbaar maakt en deze aan de toezichthoudende autoriteit meedeelt.
Artikel 33
Positie van de functionaris voor gegevensbescherming
1. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke ervoor zorgt dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.
2. De verwerkingsverantwoordelijke ondersteunt de functionaris voor gegevensbescherming bij de vervulling van de in artikel 34 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van die taken en het in stand houden van zijn deskundigheid.
Artikel 34
Taken van de functionaris voor gegevensbescherming
De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de functionaris voor gegevensbescherming ten minste de volgende taken opdraagt:
a) |
informeren en adviseren van de verwerkingsverantwoordelijke en de werknemers die verwerking verrichten over hun verplichtingen op grond van deze richtlijn en andere gegevensbeschermingsbepalingen van het Unierecht of het lidstatelijke recht; |
b) |
toezien op de naleving van deze richtlijn, van andere gegevensbeschermingsbepalingen van het Unierecht of het lidstatelijke recht en van het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits; |
c) |
desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 27; |
d) |
met de toezichthoudende autoriteit samenwerken; |
e) |
optreden als contactpunt voor de toezichthoudende autoriteit inzake verwerkingsaangelegenheden, met inbegrip van de in artikel 28 bedoelde voorafgaande raadpleging, en, voor zover dienstig, overleg plegen met betrekking tot enige andere aangelegenheid. |
HOOFDSTUK V
Doorgiften van persoonsgegevens aan derde landen of internationale organisaties
Artikel 35
Algemene beginselen inzake doorgifte van persoonsgegevens
1. De lidstaten schrijven voor dat de bevoegde autoriteiten persoonsgegevens die worden verwerkt, of die bestemd zijn om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, ook na verdere doorgiften aan een ander derde land of een andere internationale organisatie, slechts mogen doorgeven met inachtneming van de andere bepalingen van deze richtlijn en indien aan de bij dit hoofdstuk neergelegde voorwaarden is voldaan, namelijk dat:
a) |
de doorgifte noodzakelijk is met het oog op de doeleinden van artikel 1, lid 1; |
b) |
de persoonsgegevens worden doorgegeven aan een verwerkingsverantwoordelijke in een derde land of in een internationale organisatie die een bevoegde autoriteit is voor de in artikel 1, lid 1, bedoelde doeleinden; |
c) |
ingeval persoonsgegevens worden doorgezonden of beschikbaar gesteld vanuit een andere lidstaat, die lidstaat overeenkomstig zijn nationale recht zijn voorafgaande toestemming voor de doorgifte heeft gegeven; |
d) |
de Commissie uit hoofde van artikel 36 een adequaatheidsbesluit heeft vastgesteld, of, bij ontbreken van een dergelijk besluit, er uit hoofde van artikel 37 passende waarborgen zijn geboden of bestaan, dan wel, bij ontbreken van een adequaatheidsbesluit uit hoofde van artikel 36 en van passende waarborgen uit hoofde van artikel 37, er afwijkingen gelden voor specifieke situaties uit hoofde van artikel 38; en |
e) |
in het geval van een verdere doorgifte aan een ander derde land of een andere internationale organisatie, de bevoegde autoriteit die de oorspronkelijke doorgifte had verricht of een andere bevoegde autoriteit van dezelfde lidstaat, toestemming verleent voor de verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, waaronder de ernst van het strafbare feit, het doel waarvoor de persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven. |
2. De lidstaten schrijven voor dat doorgiften zonder voorafgaande toestemming door een andere lidstaat overeenkomstig punt c) van lid 1 slechts toegelaten zijn indien de doorgifte van persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.
3. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze richtlijn gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd.
Artikel 36
Doorgiften op basis van adequaatheidsbesluiten
1. De lidstaten schrijven voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie een adequaat beschermingsniveau verzekert. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.
2. Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:
a) |
de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en de veiligheidsmaatregelen, met inbegrip van regels voor verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie, die in dat land of die internationale organisatie worden nageleefd, rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en daadwerkelijke mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven; |
b) |
het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze te handhaven, onder meer met passende handhavingsbevoegdheden, om betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en |
c) |
de internationale verbintenissen die het derde land of de internationale organisatie in kwestie heeft aangegaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens. |
3. De Commissie kan, na beoordeling van de vraag of het beschermingsniveau adequaat is, aan de hand van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, onder b), van dit artikel bedoelde toezichthoudende autoriteiten. De uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 58, lid 2, bedoelde onderzoeksprocedure.
4. De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk een invloed hebben op het functioneren van krachtens lid 3 vastgestelde besluiten.
5. Wanneer zulks uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde evaluatie, dat een derde land, een gebied of een of meer nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert, en gaat de Commissie voor zover nodig bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.
Om naar behoren gemotiveerde dwingende redenen van urgentie stelt de Commissie volgens de in artikel 58, lid 3, bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen vast.
6. De Commissie pleegt overleg met het derde land of de internationale organisatie ter verhelping van de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld.
7. De lidstaten schrijven voor dat een overeenkomstig lid 5 vastgesteld besluit de doorgiften van persoonsgegevens aan het derde land, het gebied of één of meer nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie overeenkomstig de artikelen 37 tot en met 38 onverlet laat.
8. De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een adequaat beschermingsniveau waarborgen.
Artikel 37
Doorgiften op voorwaarde van passende waarborgen
1. Bij ontbreken van een besluit uit hoofde van artikel 36, lid 3, schrijven de lidstaten voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer:
a) |
in een juridisch bindend instrument wordt voorzien in passende waarborgen voor de bescherming van persoonsgegevens; of |
b) |
de verwerkingsverantwoordelijke alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en heeft geconcludeerd dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens. |
2. De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de categorieën van doorgiften uit hoofde van lid 1, onder b).
3. Indien een doorgifte is gebaseerd op lid 1, onder b), wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.
Artikel 38
Afwijkingen voor specifieke situaties
1. Bij ontbreken van een adequaatheidsbesluit uit hoofde van artikel 36, of van passende waarborgen uit hoofde van artikel 37, schrijven de lidstaten voor dat een doorgifte of een categorie van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts toegelaten is indien de doorgifte noodzakelijk is:
a) |
om vitale belangen van de betrokkene of van een andere persoon te beschermen; |
b) |
om de legitieme belangen van de betrokkene te beschermen wanneer het recht van de lidstaat van waaruit de doorgifte van persoonsgegevens plaatsvindt zulks bepaalt; |
c) |
om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; |
d) |
in afzonderlijke gevallen met het oog op de doeleinden van artikel 1, lid 1; of |
e) |
in afzonderlijke gevallen met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen in verband met de doeleinden van artikel 1, lid 1. |
2. Persoonsgegevens worden niet doorgegeven indien de bevoegde autoriteit die de doorgifte verricht, bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte bedoeld in lid 1, onder d) en e).
3. Wanneer een doorgifte is gebaseerd op lid 1, wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.
Artikel 39
Doorgiften van persoonsgegevens aan ontvangers in derde landen
1. In afwijking van artikel 35, lid 1, onder b), en onverminderd de internationale overeenkomsten als bedoeld in lid 2 van dit artikel, kan in het Unierecht of het lidstatelijke recht worden bepaald dat een rechtstreekse doorgifte van persoonsgegevens door de in artikel 3, punt 7, onder a), bedoelde bevoegde autoriteiten aan ontvangers in derde landen, in afzonderlijke en specifieke gevallen, alleen kan plaatsvinden indien aan de overige bepalingen van deze richtlijn en aan alle onderstaande voorwaarden is voldaan:
a) |
de doorgifte is strikt noodzakelijk voor de uitvoering van een in het Unierecht of het lidstatelijke recht omschreven taak van de bevoegde autoriteit die de doorgifte doet, ter verwezenlijking van de doeleinden van artikel 1, lid 1; |
b) |
de bevoegde autoriteit die de doorgifte doet, bepaalt dat er geen grondrechten en fundamentele vrijheden van de betrokkene zijn die zwaarder wegen dan het openbaar belang dat de doorgifte in dat specifieke geval noodzakelijk maakt; |
c) |
de bevoegde autoriteit die de doorgifte doet, is van mening dat de doorgifte aan een autoriteit die in het derde land bevoegd is voor de in artikel 1, lid 1, bedoelde doeleinden, ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd; |
d) |
de autoriteit die in het derde land bevoegd is voor de in artikel 1, lid 1, bedoelde doeleinden wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dit ondoeltreffend of ongeschikt is; |
e) |
de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is. |
2. Een internationale overeenkomst als bedoeld in lid 1 is een van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten en derde landen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.
3. De bevoegde autoriteit die de doorgifte doet, stelt de toezichthoudende autoriteit in kennis van doorgiften uit hoofde van dit artikel.
4. Wanneer een doorgifte is gebaseerd op lid 1, wordt zij gedocumenteerd.
Artikel 40
Internationale samenwerking voor de bescherming van persoonsgegevens
Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten passende maatregelen om:
a) |
procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van wetgeving ter bescherming van persoonsgegevens wordt vergemakkelijkt; |
b) |
internationale wederzijdse bijstand te bieden bij de handhaving van wetgeving ter bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand in onderzoeken en uitwisseling van informatie, voor zover passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden worden geboden; |
c) |
belanghebbenden te betrekken bij besprekingen en activiteiten die erop zijn gericht de internationale samenwerking bij de handhaving van wetgeving ter bescherming van persoonsgegevens te bevorderen; |
d) |
de uitwisseling en het documenteren van wetgeving en praktijken ter bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen. |
HOOFDSTUK VI
Onafhankelijke toezichthoudende autoriteiten
Artikel 41
Toezichthoudende autoriteit
1. Elke lidstaat voorziet erin dat één of meer onafhankelijke overheidsinstanties worden belast met het toezicht op de toepassing van deze richtlijn, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerking te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken („toezichthoudende autoriteit”).
2. Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze richtlijn in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.
3. De lidstaten kunnen bepalen dat een toezichthoudende autoriteit die overeenkomstig Verordening (EU) 2016/679 is opgericht, de in deze richtlijn bedoelde toezichthoudende autoriteit is en verantwoordelijk is voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden opgericht.
4. Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit wordt opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die deze autoriteiten in het in artikel 51 bedoelde Comité vertegenwoordigt.
Artikel 42
Onafhankelijkheid
1. Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden overeenkomstig deze richtlijn volledig onafhankelijk optreedt.
2. De lidstaten schrijven voor dat de leden van hun toezichthoudende autoriteiten bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze richtlijn vrij blijven van al dan niet rechtstreekse externe invloed en instructies vragen noch aanvaarden van wie dan ook.
3. De leden van de toezichthoudende autoriteiten van de lidstaten onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.
4. Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de dienstruimten en infrastructuur die noodzakelijk zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.
5. Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de betrokken toezichthoudende autoriteit staan.
6. Elke lidstaat zorgt ervoor dat het financieel toezicht op elke toezichthoudende autoriteit de onafhankelijkheid van die autoriteit niet in het gedrang brengt, en dat zij een afzonderlijke, publieke, jaarlijkse begrotingen heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.
Artikel 43
Algemene voorwaarden voor de leden van de toezichthoudende autoriteit
1. De lidstaten schrijven voor dat elk lid van hun toezichthoudende autoriteiten volgens een transparante procedure wordt benoemd:
— |
door het parlement, |
— |
de regering, |
— |
het staatshoofd, of |
— |
door een onafhankelijk orgaan dat lidstaatrechtelijk met de benoeming is belast. |
2. Elk lid beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van hun taken en het uitoefenen van hun bevoegdheden.
3. De taken van een lid eindigen bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig het recht van de betrokken lidstaat.
4. Een lid wordt slechts ontslagen indien het op ernstige wijze is tekortgeschoten of niet langer aan de vereisten voor de uitvoering van de taken voldoet.
Artikel 44
Voorschriften betreffende de oprichting van de toezichthoudende autoriteit
1. Elke lidstaat regelt al het volgende bij wet:
a) |
de oprichting van elke toezichthoudende autoriteit; |
b) |
de kwalificaties en de voorwaarden om in aanmerking te komen vereist om tot lid van een bepaalde toezichthoudende autoriteit te worden benoemd; |
c) |
de regels en procedures voor de benoeming van het lid of de leden van elke toezichthoudende autoriteit; |
d) |
de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na 6 mei 2016, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen; |
e) |
of het lid of de leden van elke toezichthoudende autoriteit opnieuw kan of kunnen worden benoemd, en zo ja, voor hoeveel ambtstermijnen; |
f) |
de voorwaarden in verband met de plichten van het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit, de verboden op met die plichten onverenigbare handelingen, werkzaamheden en voordelen tijdens en na de ambtstermijn en de regels betreffende de beëindiging van hun arbeidsverhouding. |
2 Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig het Unierecht of het lidstatelijke recht. Tijdens hun ambtstermijn geldt het beroepsgeheim met name voor meldingen van inbreuken op deze richtlijn door natuurlijke personen.
Artikel 45
Competentie
1. Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit de competentie heeft om op het grondgebied van haar lidstaat de taken uit te voeren en de bevoegdheden uit te oefenen die haar overeenkomstig deze richtlijn zijn toegekend.
2. Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit belast is met het toezicht op verwerkingen door gerechten in het kader van hun rechterlijke taken. De lidstaten mogen bepalen dat hun toezichthoudende autoriteit niet bevoegd is om toe te zien op verwerkingen door andere onafhankelijke rechterlijke autoriteiten bij de uitoefening van hun rechterlijke taken.
Artikel 46
Taken
1. Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit op zijn grondgebied:
a) |
toeziet op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en de omzettingsmaatregelen daarvan, en deze handhaaft; |
b) |
het brede publiek beter bekend maakt met en meer inzicht verschaft in de risico’s, de regels, de waarborgen en de rechten in verband met verwerking; |
c) |
advies verleent, overeenkomstig het recht van die lidstaat, aan het nationale parlement, de regering en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking; |
d) |
de verwerkingsverantwoordelijken en de verwerkers beter bekend maakt met hun verplichtingen uit hoofde van deze richtlijn; |
e) |
desgevraagd informatie verstrekt aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze richtlijn en, in voorkomend geval, daartoe samenwerkt met de toezichthoudende autoriteiten in andere lidstaten; |
f) |
klachten behandelt van betrokkenen, of van organen, organisaties of verenigingen die overeenkomstig artikel 55 een betrokkene vertegenwoordigen, de inhoud van de klacht onderzoekt in de mate waarin dat nodig is en de klager binnen een redelijke termijn in kennis stelt van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is; |
g) |
overeenkomstig artikel 17 de rechtmatigheid van de verwerking controleert en de betrokkene binnen een redelijke termijn informeert over het resultaat van de controle overeenkomstig artikel 17, lid 3, of van de redenen waarom de controle niet is verricht; |
h) |
samenwerkt met, onder meer door informatie te delen, en wederzijdse bijstand biedt aan andere toezichthoudende autoriteiten, teneinde voor de samenhang in de toepassing en de handhaving van deze richtlijn te zorgen; |
i) |
onderzoeken verricht naar de toepassing van deze richtlijn, ook op basis van informatie die zij ontvangt van een andere toezichthoudende autoriteit of een andere overheidsdienst; |
j) |
de relevante ontwikkelingen volgt voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën; |
k) |
advies verstrekt over de in artikel 28 bedoelde verwerkingen; en |
l) |
een bijdrage levert aan de activiteiten van het Comité. |
2. Elke toezichthoudende autoriteit faciliteert het indienen van klachten als bedoeld in lid 1, onder f), door maatregelen te nemen, zoals het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
3. Elke toezichthoudende autoriteit verricht haar taken kosteloos voor de betrokkene en voor de functionaris voor gegevensbescherming.
4. Wanneer een verzoek kennelijk ongegrond of buitensporig is, met name vanwege zijn repetitieve karakter, kan de toezichthoudende autoriteit op basis van haar administratieve kosten een redelijke vergoeding aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om aan te tonen dat het verzoek kennelijk ongegrond of buitensporig is.
Artikel 47
Bevoegdheden
1. Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve onderzoeksbevoegdheden heeft. Die bevoegdheden omvatten ten minste de bevoegdheid om van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens die worden verwerkt en tot alle informatie die noodzakelijk is voor de uitvoering van haar taken.
2. Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve bevoegdheden heeft tot het treffen van corrigerende maatregelen, zoals:
a) |
de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk op de krachtens deze richtlijn vastgestelde bepalingen wordt gemaakt; |
b) |
de verwerkingsverantwoordelijke of de verwerker gelasten de verwerkingen, waar passend, op een nader bepaalde manier en binnen een nader bepaalde periode in overeenstemming te brengen met deze richtlijn, met name door het rectificeren of wissen van gegevens of verwerkingsbeperking te gelasten overeenkomstig artikel 16; |
c) |
een tijdelijke of definitieve begrenzing van het verwerken,, waaronder een verwerkingsverbod, opleggen. |
3. Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de effectieve adviesbevoegdheden heeft om advies te verstrekken aan de verwerkingsverantwoordelijke in overeenstemming met de procedure van voorafgaande raadpleging van artikel 28, en om op eigen initiatief dan wel op verzoek advies te verstrekken aan haar nationaal parlement en haar regering, of, overeenkomstig haar nationale recht, aan andere instellingen en organen alsmede aan het publiek over aangelegenheden die verband houden met de bescherming van persoonsgegevens.
4. Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.
5. Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de bevoegd heeft om inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen en, waar passend, een rechtsvordering in te stellen of anderszins in rechte op te treden teneinde deze richtlijn te doen naleven.
Artikel 48
Melding van inbreuken
De lidstaten voorzien erin dat de bevoegde autoriteiten doeltreffende mechanismen invoeren om vertrouwelijke melding van inbreuken op deze richtlijn te bevorderen.
Artikel 49
Activiteitenverslagen
Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op, met daarin mogelijk een lijst van de soorten gemelde inbreuken en de soorten opgelegde straffen. De verslagen worden toegezonden aan het nationale parlement, de regering en andere autoriteiten die daartoe in het lidstatelijke recht zijn aangewezen. Zij worden ter beschikking gesteld van het publiek, de Commissie en het Comité.
HOOFDSTUK VII
Samenwerking
Artikel 50
Wederzijdse bijstand
1. Elke lidstaat schrijft voor dat zijn toezichthoudende autoriteiten elkaar relevante informatie en wederzijdse bijstand verstrekken om deze richtlijn op een consequente manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand behelst met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om raadplegingen, inspecties en onderzoeken.
2. De lidstaten schrijven voor dat elke toezichthoudende autoriteit alle passende maatregelen neemt die nodig zijn om een verzoek van een andere toezichthoudende autoriteit zonder onnodige vertraging en in ieder geval binnen één maand na de ontvangst ervan te beantwoorden. Hierbij kan het in het bijzonder gaan om de toezending van relevante informatie over het uitvoeren van een onderzoek.
3. Verzoeken om bijstand bevatten alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.
4. De aangezochte toezichthoudende autoriteit, mag het verzoek niet afwijzen tenzij:
a) |
zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij wordt verzocht uit te voeren; of |
b) |
het inwilligen van het verzoek indruist tegen deze richtlijn of het Unierecht of het lidstatelijke recht dat van toepassing is op de toezichthoudende autoriteit die het verzoek ontvangt. |
5. De aangezochte toezichthoudende autoriteit informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. De aangezochte toezichthoudende autoriteit motiveert elke afwijzing van een verzoek op grond van lid 4.
6. De aangezochte toezichthoudende autoriteiten delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.
7. De aangezochte toezichthoudende autoriteiten rekenen geen vergoeding aan voor maatregelen die zij hebben getroffen ten vervolge op een verzoek om wederzijdse bijstand. Toezichthoudende autoriteiten kunnen regels overeenkomen om elkaar te vergoeden voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.
8. De Commissie kan aan de hand van uitvoeringshandelingen het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.
Artikel 51
Taken van het Comité
1. Het bij Verordening (EU) 2016/679. opgerichte Comité voert binnen het toepassingsgebied van deze richtlijn alle volgende taken in verband met verwerking uit:
a) |
adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze richtlijn; |
b) |
onderzoeken, op eigen initiatief of op verzoek van één van zijn leden dan wel op verzoek van de Commissie, van alle kwesties in verband met de toepassing van deze richtlijn, en opstellen van richtsnoeren, aanbevelingen en beste praktijken, teneinde de consequente toepassing van deze richtlijn te bevorderen; |
c) |
opstellen van richtsnoeren voor toezichthoudende autoriteiten betreffende de toepassing van de in artikel 47, leden 1 en 3, bedoelde maatregelen; |
d) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt b) van dit lid, ter vaststelling van de inbreuken in verband met persoonsgegevens alsmede van de in artikel 30, leden 1 en 2, bedoelde onnodige vertraging, en van de bijzondere omstandigheden waarin een verwerkingsverantwoordelijke of een verwerker verplicht is de inbreuk in verband met persoonsgegevens te melden; |
e) |
uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt b) van dit lid, ten aanzien van de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, als bedoeld in artikel 31, lid 1; |
f) |
evalueren van de praktische toepassing van de in de punten b) en c) bedoelde richtsnoeren, aanbevelingen en beste praktijken; |
g) |
ten behoeve van de Commissie een advies uitbrengen voor de beoordeling van de adequaatheid van het beschermingsniveau in een derde land, een gebied, of één of meer nader bepaalde sectoren in een derde land, of een internationale organisatie, ook voor de beoordeling of dat derde land, dat gebied, die nader bepaalde sector of die internationale organisatie geen adequaat beschermingsniveau meer waarborgt. |
h) |
bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en beste praktijken tussen de toezichthoudende autoriteiten; |
i) |
bevorderen van gemeenschappelijke opleidingsprogramma’s en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, en, waar passend, met de toezichthoudende autoriteiten van derde landen of met internationale organisaties; |
j) |
bevorderen van de uitwisseling van kennis en documentatie over het recht en praktijken op het gebied van gegevensbescherming met voor gegevensbescherming bevoegde toezichthoudende autoriteiten van de hele wereld. |
Met betrekking tot punt g), van lid 1 verstrekt de Commissie het Comité alle nodige documentatie, met inbegrip van correspondentie met de overheid van het derde land, het gebied of de nader bepaalde sector binnen dat derde land of de internationale organisatie.
2. Wanneer de Commissie het Comité om advies vraagt, kan zij een termijn aangeven, rekening houdend met de spoedeisendheid van de aangelegenheid.
3. Het Comité zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 58, lid 1, bedoelde comité en maakt deze bekend.
4. De Commissie informeert het Comité over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Comité heeft getroffen.
HOOFDSTUK VIII
Beroep, aansprakelijkheid en straffen
Artikel 52
Recht om een klacht in te dienen bij een toezichthoudende autoriteit
1. Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte voorzien de lidstaten erin dat iedere betrokkene het recht heeft een klacht in te dienen bij één toezichthoudende autoriteit, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreukmaakt op de krachtens deze richtlijn vastgestelde bepalingen.
2. De lidstaten schrijven voor dat, indien de klacht niet is ingediend bij de toezichthoudende autoriteit die bevoegd is op grond van artikel 45, lid 1, de toezichthoudende autoriteit waarbij de klacht is ingediend deze zonder onnodige vertraging aan de bevoegde toezichthoudende autoriteit doorzendt. De betrokkene wordt van de doorzending in kennis gesteld.
3. De lidstaten schrijven voor dat de toezichthoudende autoriteit waarbij de klacht is ingediend, op verzoek van de betrokkene verdere bijstand verleent.
4. De betrokkene wordt door de bevoegde toezichthoudende autoriteit op de hoogte gehouden van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte uit hoofde van artikel 53.
Artikel 53
Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit
1. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep schrijven de lidstaten voor dat een natuurlijke persoon of een rechtspersoon het recht heeft tegen een hem betreffende juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.
2. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig artikel 45, lid 1, bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden van de voortgang of het resultaat van de uit hoofde van artikel 52 ingediende klacht in kennis stelt.
3. De lidstaten schrijven voor dat een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd.
Artikel 54
Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker
Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht op grond van artikel 52 klacht in te dienen bij een toezichthoudende autoriteit, schrijven de lidstaten voor dat iedere betrokkene het recht heeft een doeltreffende voorziening in rechte in te stellen, indien hij van mening is dat een inbreuk is gepleegd op zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen als gevolg van een verwerking van zijn persoonsgegevens die niet aan die bepalingen voldoet.
Artikel 55
Vertegenwoordiging van betrokkenen
De lidstaten zorgen overeenkomstig hun procesrecht ervoor dat de betrokkene het recht heeft een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het openbare belang dienen, en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen en namens hem de in artikelen 52, 53en 54 bedoelde rechten uit te oefenen.
Artikel 56
Recht op schadevergoeding
De lidstaten schrijven voor dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met de krachtens deze richtlijn vastgestelde nationale voorschriften, het recht heeft van de verwerkingsverantwoordelijke of een andere volgens het lidstatelijke recht bevoegde autoriteit, vergoeding van de geleden schade te verkrijgen.
Artikel 57
Straffen
De lidstaten stellen de regeling vast betreffende de straffen die van toepassing zijn op inbreuken op deze richtlijn en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. De vastgestelde straffen moeten doeltreffend, evenredig en afschrikkend zijn.
HOOFDSTUK IX
Uitvoeringshandelingen
Artikel 58
Comitéprocedure
1. De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
3. Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.
HOOFDSTUK X
Slotbepalingen
Artikel 59
Intrekking van Kaderbesluit 2008/977/JBZ
1. Kaderbesluit 2008/977/JBZ wordt ingetrokken met ingang van 6 mei 2018.
2. Verwijzingen naar het in lid 1 bedoelde ingetrokken besluit gelden als verwijzingen naar deze richtlijn.
Artikel 60
Reeds van kracht zijnde Unierechtshandelingen
Onaangetast blijven de specifieke bepalingen voor de bescherming van persoonsgegevens in Unierechtshandelingen die in werking zijn getreden op of vóór 6 mei 2016 op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking en die voorzien in regels voor verwerking tussen lidstaten onderling, alsmede de toegang van door de lidstaten aangewezen autoriteiten tot informatiesystemen die zijn opgericht op grond van de Verdragen en onder het toepassingsgebied van deze richtlijn vallen.
Artikel 61
Verhouding tot reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking
Internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten zijn gesloten vóór 6 mei 2016 en die in overeenstemming zijn met het vóór die datum van toepassing zijnde Unierecht, blijven van kracht totdat zij worden gewijzigd, vervangen of herroepen.
Artikel 62
Commissieverslagen
1. Uiterlijk op 6 mei 2022, en vervolgens om de vier jaar, brengt de Commissie verslag uit over de evaluatie en herziening van deze richtlijn aan het Europees Parlement en aan de Raad. De verslagen worden openbaar gemaakt.
2. In het kader van de in lid 1 bedoelde evaluaties en herzieningen beoordeelt de Commissie met name de toepassing en het functioneren van hoofdstuk V betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, in het bijzonder met betrekking tot de krachtens artikel 36, lid 3, en artikel 39 vastgestelde besluiten.
3. Met het oog op de in leden 1 en 2 bedoelde doeleinden kan de Commissie de lidstaten en de toezichthoudende autoriteiten om informatie verzoeken.
4. Bij het uitvoeren van de in de leden 1 en 2 bedoelde evaluaties en herzieningen houdt de Commissie rekening met de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante instanties of bronnen.
5. Indien nodig dient de Commissie passende voorstellen in teneinde deze richtlijn te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij.
6. Uiterlijk op 6 mei 2019, gaat de Commissie na of andere handelingen die de Unie heeft vastgesteld in verband met verwerking door de bevoegde instanties voor de doeleinden van artikel 1, lid 1, met inbegrip van die bedoeld in artikel 60, aan deze richtlijn moeten worden aangepast en dient in voorkomend geval de nodige voorstellen in om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van deze richtlijn te waarborgen.
Artikel 63
Omzetting
1. Uiterlijk op 6 mei 2018 stellen de lidstaten de nodige wettelijke en bestuursrechtelijke bepalingen vast en maken deze bekend teneinde aan deze richtlijn te voldoen. Zij stellen de Commissie onverwijld in kennis van de tekst van die bepalingen. Zij passen die bepalingen toe met ingang van 6 mei 2018.
Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor die verwijzing worden vastgesteld door de lidstaten.
2. Indien de toepassing van lid 1 buitensporige inspanningen met zich zou brengen, kan een lidstaat in afwijking van dat lid uitzonderlijk bepalen dat de geautomatiseerde verwerkingssystemen die zijn opgezet vóór 6 mei 2016, uiterlijk op 6 mei 2023 met artikel 25, lid 1, in overeenstemming worden gebracht.
3. In afwijking van de leden 1 en 2 van dit artikel kan een lidstaat in uitzonderlijke omstandigheden een systeem voor geautomatiseerde verwerking als bedoeld in lid 2 van dit artikel, binnen een nader bepaalde termijn na de in lid 2 van dit artikel bedoelde periode met artikel 25, lid 1, in overeenstemming brengen indien de werking van dat systeem voor geautomatiseerde verwerking anders ernstig in het gedrang zou komen. De betrokken lidstaat stelt de Commissie in kennis van de redenen voor die ernstige moeilijkheden en voor de nader bepaalde termijn waarbinnen hij het genoemde systeem voor geautomatiseerde verwerking met artikel 25, lid 1, in overeenstemming brengt. De nader bepaalde termijn verstrijkt in geen geval later dan 6 mei 2026.
4. De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.
Artikel 64
Inwerkingtreding
Deze richtlijn treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Artikel 65
Adressaten
Deze richtlijn is gericht tot de lidstaten.
Gedaan te Brussel, 27 april 2016.
Voor het Europees Parlement
De voorzitter
M. SCHULZ
Voor de Raad
De voorzitter
J.A. HENNIS-PLASSCHAERT
(1) PB C 391 van 18.12.2012, blz. 127.
(2) Standpunt van het Europees Parlement van 12 maart 2014 (nog niet bekendgemaakt in het Publicatieblad) en standpunt van de Raad in eerste lezing van 8 april 2016 (nog niet bekendgemaakt in het Publicatieblad). Standpunt van het Europees Parlement van 14 april 2016.
(3) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(4) Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB L 350 van 30.12.2008, blz. 60).
(5) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) en tot intrekking van Richtlijn 95/46/EG (zie bladzijde 1 van dit Publicatieblad).
(6) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(7) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).
(8) Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad van 24 januari 2005 over de uitwisseling van bepaalde gegevens met Interpol (PB L 27 van 29.1.2005, blz. 61).
(9) Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).
(10) Richtlijn 77/249/EEG van de Raad van 22 maart 1977 tot vergemakkelijking van de daadwerkelijke uitoefening door advocaten van het vrij verrichten van diensten (PB L 78 van 26.3.1977, blz. 17).
(11) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(12) Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz. 1).
(13) Akte van de Raad van 29 mei 2000 tot vaststelling, overeenkomstig artikel 34 van het Verdrag betreffende de Europese Unie, van de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie (PB C 197 van 12.7.2000, blz. 1).
(14) Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1).
(15) PB L 176 van 10.7.1999, blz. 36.
(16) PB L 53 van 27.2.2008, blz. 52.
(17) PB L 160 van 18.6.2011, blz. 21.
(18) PB C 192 van 30.6.2012, blz. 7.
4.5.2016 |
NL |
Publicatieblad van de Europese Unie |
L 119/132 |
RICHTLIJN (EU) 2016/681 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 27 april 2016
over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 82, lid 1, onder d), en artikel 87, lid 2, onder a),
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité (1),
Na raadpleging van het Comité van de Regio’s,
Handelend volgens de gewone wetgevingsprocedure (2),
Overwegende hetgeen volgt:
(1) |
Op 6 november 2007 keurde de Commissie een voorstel goed voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor rechtshandhavingsdoeleinden. Door de inwerkingtreding van het Verdrag van Lissabon op 1 december 2009 is het voorstel van de Commissie, dat op dat moment nog niet door de Raad was goedgekeurd, evenwel achterhaald. |
(2) |
In „Het programma van Stockholm — Een open en veilig Europa ten dienste en ter bescherming van de burger” (3) wordt de Commissie opgeroepen een maatregel betreffende het gebruik van PNR-gegevens met het oog op het voorkomen, opsporen, onderzoeken en vervolgen van terrorisme en ernstige criminaliteit voor te stellen. |
(3) |
In haar mededeling van 21 september 2010 over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record — PNR) aan derde landen heeft de Commissie een aantal kernelementen van een Uniebeleid op dit gebied uiteengezet. |
(4) |
Richtlijn 2004/82/EG van de Raad (4) regelt de verstrekking vooraf van passagiersgegevens (advance passenger information data — API-gegevens) door luchtvaartmaatschappijen aan de bevoegde nationale instanties, ter verbetering van de grenscontroles en ter bestrijding van illegale immigratie. |
(5) |
Doelstellingen van deze richtlijn zijn onder meer de veiligheid te waarborgen, het leven en de veiligheid van personen te beschermen, en een wettelijk kader te scheppen voor de bescherming van PNR-gegevens bij de verwerking door bevoegde autoriteiten. |
(6) |
Een doeltreffend gebruik van PNR-gegevens, onder meer door PNR-gegevens te vergelijken met diverse databanken van gezochte personen en voorwerpen, is noodzakelijk om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen en zo de interne veiligheid te bevorderen, databanken om bewijsmateriaal te verzamelen en in voorkomend geval medeplichtigen van criminelen op te sporen en criminele netwerken op te rollen. |
(7) |
Dankzij de analyse van PNR-gegevens kunnen personen worden geïdentificeerd die, voordat een dergelijke analyse werd verricht, niet van terroristische misdrijven of ernstige criminaliteit verdacht werden, en naar wie de bevoegde instanties nader onderzoek moeten verrichten. Door PNR-gegevens te gebruiken kan het gevaar van terroristische misdrijven en ernstige criminaliteit vanuit een andere invalshoek worden aangepakt dan bij de verwerking van andere categorieën persoonsgegevens het geval is. Om echter ervoor te zorgen dat de verwerking van PNR-gegevens beperkt blijft tot het noodzakelijke, dient de vaststelling en toepassing van beoordelingscriteria te worden beperkt tot terroristische misdrijven en ernstige criminaliteit waarvoor het gebruik van dergelijke criteria relevant is. Bovendien moeten de beoordelingscriteria zo worden opgesteld dat het systeem zo weinig mogelijk onschuldige personen aanduidt. |
(8) |
Luchtvaartmaatschappijen verzamelen en verwerken PNR-gegevens van hun passagiers reeds voor hun eigen commerciële doeleinden. Deze richtlijn mag niet voorschrijven dat de luchtvaartmaatschappijen ertoe worden verplicht aanvullende gegevens bij passagiers te verzamelen of deze te bewaren, en evenmin dat passagiers ertoe worden verplicht nog meer gegevens aan de luchtvaartmaatschappijen te verstrekken dan thans het geval is. |
(9) |
Sommige luchtvaartmaatschappijen bewaren de API-gegevens die zij verzamelen als onderdeel van de PNR-gegevens, andere niet. Het gecombineerde gebruik van PNR- en API-gegevens biedt meerwaarde doordat het de lidstaten helpt bij de identiteitscontrole van personen, waardoor uit het oogpunt van rechtshandhaving dat resultaat aan waarde wint, en het risico wordt beperkt dat onschuldige personen het voorwerp uitmaken van controle en onderzoek. Daarom moet er beslist voor worden gezorgd dat luchtvaartmaatschappijen die API-gegevens verzamelen, deze doorgeven, ongeacht of zij API-gegevens bewaren door middel van andere technische middelen dan voor PNR-gegevens. |
(10) |
Om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen is het is van essentieel belang dat alle lidstaten voorschriften vaststellen waarbij luchtvaartmaatschappijen die vluchten van of naar derde landen uitvoeren worden verplicht PNR-gegevens, met inbegrip van API-gegevens, die zij verzamelen, door te geven. De lidstaten moeten ook de mogelijkheid hebben deze verplichting uit te breiden naar luchtvaartmaatschappijen die vluchten binnen de Unie uitvoeren. Deze voorschriften laten Richtlijn 2004/82/EG onverlet. |
(11) |
De verwerking van persoonsgegevens moet evenredig zijn aan de specifieke veiligheidsdoelen die met deze richtlijn worden nagestreefd. |
(12) |
In deze richtlijn moet het begrip terroristische misdrijven worden gedefinieerd zoals in Kaderbesluit 2002/475/JBZ van de Raad (5). De definitie van ernstige criminaliteit dient de categorieën misdrijven die zijn vermeld in bijlage II bij deze richtlijn te omvatten. |
(13) |
De PNR-gegevens dienen te worden doorgegeven aan één enkele aangewezen passagiersinformatie-eenheid („PIE”) in de betrokken lidstaat, ter wille van de duidelijkheid en omdat dit minder kosten meebrengt voor de luchtvaartmaatschappijen. De PIE kan in een lidstaat op verschillende plaatsen gevestigd zijn, en ook mogen lidstaten gezamenlijk één PIE oprichten. De lidstaten moeten de informatie via geëigende informatie-uitwisselingsnetwerken met elkaar delen om informatie-uitwisseling en interoperabiliteit te faciliteren. |
(14) |
De kosten voor het gebruiken, bewaren en uitwisselen van PNR-gegevens dienen gedragen te worden door de lidstaten. |
(15) |
Een lijst van de PNR-gegevens die door een PIE worden verkregen, dient zo te worden opgesteld dat wordt tegemoetgekomen aan de legitieme behoeften van de overheid in verband met het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, en dat aldus de interne veiligheid van de EU wordt bevorderd, en dient anderzijds de bescherming van de grondrechten, en met name het recht op eerbiediging van de persoonlijke levenssfeer en op bescherming van persoonsgegevens, te waarborgen. Daartoe moeten hoge normen worden toegepast in overeenstemming met het Handvest van de grondrechten van de Europese Unie (het „Handvest”), het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens („Verdrag nr. 108”) en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden („EVRM”). Dergelijke lijst mag niet uitgaan van ras of etnische oorsprong, godsdienstige of levensbeschouwelijke overtuiging, politieke of andere opvattingen, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid. De PNR-gegevens dienen uitsluitend details over de reserveringen en de reisroutes van de passagier te bevatten die de bevoegde instanties in staat stellen te bepalen welke vliegtuigpassagiers een risico voor de interne veiligheid vormen. |
(16) |
Er zijn momenteel twee mogelijke methoden voor gegevensdoorgifte beschikbaar: de „pull-methode”, waarbij de bevoegde instanties van de lidstaat die de PNR-gegevens opvraagt, toegang krijgen tot het reserveringssysteem van de luchtvaartmaatschappij en uit het systeem een kopie van de benodigde PNR-gegevens kunnen halen („pull”), en de „push-methode”, waarbij de luchtvaartmaatschappijen de benodigde PNR-gegevens aan de verzoekende instantie doorgeven („push”) en de luchtvaartmaatschappijen dus controle behouden over de gegevens die worden verstrekt. De algemene opvatting is dat de „push-methode” een hogere mate van gegevensbescherming biedt, en deze methode dient dan ook voor alle luchtvaartmaatschappijen verplicht te worden gesteld. |
(17) |
De Commissie steunt de richtsnoeren inzake PNR-gegevens van de Internationale Burgerluchtvaartorganisatie (ICAO). Deze richtsnoeren dienen dan ook de grondslag te zijn bij het vaststellen van de ondersteunde dataformaten voor de doorgifte van PNR-gegevens door luchtvaartmaatschappijen aan de lidstaten. Om eenvormige voorwaarden te waarborgen voor de invoering van ondersteunde dataformaten en van relevante protocollen voor de doorgifte van gegevens van luchtvaartmaatschappijen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (6). |
(18) |
De lidstaten dienen alle nodige maatregelen te nemen om luchtvaartmaatschappijen in staat te stellen hun uit deze richtlijn voortvloeiende verplichtingen na te komen. Ten aanzien van luchtvaartmaatschappijen die niet voldoen aan hun verplichtingen inzake de doorgifte van PNR-gegevens dienen de lidstaten te voorzien in doeltreffende, evenredige en afschrikkende sancties, met inbegrip van geldboetes. |
(19) |
Iedere lidstaat dient zelf de mogelijke dreigingen op het gebied van terroristische misdrijven en ernstige criminaliteit te beoordelen. |
(20) |
Gelet op het recht op bescherming van persoonsgegevens en het discriminatieverbod mag een beslissing die voor de betrokkene nadelige rechtsgevolgen of andere ingrijpende gevolgen heeft, niet uitsluitend berusten op automatisch verwerkte PNR-gegevens. Gelet op de artikelen 8 en 21 van het Handvest mag een dergelijke beslissing bovendien geen enkele vorm van discriminatie inhouden, zoals op grond van geslacht, ras, huidskleur, etnische of sociale afkomst, genetische kenmerken, taal, godsdienst of overtuiging, politieke of andere opvattingen, het behoren tot een nationale minderheid, vermogen, geboorte, een handicap, leeftijd of seksuele geaardheid. De Commissie moet deze beginselen ook in aanmerking nemen wanneer zij de toepassing van deze richtlijn evalueert. |
(21) |
Het verwerkingsresultaat van PNR-gegevens mag in geen geval door de lidstaten worden aangewend als reden om hun internationale verplichtingen uit hoofde van het Verdrag van 28 juli 1951 betreffende de status van vluchtelingen als gewijzigd bij het protocol van 31 januari 1967 te omzeilen, noch mag het worden gebruikt om asielzoekers die hun recht op internationale bescherming willen uitoefenen, de toegang tot veilige en doeltreffende legale wegen naar het grondgebied van de Unie te ontzeggen. |
(22) |
Gelet op de in recente relevante rechtspraak van het Hof van Justitie van de Europese Unie uiteengezette beginselen moet bij de toepassing van deze richtlijn worden gezorgd voor volledige eerbiediging van de grondrechten, het recht op bescherming van de persoonlijke levenssfeer en het evenredigheidsbeginsel. Tevens moet erop worden toegezien dat de maatregelen werkelijk noodzakelijk en proportioneel zijn met het oog op het door de Unie erkende algemeen belang en noodzakelijk zijn om de rechten en vrijheden van anderen bij de bestrijding van terroristische misdrijven en ernstige criminaliteit te beschermen. De toepassing van deze richtlijn moet naar behoren worden gemotiveerd en er moet worden voorzien in de nodige waarborgen om de rechtmatigheid van de opslag, analyse, doorgifte of het gebruik van de PNR-gegevens te garanderen. |
(23) |
De lidstaten dienen de PNR-gegevens die zij ontvangen met elkaar en met Europol uit te wisselen, indien dat nodig wordt geacht voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit. De PIE’s dienen het verwerkingsresultaat van PNR-gegevens in voorkomend geval onverwijld voor nader onderzoek aan de PIE’s van andere lidstaten door te zenden. De bepalingen van deze richtlijn mogen geen afbreuk doen aan andere instrumenten van de Unie betreffende informatie-uitwisseling tussen politiële en andere rechtshandhavingsinstanties en justitiële autoriteiten, zoals Besluit 2009/371/JBZ van de Raad (7) en Kaderbesluit 2006/960/JBZ van de Raad (8). Voor deze uitwisseling van PNR-gegevens dienen de voorschriften inzake justitiële en politiële samenwerking te gelden en deze uitwisseling mag het hoge niveau van bescherming van het privéleven en van persoonsgegevens dat wordt voorgeschreven door het Handvest, Verdrag nr. 108 en het EVRM niet ondermijnen. |
(24) |
Er moet worden gezorgd voor een veilige uitwisseling tussen de lidstaten van informatie aangaande PNR-gegevens door gebruik te maken van de bestaande kanalen voor samenwerking tussen de bevoegde instanties van de lidstaten, en met name met Europol via de applicatie voor veilige informatie-uitwisseling (Secure Information Exchange Network Application — SIENA) van Europol. |
(25) |
De bewaartermijn voor PNR-gegevens dient zo lang te zijn als noodzakelijk is voor en evenredig te zijn aan de doelstellingen, namelijk het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit. Gezien de aard van de gegevens en het gebruik ervan dienen de PNR-gegevens lang genoeg te worden bewaard om er een analyse mee te kunnen uitvoeren en ze bij onderzoek te kunnen gebruiken. Ter voorkoming van onevenredig gebruik dienen de gegevens na de initiële bewaartermijn door afscherming van gegevenselementen te worden gedepersonaliseerd. Om te zorgen voor het hoogste niveau van gegevensbescherming, dient toegang tot de volledige PNR-gegevens, waarmee de betrokkene rechtstreeks kan worden geïdentificeerd, uitsluitend onder zeer strikte en restrictieve voorwaarden te worden toegestaan na die initiële bewaartermijn. |
(26) |
Het bewaren door de bevoegde instantie van specifieke PNR-gegevens die haar zijn doorgegeven en in het kader van strafrechtelijk onderzoek of strafvervolging worden gebruikt, dient te worden geregeld bij het nationale recht, ongeacht de in deze richtlijn vastgestelde gegevensbewaartermijnen. |
(27) |
Voor de verwerking van PNR-gegevens in elke lidstaat door de PIE en de bevoegde instanties dient een nationaalrechtelijke norm voor persoonsgegevensbescherming te gelden die in overeenstemming is met Kaderbesluit 2008/977/JBZ van de Raad (9), en de specifieke gegevensbeschermingsvoorschriften van deze richtlijn. Verwijzingen naar Kaderbesluit 2008/977/JHA dienen te worden gelezen als verwijzingen naar de momenteel geldende wetgeving en naar mogelijke toekomstige vervangende wetgeving daarvoor. |
(28) |
Gelet op het recht op de bescherming van persoonsgegevens, dienen de rechten van de betrokkenen wat betreft de verwerking van hun PNR-gegevens, zoals het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, in lijn te zijn met Kaderbesluit 2008/977/JBZ, en met het hoge niveau van bescherming dat geboden wordt door het Handvest en het EVRM. |
(29) |
Aangezien passagiers het recht hebben te worden geïnformeerd over de verwerking van hun persoonsgegevens, dienen de lidstaten ervoor te zorgen dat passagiers juiste, gemakkelijk toegankelijke en begrijpelijke informatie wordt verstrekt over de verzameling van PNR-gegevens, de doorgifte daarvan aan de PIE en over hun rechten als betrokkene. |
(30) |
Deze richtlijn laat het Unierecht en het nationale recht inzake het beginsel van de toegang van het publiek tot officiële documenten onverlet. |
(31) |
Doorgifte van PNR-gegevens door een lidstaat aan een derde land dient uitsluitend per geval te worden toegestaan, met volledige inachtneming van de door de lidstaten overeenkomstig Kaderbesluit 2008/977/JBZ vastgestelde bepalingen. Om de bescherming van persoonsgegevens te waarborgen, dient een dergelijke doorgifte onderworpen te zijn aan aanvullende voorwaarden betreffende het doel van de doorgifte. Deze doorgifte dient ook onderworpen te zijn aan de beginselen van noodzakelijkheid en evenredigheid en het hoge niveau van bescherming dat wordt geboden door het Handvest en door het EVRM. |
(32) |
De nationale toezichthoudende autoriteit die is opgericht krachtens Kaderbesluit 2008/977/JBZ dient er tevens mee te worden belast advies te geven over en toezicht te houden op de toepassing van de bepalingen die door de lidstaten in overeenstemming met deze richtlijn worden vastgesteld. |
(33) |
Deze richtlijn laat onverlet dat de lidstaten krachtens hun nationaal recht een systeem kunnen opzetten voor het verzamelen en verwerken van PNR-gegevens van marktdeelnemers die geen luchtvaartmaatschappij zijn, zoals reisbureaus en touroperators die diensten in verband met reizen aanbieden, met inbegrip van het boeken van vluchten, waarvoor zij PNR-gegevens verzamelen en verwerken, of van andere vervoerders dan de in deze richtlijn bepaalde, mits dit nationale recht in overeenstemming is met het recht van de Unie. |
(34) |
Deze richtlijn laat bestaande Unieregels betreffende de uitvoering van grenscontroles, evenals Unieregels betreffende binnenkomst in en vertrek van het grondgebied van de Unie, onverlet. |
(35) |
Als gevolg van de juridische en technische verschillen tussen de nationale bepalingen inzake de verwerking van persoonsgegevens, met inbegrip van PNR-gegevens, hebben de luchtvaartmaatschappijen te maken met verschillende eisen ten aanzien van de te verstrekken soorten informatie, evenals met verschillende voorwaarden waaronder deze informatie aan de bevoegde nationale instanties moet worden verstrekt. Die verschillen kunnen een belemmering zijn voor de effectieve samenwerking tussen de bevoegde nationale instanties voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit. Het is derhalve noodzakelijk op het niveau van de Unie een gemeenschappelijk rechtskader vast te stellen voor de doorgifte en de verwerking van PNR-gegevens. |
(36) |
Deze richtlijn is in overeenstemming met de grondrechten en beginselen uit het Handvest, in het bijzonder het recht op bescherming van persoonsgegevens, het recht op eerbiediging van het privéleven en het recht op non-discriminatie, zoals deze worden beschermd door de artikelen 7, 8 en 21 ervan; zij dient dan ook dienovereenkomstig te worden uitgevoerd. Deze richtlijn is verenigbaar met de beginselen inzake gegevensbescherming en de bepalingen ervan zijn in overeenstemming met Kaderbesluit 2008/977/JBZ. Om voorts te voldoen aan het evenredigheidsbeginsel voorziet deze richtlijn op bepaalde punten in strengere gegevensbeschermingsregels dan Kaderbesluit 2008/977/JBZ. |
(37) |
Het toepassingsgebied van deze richtlijn is zo beperkt mogelijk, aangezien zij bepaalt dat de PNR-gegevens in de PIE’s niet langer dan vijf jaar mogen worden bewaard, waarna zij moeten worden gewist; dat gegevens na een initiële termijn van zes maanden door afscherming van gegevenselementen dienen te worden gedepersonaliseerd; en dat het verboden is gevoelige gegevens te verzamelen en gebruiken. Om efficiëntie en een hoog niveau van gegevensbescherming te waarborgen, dienen de lidstaten een onafhankelijke, nationale toezichthoudende autoriteit, alsmede in het bijzonder een functionaris voor gegevensbescherming, te belasten met het adviseren over en het toezicht op de wijze van verwerking van PNR-gegevens. Iedere verwerking van PNR-gegevens dient te worden geregistreerd of gedocumenteerd, zodat de rechtmatigheid ervan kan worden gecontroleerd, interne controle kan worden uitgeoefend en de integriteit van de gegevens en een beveiligde verwerking kunnen worden gewaarborgd. De lidstaten moeten er ook zorg voor dragen dat passagiers duidelijk en nauwkeurig worden geïnformeerd over het verzamelen van PNR-gegevens en over hun rechten. |
(38) |
Aangezien de doelstellingen van deze richtlijn, namelijk de doorgifte door luchtvaartmaatschappijen van PNR-gegevens en de verwerking daarvan voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar beter kunnen worden verwezenlijkt op het niveau van de Unie, kan de Unie maatregelen nemen, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel. Overeenkomstig het in dat artikel 5 neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om deze doelstellingen te verwezenlijken. |
(39) |
Overeenkomstig artikel 3 van het Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, hebben deze lidstaten kennis gegeven van hun wens deel te nemen aan de vaststelling en toepassing van deze richtlijn. |
(40) |
Overeenkomstig de artikelen 1 en 2 van het Protocol nr. 22 betreffende de positie van Denemarken, dat is gehecht aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, neemt Denemarken niet deel aan de vaststelling van deze richtlijn en is het hierdoor niet gebonden, noch onderworpen aan de toepassing ervan. |
(41) |
Overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (10) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 25 maart 2011 heeft hij een advies uitgebracht, |
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
HOOFDSTUK I
Algemene bepalingen
Artikel 1
Onderwerp en toepassingsgebied
1. Bij deze richtlijn worden voorschriften vastgesteld inzake:
a) |
de doorgifte door luchtvaartmaatschappijen van persoonsgegevens van passagiers (Passenger Name Record — PNR) van vluchten naar of vanuit derde landen, |
b) |
de verwerking van de onder a) bedoelde gegevens, met inbegrip van het verzamelen, gebruiken, bewaren en onderling uitwisselen daarvan door lidstaten. |
2. Overeenkomstig deze richtlijn verzamelde PNR-gegevens mogen uitsluitend worden verwerkt om terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken en te vervolgen overeenkomstig artikel 6, lid 2, onder a), b) en c).
Artikel 2
Toepassing van deze richtlijn op vluchten binnen de EU
1. Indien een lidstaat het besluit neemt deze richtlijn toe te passen op vluchten binnen de EU, brengt hij dit schriftelijk ter kennis van de Commissie. Een lidstaat kan een dergelijke kennisgeving te allen tijde doen of intrekken. De Commissie maakt deze kennisgeving en een eventuele intrekking ervan bekend in het Publicatieblad van de Europese Unie.
2. Wanneer een in lid 1 bedoelde kennisgeving is gedaan, zijn alle bepalingen van deze richtlijn van toepassing op vluchten binnen de EU alsof het om vluchten naar of vanuit derde landen gaat, en op de PNR-gegevens van vluchten binnen de EU alsof het om PNR-gegevens gaat van vluchten naar of vanuit derde landen.
3. Een lidstaat kan besluiten de bepalingen van deze richtlijn uitsluitend op geselecteerde vluchten binnen de EU toe te passen. De lidstaat duidt daarbij aan welke vluchten hij met het oog op het nastreven van de doelstellingen van deze richtlijn noodzakelijk acht. De lidstaat kan te allen tijde besluiten de geselecteerde vluchten binnen de EU te wijzigen.
Artikel 3
Definities
In deze richtlijn wordt verstaan onder:
1. |
„luchtvaartmaatschappij”, een luchtvervoersonderneming met een geldige exploitatievergunning of een equivalent daarvan voor het luchtvervoer van passagiers; |
2. |
„vlucht naar of vanuit derde landen”, iedere geregelde of niet-geregelde vlucht door een luchtvaartmaatschappij die, volgens plan, vanuit een derde land zal aankomen op het grondgebied van een lidstaat of zal vertrekken vanaf het grondgebied van een lidstaat en volgens plan zal aankomen op het grondgebied van een derde land; in beide gevallen zijn hieronder begrepen de vluchten met tussenlandingen op het grondgebied van lidstaten of derde landen; |
3. |
„vlucht binnen de EU”, iedere geregelde of niet-geregelde vlucht door een luchtvaartmaatschappij die vanaf het grondgebied van een lidstaat volgens plan zal aankomen op het grondgebied van een of meer andere lidstaten, zonder tussenlandingen op het grondgebied van een derde land; |
4. |
„passagier”, iedere persoon, met inbegrip van de transferpassagiers en transitpassagiers en met uitsluiting van de bemanningsleden, die met toestemming van de luchtvaartmaatschappij in een luchtvaartuig wordt vervoerd of zal worden vervoerd, en waarbij die toestemming blijkt uit de vermelding van die persoon op de passagierslijst; |
5. |
„Passenger Name Record” of „PNR”, een bestand met de reisgegevens van iedere passagier, dat informatie bevat die de boekende en de deelnemende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren bij elke reis die door of namens iemand wordt geboekt; dit bestand kan zich bevinden in een reserveringssysteem, een vertrekcontrolesysteem dat wordt gebruikt bij het inchecken van passagiers op vluchten, of een soortgelijk systeem dat dezelfde functies vervult; |
6. |
„reserveringssysteem”, het interne systeem van de luchtvaartmaatschappij, waarin PNR-gegevens worden verzameld voor het verwerken van reserveringen; |
7. |
„push-methode”: de methode waarbij de luchtvaartmaatschappij in bijlage I opgesomde PNR-gegevens doorgeeft aan de databank van de instantie die om de gegevens verzoekt; |
8. |
„terroristische misdrijven”, de in de artikelen 1 tot en met 4 van Kaderbesluit 2002/475/JBZ bedoelde, volgens nationaal recht strafbare feiten; |
9. |
„ernstige criminaliteit”, de in bijlage II bedoelde strafbare feiten, waarop in het nationale recht van een lidstaat een vrijheidsbenemende straf of een tot detentie strekkende maatregel met een maximumduur van ten minste drie jaar staat; |
10. |
„depersonaliseren door afscherming van gegevenselementen”, het voor een gebruiker onzichtbaar maken van die gegevenselementen waaruit de identiteit van de betrokkenen rechtstreeks zou kunnen worden afgeleid. |
HOOFDSTUK II
Taken van de lidstaten
Artikel 4
Passagiersinformatie-eenheid
1. Elke lidstaat richt een instantie op of wijst een bestaande instantie aan die bevoegd is terroristische misdrijven en ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen, of wijst een afdeling van een dergelijke instantie aan, om op te treden als zijn passagiersinformatie-eenheid („PIE”).
2. De PIE heeft tot taak:
a) |
de PNR-gegevens van de luchtvaartmaatschappijen te verzamelen, op te slaan en te verwerken, en die gegevens of het resultaat van de verwerking ervan aan de in artikel 7 bedoelde bevoegde instanties door te geven; |
b) |
zowel de PNR-gegevens als het resultaat van de verwerking ervan met de PIE’s van andere lidstaten en met Europol uit te wisselen, overeenkomstig de artikelen 9 en 10. |
3. Het personeel van een PIE kan uit bevoegde instanties worden gedetacheerd. De lidstaten verschaffen de PIE’s toereikende middelen om hun taken te vervullen.
4. Twee of meer lidstaten (de deelnemende lidstaten) kunnen gezamenlijk een nieuwe instantie oprichten of een bestaande instantie aanwijzen als hun PIE. Deze PIE geldt als de nationale PIE van alle daarin deelnemende lidstaten en wordt in een ervan gevestigd. De deelnemende lidstaten maken gezamenlijk nadere afspraken over de werkwijze van de PIE en nemen daarbij de voorschriften van deze richtlijn in acht.
5. Iedere lidstaat stelt binnen één maand na de oprichting van zijn PIE de Commissie hiervan in kennis en kan deze kennisgeving op elk moment wijzigen. De Commissie maakt de kennisgeving, alsmede alle wijzigingen ervan, bekend in het Publicatieblad van de Europese Unie.
Artikel 5
Functionaris voor gegevensbescherming binnen de PIE
1. De PIE benoemt een functionaris voor gegevensbescherming die belast is met het toezicht op de verwerking van PNR-gegevens en met de uitvoering van desbetreffende waarborgen.
2. De lidstaten bieden de functionarissen voor gegevensbescherming de middelen die zij nodig hebben om de in dit artikel genoemde taken effectief en onafhankelijk uit te voeren.
3. De lidstaten zorgen ervoor dat een betrokkene het recht heeft zich te wenden tot de functionaris voor gegevensbescherming, die fungeert als enig aanspreekpunt, voor alle aangelegenheden in verband met de verwerking van de PNR-gegevens van die betrokkene.
Artikel 6
Verwerking van PNR-gegevens
1. De door de luchtvaartmaatschappij doorgegeven PNR-gegevens worden door de PIE van de betrokken lidstaat verzameld overeenkomstig artikel 8. Indien de door de luchtvaartmaatschappij doorgegeven PNR-gegevens andere dan de in bijlage I vermelde PNR-gegevens bevatten, worden zij door de PIE onmiddellijk na ontvangst definitief gewist.
2. De PIE verwerkt de PNR-gegevens uitsluitend voor de volgende doeleinden:
a) |
het beoordelen van de passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat, om te bepalen welke personen moeten worden onderworpen aan een nader onderzoek door de in artikel 7 bedoelde bevoegde instanties, en, in voorkomend geval, door Europol overeenkomstig artikel 10, omdat zij betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit; |
b) |
het per geval inwilligen van een op afdoende gronden gebaseerd, gemotiveerd verzoek van de bevoegde instanties om in bepaalde gevallen PNR-gegevens te verstrekken en te verwerken voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit, en de resultaten van deze verwerking aan die instanties of, in voorkomend geval, aan Europol mee te delen; en |
c) |
het analyseren van PNR-gegevens voor het bijstellen van bestaande of het formuleren van nieuwe criteria die moeten worden gebruikt bij de beoordelingen die worden verricht op grond van lid 3, onder b), om te bepalen welke personen betrokken zouden kunnen zijn bij een terroristisch misdrijf of bij ernstige criminaliteit. |
3. Bij de verrichting van de in lid 2, onder a), bedoelde beoordeling kan de PIE:
a) |
de PNR-gegevens vergelijken met databanken die relevant zijn voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, met name databanken in verband met gezochte of gesignaleerde personen of voorwerpen, in overeenstemming met de op zulke databanken van toepassing zijnde Unie-, internationale en nationale voorschriften; of |
b) |
de PNR-gegevens verwerken overeenkomstig vooraf bepaalde criteria. |
4. Het beoordelen van passagiers vóór hun geplande aankomst in of gepland vertrek uit de lidstaat op grond van lid 3, onder b), volgens vooraf bepaalde criteria wordt op niet-discriminerende wijze verricht. Deze vooraf bepaalde criteria moeten doelgericht, evenredig en specifiek zijn. De lidstaten zorgen ervoor dat deze criteria door de PIE worden vastgesteld en regelmatig worden getoetst, in samenwerking met de in artikel 7 bedoelde bevoegde instanties. Deze criteria mogen onder geen beding gebaseerd zijn op ras, etnische afstamming, religieuze, levensbeschouwelijke of politieke overtuiging, vakbondslidmaatschap, gezondheid, seksleven of seksuele geaardheid van de betrokkene.
5. De lidstaten zorgen ervoor dat elke positieve overeenkomst die voortvloeit uit het automatisch verwerkingsproces van de PNR-gegevens dat wordt uitgevoerd op grond van lid 2, onder a), per geval wordt gecontroleerd op een niet-geautomatiseerde wijze om te bepalen of de in artikel 7 bedoelde bevoegde instantie maatregelen moet treffen overeenkomstig het nationale recht.
6. De PNR-gegevens van de overeenkomstig lid 2, onder a), aangemerkte personen of het verwerkingsresultaat van die gegevens worden door de PIE van een lidstaat voor nader onderzoek aan de in artikel 7 bedoelde bevoegde instanties van diezelfde lidstaat doorgezonden. Tot die doorgifte kan alleen per geval worden besloten en, in geval van geautomatiseerde verwerking van PNR-gegevens, na een afzonderlijke niet-geautomatiseerde controle.
7. De lidstaten zorgen ervoor dat de functionaris voor gegevensbescherming toegang heeft tot alle gegevens die door de PIE worden verwerkt. Indien de functionaris voor gegevensbescherming oordeelt dat een verwerking van gegevens niet rechtmatig was, kan hij de zaak naar de nationale toezichthoudende autoriteit verwijzen.
8. Het opslaan, verwerken en analyseren van PNR-gegevens door de PIE geschiedt uitsluitend op een beveiligde locatie of beveiligde locaties op het grondgebied van de lidstaten.
9. Het resultaat van de in lid 2, onder a), van dit artikel bedoelde beoordeling laat onverlet het in Richtlijn 2004/38/EG van het Europees Parlement en de Raad (11) neergelegde recht van personen die het Unierecht van vrij verkeer genieten, om het grondgebied van de betrokken lidstaat te betreden. Bovendien moeten de gevolgen van die beoordeling, indien verricht met betrekking tot vluchten binnen de EU tussen lidstaten waarop Verordening (EG) nr. 562/2006 van het Europees Parlement en de Raad (12) van toepassing is, in overeenstemming zijn met die verordening.
Artikel 7
Bevoegde instanties
1. Elke lidstaat stelt een lijst op van de instanties die bevoegd zijn de PIE om PNR-gegevens of het verwerkingsresultaat van die gegevens te verzoeken of PNR-gegevens of het verwerkingsresultaat van die gegevens te ontvangen, teneinde deze informatie nader te onderzoeken of de nodige maatregelen te treffen voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven of ernstige criminaliteit.
2. De in lid 1 bedoelde instanties zijn instanties die bevoegd zijn om terroristische misdrijven of ernstige criminaliteit te voorkomen, op te sporen, te onderzoeken of te vervolgen.
3. Voor de toepassing van artikel 9, lid 3, stelt elke lidstaat de Commissie uiterlijk op 25 mei 2017 in kennis van de lijst van zijn bevoegde instanties, welke kennisgeving hij te allen tijde kan wijzigen. De Commissie maakt de kennisgeving en alle wijzigingen ervan bekend in het Publicatieblad van de Europese Unie.
4. De PNR-gegevens en het verwerkingsresultaat van die gegevens die van de PIE zijn ontvangen, mogen door de bevoegde instanties van de lidstaten uitsluitend met als specifieke doelstellingen het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit verder worden verwerkt.
5. Lid 4 laat, indien in het kader van handhavingsmaatregelen die naar aanleiding van de verwerking worden getroffen, andere strafbare feiten of aanwijzingen daarvoor aan het licht komen, de nationale justitiële en rechtshandhavingsbevoegdheden onverlet.
6. De bevoegde instanties nemen geen besluiten, uitsluitend op grond van de geautomatiseerde verwerking van de PNR-gegevens, die voor de betrokkene nadelige juridische of andere ingrijpende gevolgen hebben. Deze besluiten mogen niet gebaseerd zijn op de raciale of etnische afkomst, de godsdienstige of levensbeschouwelijke overtuiging, de politieke opvattingen, het lidmaatschap van een vakvereniging, de gezondheid, het seksleven of de seksuele geaardheid van de betrokkene.
Artikel 8
Verplichtingen van luchtvaartmaatschappijen betreffende de doorgifte van gegevens
1. De lidstaten treffen de nodige maatregelen om ervoor te zorgen dat luchtvaartmaatschappijen, door middel van de „push”-methode, de in bijlage I vermelde PNR-gegevens, voor zover zij deze gegevens in het kader van hun normale bedrijfsvoering reeds hebben verzameld, versturen naar de databank van de PIE van de lidstaat waar de vlucht zal aankomen en/of vertrekken. Bij een internationale vlucht die een code-sharingvlucht van twee of meer luchtvaartmaatschappijen is, rust de verplichting om de PNR-gegevens van alle passagiers door te geven op de maatschappij die de vlucht uitvoert. Omvat een vlucht naar of vanuit derde landen een of meer tussenlandingen op luchthavens van de lidstaten, dan geven de luchtvaartmaatschappijen de PNR-gegevens van alle passagiers door aan de PIE’s van de betrokken lidstaten. Dit geldt eveneens in het geval van een vlucht binnen de EU met een of meer tussenlandingen op luchthavens van verschillende lidstaten, maar dan uitsluitend met betrekking tot lidstaten die PNR-gegevens van vluchten binnen de EU verzamelen.
2. In het geval dat de luchtvaartmaatschappijen API-gegevens (advance passenger information) in de zin van punt 18 van bijlage I hebben verzameld, maar deze gegevens niet bewaren door middel van dezelfde technische middelen als voor andere PNR-gegevens, nemen de lidstaten de nodige maatregelen om ervoor te zorgen dat de luchtvaartmaatschappijen deze gegevens tevens doorgeven, door middel van de „push”-methode, aan de PIE van de in lid 1 bedoelde lidstaten. In geval van een dergelijke doorgifte zijn alle bepalingen van deze richtlijn op die API-gegevens van toepassing.
3. De PNR-gegevens worden door de luchtvaartmaatschappijen langs elektronische weg verstrekt, waarbij zij gebruikmaken van de gemeenschappelijke protocollen en de ondersteunde dataformaten die volgens de onderzoeksprocedure bedoeld in artikel 17, lid 2, worden vastgesteld, of, in geval van technische storing, van andere passende middelen die een passend niveau van gegevensbeveiliging garanderen:
a) |
24 tot 48 uur vóór de geplande vertrektijd van de vlucht; en |
b) |
onmiddellijk na de beëindiging van het inchecken, dat wil zeggen wanneer de passagiers aan boord zijn gegaan van het vliegtuig dat klaar staat voor vertrek en er geen passagiers meer aan of van boord kunnen gaan. |
4. De lidstaten staan de luchtvaartmaatschappijen toe om de in lid 3, onder b), bedoelde doorgifte te beperken tot wijzigingen van de in dat lid, onder a), bedoelde doorgiften.
5. Indien toegang tot PNR-gegevens noodzakelijk is om te kunnen reageren op een specifieke en concrete dreiging die verband houdt met terroristische misdrijven of ernstige criminaliteit, worden door de luchtvaartmaatschappijen, per geval, en op verzoek van een PIE volgens het nationale recht, PNR-gegevens verstrekt op andere dan de in lid 3 vermelde tijdstippen.
Artikel 9
Informatie-uitwisseling tussen de lidstaten
1. De lidstaten zorgen ervoor dat, met betrekking tot personen die overeenkomstig artikel 6, lid 2, door een PIE zijn aangemerkt, die eenheid alle relevante en noodzakelijke PNR-gegevens of het verwerkingsresultaat van die gegevens overdraagt aan de overeenkomstige PIE’s van de andere lidstaten. De PIE’s van de ontvangende lidstaten geven in overeenstemming met artikel 6, lid 6, de ontvangen informatie door aan hun bevoegde instanties.
2. De PIE van een lidstaat heeft het recht om, in voorkomend geval, bij de PIE van een andere lidstaat te verzoeken om de PNR-gegevens die deze in haar databank bewaart en die nog niet overeenkomstig artikel 12, lid 2, door middel van afscherming van gegevenselementen zijn gedepersonaliseerd, alsmede ook, indien nodig, het verwerkingsresultaat van die gegevens, als de verwerking reeds overeenkomstig artikel 6, lid 2, onder a), is uitgevoerd. Dit verzoek moet behoorlijk worden gemotiveerd. Zij kan worden gebaseerd op elk gegevenselement of op een combinatie daarvan, naargelang de verzoekende PIE zulks in een bepaald geval nodig acht voor het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit. De PIE’s verstrekken de informatie waarom werd verzocht zo spoedig mogelijk. Indien de gegevens waarom werd verzocht overeenkomstig artikel 12, lid 2, door afscherming van gegevenselementen zijn gedepersonaliseerd, worden de volledige PNR-gegevens door de PIE slechts verstrekt indien redelijkerwijs wordt aangenomen dat dit nodig is voor de toepassing bedoeld in artikel 6, lid 2, onder b), en mits zij daartoe van een in artikel 12, lid 3, onder b), bedoelde instantie de toestemming heeft gekregen.
3. De bevoegde instanties van een lidstaat kunnen, uitsluitend in noodgevallen en volgens de voorwaarden bepaald in lid 2, rechtstreeks de PIE van een andere lidstaat verzoeken om de PNR-gegevens die deze in haar databank bewaart. De verzoeken van de bevoegde instanties worden gemotiveerd. Van het verzoek wordt steeds een exemplaar aan de PIE van de verzoekende lidstaat toegestuurd. In alle overige gevallen doen de bevoegde instanties hun verzoek via de PIE van hun eigen lidstaat.
4. In uitzonderlijke gevallen, waarin toegang tot PNR-gegevens noodzakelijk is om te kunnen reageren op een specifieke en concrete dreiging in verband met terroristische misdrijven of ernstige criminaliteit, heeft de PIE van een lidstaat het recht om de PIE van een andere lidstaat te verzoeken in overeenstemming met artikel 8, lid 5, PNR-gegevens op te vragen, en deze aan de verzoekende PIE te verstrekken.
5. Uitwisseling van informatie op grond van dit artikel kan via bestaande kanalen voor samenwerking tussen de bevoegde instanties van lidstaten plaatsvinden. Verzoeken om en uitwisseling van informatie geschieden in de taal die voor het gekozen kanaal gebruikelijk is. Wanneer de lidstaten de in artikel 4, lid 5, bedoelde kennisgeving doen, verstrekken zij de Commissie ook nadere gegevens over de contactpunten waaraan in noodgevallen verzoeken kunnen worden toegezonden. De Commissie deelt deze nadere gegevens mee aan de lidstaten.
Artikel 10
Voorwaarden voor toegang van Europol tot PNR-gegevens
1. Binnen de grenzen van zijn bevoegdheden en met het oog op de uitvoering van zijn taken heeft Europol het recht de PIE’s van de lidstaten om PNR-gegevens en het verwerkingsresultaat van die gegevens te verzoeken.
2. Europol kan per geval, via de nationale Europol-eenheid, bij de PIE van een lidstaat langs elektronische weg een met redenen omkleed verzoek om doorgifte van specifieke PNR-gegevens of het verwerkingsresultaat van die gegevensindienen. Europol kan een dergelijk verzoek indienen wanneer dat strikt noodzakelijk is ter ondersteuning of versterking van het optreden van de lidstaten, gericht op het voorkomen, opsporen of onderzoeken van een specifiek terroristisch misdrijf of ernstige criminaliteit, mits een dergelijk misdrijf of die vorm van criminaliteit onder de bevoegdheid van Europol valt krachtens Besluit 2009/371/JBZ. In dat verzoek worden gegronde redenen aangevoerd op basis waarvan Europol van oordeel is dat de doorgifte van PNR-gegevens of van het verwerkingsresultaat van PNR-gegevens aanzienlijk zal bijdragen tot het voorkomen, opsporen of onderzoeken van het misdrijf in kwestie.
3. Europol stelt de functionaris voor gegevensbescherming, die is aangesteld overeenkomstig artikel 28 van Besluit 2009/371/JBZ, in kennis van elke informatie-uitwisseling uit hoofde van het onderhavige artikel.
4. Informatie-uitwisseling krachtens dit artikel geschiedt via SIENA en in overeenstemming met Besluit 2009/371/JBZ. Voor het verzoek om en de uitwisseling van informatie wordt de taal gebruikt die in het kader van SIENA gebruikelijk is.
Artikel 11
Doorgifte van gegevens aan derde landen
1. Doorgifte door een lidstaat aan een derde land van PNR-gegevens en van het verwerkingsresultaat van die gegevens die de PIE in overeenstemming met artikel 12 heeft opgeslagen, is uitsluitend toegestaan per geval, en mits:
a) |
aan de voorwaarden van artikel 13 van Kaderbesluit 2008/977/JBZ is voldaan; |
b) |
de doorgifte noodzakelijk is voor de in artikel 1, lid 2, van deze richtlijn bedoelde doeleinden; |
c) |
het derde land ermee instemt de gegevens alleen aan een ander derde land door te geven als dit strikt noodzakelijk is voor de in artikel 1, lid 2, van deze richtlijn bedoelde doeleinden en als die lidstaat hier uitdrukkelijk toestemming voor geeft; en |
d) |
aan dezelfde voorwaarden als die in artikel 9, lid 2, is voldaan. |
2. Niettegenstaande artikel 13, lid 2, van Kaderbesluit 2008/977/JBZ, wordt de doorgifte van PNR-gegevens zonder voorafgaande toestemming van de lidstaat van welke de gegevens werden verkregen toegestaan in buitengewone omstandigheden en alleen indien:
a) |
deze doorgiften van essentieel belang zijn om te kunnen reageren op een specifiek en daadwerkelijk gevaar in verband met terroristische misdrijven of ernstige criminaliteit in een lidstaat of een derde land, en |
b) |
de voorafgaande toestemming niet tijdig kan worden verkregen. |
De voor het verlenen van toestemming bevoegde autoriteit wordt onverwijld geïnformeerd en de doorgifte wordt naar behoren geregistreerd en onderworpen aan een controle achteraf.
3. De lidstaten geven uitsluitend PNR-gegevens door aan de bevoegde autoriteiten van derde landen onder voorwaarden die aan deze richtlijn voldoen en na te hebben vastgesteld dat het gebruik dat de ontvanger van de PNR-gegevens wenst te maken, aan die voorwaarden en waarborgen voldoet.
4. De functionaris voor gegevensbescherming van de PIE van de lidstaat die de PNR-gegevens heeft doorgegeven, wordt op de hoogte gebracht telkens wanneer de lidstaat PNR-gegevens krachtens dit artikel doorgeeft.
Artikel 12
Bewaartermijn van de gegevens en anonomisering
1. De lidstaten zorgen ervoor dat de door de luchtvaartmaatschappijen aan de PIE verstrekte PNR-gegevens bij die PIE in een databank worden bewaard gedurende een termijn van vijf jaar nadat de gegevens zijn doorgegeven aan de PIE van de lidstaat waar de vlucht aankomt of vertrekt.
2. Wanneer een termijn van zes maanden is verstreken nadat de PNR-gegevens overeenkomstig lid 1 zijn doorgegeven, worden de PNR-gegevens gedepersonaliseerd door afscherming van de volgende gegevenselementen waaruit de identiteit van de passagier op wie de PNR-gegevens betrekking hebben, rechtstreeks zou kunnen worden afgeleid:
a) |
naam/namen, waaronder de namen van andere passagiers in het PNR en het aantal reizigers in het PNR dat samen reist; |
b) |
adres en contactgegevens; |
c) |
alle betalingsinformatie, met inbegrip van het factuuradres, voor zover daarin informatie is vervat waaruit de identiteit van de passagier op wie het PNR betrekking heeft of van andere personen rechtstreeks zou kunnen worden afgeleid; |
d) |
informatie betreffende reizigers die gebruikmaken van een loyaliteitsprogramma voor frequent reizen; |
e) |
algemene opmerkingen, voor zover deze informatie bevatten waaruit rechtstreeks de identiteit zou kunnen worden afgeleid van de passagier op wie het PNR betrekking heeft; en |
f) |
verzamelde API-gegevens. |
3. Wanneer de in lid 2 bedoelde termijn van zes maanden is verstreken, wordt mededeling van de volledige PNR-gegevens uitsluitend toegestaan als:
a) |
er redelijkerwijze wordt aangenomen dat zulks noodzakelijk is voor de in artikel 6, lid 2, onder b), bedoelde doeleinden en |
b) |
goedgekeurd door:
|
4. De lidstaten zorgen ervoor dat de PNR-gegevens na het verstrijken van de in lid 1 bedoelde termijn definitief worden gewist. Deze verplichting geldt niet indien bepaalde PNR-gegevens zijn doorgegeven aan een bevoegde instantie en worden gebruikt in het kader van een specifieke zaak met het oog op het voorkomen, opsporen, onderzoeken of vervolgen van terroristische misdrijven of ernstige criminaliteit; in dat geval beheerst het nationale recht het bewaren van de gegevens door de bevoegde instantie.
5. De PIE bewaart het resultaat van de in artikel 6, lid 2, onder a), bedoelde verwerking niet langer dan noodzakelijk is om een overeenstemming te kunnen melden aan de bevoegde instanties en, overeenkomstig artikel 9, lid 1, aan de PIE’s van andere lidstaten. Indien het resultaat van geautomatiseerde verwerking na een afzonderlijke niet-geautomatiseerde controle als bedoeld in artikel 6, lid 5, negatief blijkt te zijn, kan dit niettemin worden opgeslagen om „valse” overeenkomsten in de toekomst te voorkomen, voor zover de onderliggende gegevens niet op grond van lid 4 van dit artikel worden gewist.
Artikel 13
Bescherming van persoonsgegevens
1. Iedere lidstaat zorgt ervoor dat iedere passagier ten aanzien van elke verwerking van persoonsgegevens krachtens deze richtlijn hetzelfde recht heeft inzake bescherming van hun persoonsgegevens, alsook het recht op toegang, rectificatie en wissen, het recht van beperking, het recht op schadevergoeding en het recht op het aanwenden van rechtsmiddelen, als zijn vastgelegd in nationaal recht en Unierecht en in de bepalingen ter uitvoering van de artikelen 17, 18, 19 en 20 van Kaderbesluit 2008/977/JBZ. Deze artikelen zijn derhalve van toepassing.
2. Iedere lidstaat zorgt ervoor dat de bepalingen die ter uitvoering van de artikelen 21 en 22 van Kaderbesluit 2008/977/JBZ betreffende de vertrouwelijkheid van de verwerking en de beveiliging van gegevens in het nationale recht zijn vastgesteld, ook van toepassing zijn op elke verwerking van persoonsgegevens krachtens deze richtlijn.
3. Deze richtlijn doet geen afbreuk aan de toepasselijkheid van Richtlijn 95/46/EG van het Europees Parlement en de Raad (13) op de verwerking van persoonsgegevens door luchtvaartmaatschappijen, en met name hun verplichtingen om passende technische en organisatorische maatregelen te treffen met het oog op de bescherming van de veiligheid en vertrouwelijkheid van persoonsgegevens.
4. De lidstaten verbieden dat uit de verwerking van PNR-gegevens ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, vakbondslidmaatschap, gezondheid of seksuele geaardheid van de betrokkene blijkt. Indien de PIE PNR-gegevens ontvangt waaruit dergelijke informatie blijkt, worden deze onmiddellijk gewist.
5. De lidstaten zorgen ervoor dat de PIE documentatie bijhoudt inzake alle verwerkingssystemen en -procedures die onder haar verantwoordelijkheid vallen. Deze documentatie omvat ten minste:
a) |
de naam en contactgegevens van de organisatie en het personeel van de PIE belast met de verwerking van PNR-gegevens en de verschillende niveaus van toegangsbevoegdheid; |
b) |
de verzoeken van bevoegde instanties en PIE’s van andere lidstaten; |