This document is an excerpt from the EUR-Lex website
Document 52012PC0010
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data
Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens
Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens
/* COM/2012/010 final - 2012/0010 (COD) */
Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens /* COM/2012/010 final - 2012/0010 (COD) */
TOELICHTING
1.
ACHTERGROND VAN HET VOORSTEL
In deze toelichting wordt nader ingegaan op de
aanpak voor het nieuwe EU-rechtskader voor persoonsgegevensbescherming die
wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het rechtskader omvat
twee wetgevingsvoorstellen: –
een voorstel voor een verordening van het Europees
Parlement en de Raad betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens (Algemene verordening gegevensbescherming); en –
een voorstel voor een richtlijn van het Europees
Parlement en de Raad betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met
het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van
strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije
verkeer van die gegevens. Deze toelichting betreft het tweede
wetgevingsvoorstel. Richtlijn 95/46/EG[1], de
hoeksteen van de huidige EU-wetgeving inzake persoonsgegevensbescherming, werd
in 1995 vastgesteld en had twee doelstellingen: het fundamentele recht op
gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen
de lidstaten garanderen. De richtlijn werd aangevuld met een aantal
instrumenten die specifieke gegevensbeschermingsvoorschriften bevatten inzake
politiële en justitiële samenwerking in strafzaken[2] (de
vroegere derde pijler), waaronder Kaderbesluit 2008/977/JBZ[3]. De Europese Raad heeft de Commissie verzocht om de werking van de
EU-instrumenten inzake gegevensbescherming te beoordelen en zo nodig met nadere
initiatieven van wetgevende en niet-wetgevende aard te komen[4]. In zijn
resolutie over het programma van Stockholm[5] juichte het Europees Parlement een integrale
regeling voor de bescherming van persoonsgegevens in de EU toe en drong het
onder meer aan op herziening van het kaderbesluit. De Commissie benadrukte in
haar actieplan ter uitvoering van het programma van Stockholm[6] dat het
grondrecht op bescherming van de persoonlijke levenssfeer in het kader van alle
EU-beleid consequent moet worden toegepast. In het Actieplan werd gesteld: “In
een door snelle technologische veranderingen gekenmerkte mondiale samenleving
waarin uitwisseling van informatie geen grenzen kent, is het van bijzonder
belang dat de persoonlijke levenssfeer wordt beschermd. De Unie moet ervoor
zorgen dat het grondrecht op bescherming van de persoonlijke levenssfeer
consequent wordt toegepast. Het standpunt van de EU over de bescherming van
persoonsgegevens van individuen in het kader van alle EU-beleid moet worden
versterkt, ook op het gebied van rechtshandhaving en criminaliteitspreventie en
in onze internationale relaties.” In haar mededeling “Een integrale aanpak van
de bescherming van persoonsgegevens in de Europese Unie”[7]
concludeerde de Commissie dat de EU een meer integraal en coherent beleid
inzake het grondrecht op bescherming van persoonsgegevens moet ontwikkelen. Kaderbesluit 2008/977/JBZ heeft een beperkt
toepassingsgebied: het is uitsluitend van toepassing op grensoverschrijdende
gegevensverwerking en niet op verwerkingsactiviteiten van de politiële en
justitiële autoriteiten op zuiver nationaal niveau. Dit kan problemen
veroorzaken voor de politie en andere bevoegde autoriteiten op het gebied van
justitiële en politiële samenwerking in strafzaken. Het is niet altijd
eenvoudig om een onderscheid te maken tussen zuiver binnenlandse en
grensoverschrijdende verwerking, of te voorzien of bepaalde persoonsgegevens in
een later stadium zullen worden uitgewisseld (zie punt 2). Door zijn aard en
inhoud geeft het kaderbesluit de lidstaten veel speelruimte bij het vaststellen
van de nationale wetgeving ter omzetting van de bepalingen ervan. Bovendien
voorziet het niet in een mechanisme of in een adviesgroep, zoals de Groep
gegevensbescherming artikel 29, ter ondersteuning van een gemeenschappelijke
interpretatie van de bepalingen of in uitvoeringsbevoegdheden van de Commissie
om een gemeenschappelijke aanpak van de tenuitvoerlegging te waarborgen. Artikel 16, lid 1, van het Verdrag betreffende
de werking van de Europese Unie (VWEU) bepaalt dat eenieder recht heeft op
bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van
Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de
vaststelling van voorschriften inzake gegevensbescherming ingevoerd, die tevens
van toepassing is op justitiële samenwerking in strafzaken en op politiële
samenwerking. Bescherming van persoonsgegevens is als grondrecht verankerd in
artikel 8 van het Handvest van de grondrechten van de EU. Op grond van artikel
16 VWEU moet de wetgever tevens voorschriften vaststellen betreffende de
bescherming van natuurlijke personen ten aanzien van de verwerking van
persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en
politiële samenwerking, die zowel de grensoverschrijdende als de binnenlandse
verwerking van persoonsgegevens bestrijken. Dit maakt het mogelijk de
fundamentele rechten en vrijheden van natuurlijke personen te beschermen, en in
het bijzonder hun recht op de bescherming van persoonsgegevens, en laat
bovendien de uitwisseling van persoonsgegevens toe met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
of de tenuitvoerlegging van straffen. Hierdoor wordt de samenwerking bij de
bestrijding van criminaliteit in Europa vergemakkelijkt. Vanwege de specifieke aard van de politiële en
justitiële samenwerking in strafzaken werd in Verklaring nr. 21[8] erkend
dat op het gebied van justitiële samenwerking in strafzaken en op het gebied
van politiële samenwerking specifieke voorschriften inzake de bescherming van
persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16
VWEU nodig zouden kunnen blijken.
2.
RESULTATEN VAN DE RAADPLEGING VAN BELANGHEBBENDE PARTIJEN EN
EFFECTBEOORDELING
Dit initiatief is het resultaat van uitgebreid
overleg met alle belangrijke belanghebbenden over een herziening van het
huidige rechtskader voor de bescherming van persoonsgegevens. Dit overleg
omvatte twee fasen van openbare raadpleging: –
van 9 juli tot en met 31 december 2009 de
raadpleging over het rechtskader voor het grondrecht op bescherming van
persoonsgegevens. De Commissie
ontving 168 reacties: 127 van particulieren, bedrijfsorganisaties en
verenigingen en 12 van overheden. De
niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de
Commissie[9]. –
van 4 november 2010 tot en met 15 januari 2011 de raadpleging
over integrale aanpak van de bescherming van persoonsgegevens in de Europese
Unie. De Commissie ontving 305
reacties: 54 van burgers, 31 van overheden en 220 van particuliere
organisaties, met name bedrijfsorganisaties en niet-gouvernementele
organisaties. De niet-vertrouwelijke
bijdragen kunnen worden ingezien op de website van de Commissie[10]. Deze raadplegingen hadden vooral betrekking op
de herziening van Richtlijn 95/46/EG, maar tegelijkertijd werd gericht overleg
gevoerd met belanghebbenden op het gebied van de rechtshandhaving: onder andere werd op 29 juni 2010 met de
autoriteiten van de lidstaten een workshop gehouden over de toepassing van de
gegevensbeschermingsvoorschriften op de overheid, onder meer op het gebied van
de politiële en justitiële samenwerking in strafzaken. Op 2 februari 2011 hield de Commissie een werkshop met de autoriteiten
van de lidstaten over de tenuitvoerlegging van Kaderbesluit 2008/977/JBZ en
meer in het algemeen over gegevensbeschermingskwesties met betrekking tot de
politiële en justitiële samenwerking in strafzaken. De mening van de EU-burgers werd gepeild met
een Eurobarometerenquête in november-december 2010[11]. Er werd ook opdracht gegeven voor een aantal
studies[12]. De Groep gegevensbescherming artikel 29[13] heeft
adviezen uitgebracht en nuttige input geleverd aan de Commissie[14]. De Europese Toezichthouder voor
gegevensbescherming heeft een breed advies uitgebracht over de problemen die in
de mededeling van de Commissie van november 2010 aan de orde waren gesteld[15]. Het Europees Parlement heeft bij zijn
resolutie van 6 juli 2011 zijn goedkeuring gehecht aan een verslag waarbij het
instemde met de aanpak van de Commissie voor de hervorming van het
gegevensbeschermingskader[16]. De Raad van de Europese Unie heeft op 24 februari
2011 conclusies goedgekeurd waarin hij in grote lijnen akkoord ging met het
voornemen van de Commissie om het kader voor gegevensbescherming te hervormen
en instemde met een groot aantal onderdelen van de aanpak van de Commissie. Ook het Europees Economisch en Sociaal Comité
steunde het algemene streven van de Commissie naar een consequentere toepassing
van de EU-voorschriften inzake gegevensbescherming door alle lidstaten en een
passende herziening van Richtlijn 95/46/EG[17]. In overeenstemming met haar beleid voor een
betere regelgeving heeft de Commissie een effectbeoordeling van
beleidsalternatieven uitgevoerd[18]. De effectbeoordeling werd verricht op basis van
drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken,
de uitoefening van gegevensbeschermingsrechten effectiever maken en een breed,
samenhangend kader tot stand brengen voor alle gebieden die onder de
bevoegdheid van de Unie vallen, waaronder politiële samenwerking en justitiële
samenwerking in strafzaken. In het
bijzonder voor laatstgenoemde doelstelling werden twee beleidsopties beoordeeld. De eerste behelst in wezen dat de voorschriften
inzake gegevensbescherming worden uitgebreid en de lacunes en andere problemen
in verband met het kaderbesluit worden aangepakt; de tweede optie gaat veel
verder en omvat de invoering van uiterst normatieve en stringente regels in,
waardoor ook alle voormalige derdepijlerinstrumenten meteen moeten worden
gewijzigd. Een derde
“minimalistische” beleidsoptie, die vooral uitging van interpretatieve
mededelingen van de Commissie en beleidsondersteunende maatregelen zoals
financieringsprogramma’s en technische instrumenten, met een minimale wijziging
van de wetgeving, werd niet geschikt bevonden om de problemen met betrekking
tot de bewaring van gegevens op dit terrein op te lossen. Volgens de gebruikelijke methode van de
Commissie is met de steun van een interdepartementale stuurgroep voor elke
beleidsoptie beoordeeld welke bijdrage die levert tot de verwezenlijking van de
beleidsdoelen, wat de economische gevolgen voor de belanghebbenden (en de
gevolgen voor de begroting van de EU-instellingen) zijn, wat de sociale
gevolgen zijn en wat de gevolgen voor de grondrechten zijn. Er is niet naar milieugevolgen gekeken. Aan de hand van de algemene effectanalyse is
de in dit voorstel opgenomen voorkeursoptie verder uitgewerkt. Volgens de beoordeling zal de tenuitvoerlegging
daarvan leiden tot een betere bescherming van persoonsgegevens op dit
beleidsgebied, met name doordat nu ook binnenlandse verwerking onder het
toepassingsgebied valt. Dit vergroot de rechtszekerheid voor de bevoegde
autoriteiten op het gebied van justitiële samenwerking in strafzaken en
politiële samenwerking. De Raad voor effectbeoordeling heeft op 9
september 2011 advies uitgebracht over deze effectbeoordeling. Naar aanleiding van het advies van de Raad voor
effectbeoordeling is de effectbeoordeling als volgt gewijzigd: –
de doelstellingen van het huidige wetgevingskader
(in welk opzicht deze doelstellingen zijn bereikt en in welk opzicht niet) en
de doelstellingen van de voorgenomen hervorming werden verduidelijkt; –
aan de passage betreffende de probleemstelling
werden meer gegevens en extra verduidelijkingen en uitleg toegevoegd. De Commissie heeft voorts overeenkomstig
artikel 29, lid 2, van Kaderbesluit 2008/977/JBZ een verslag over de uitvoering
van dat kaderbesluit opgesteld, dat als onderdeel van het
gegevensbeschermingspakket moet worden goedgekeurd[19]. Van de bevindingen van het verslag, dat op basis
van input van de lidstaten is opgesteld, is ook gebruikgemaakt voor de
effectbeoordeling.
3.
JURIDISCHE ELEMENTEN VAN HET VOORSTEL
3.1.
Rechtsgrondslag
Het voorstel is gebaseerd op artikel 16, lid
2, VWEU, een nieuwe specifieke bepaling die in het Verdrag van Lissabon is
opgenomen met het oog op de vaststelling van voorschriften betreffende de
bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens door de instellingen, organen en instanties van de Unie en
door de lidstaten bij de uitvoering van activiteiten die binnen de
werkingssfeer van het Unierecht vallen, alsook voorschriften betreffende het
vrije verkeer van dergelijke gegevens. Het voorstel beoogt een consequent hoog niveau
van gegevensbescherming op dit gebied te verzekeren, teneinde het wederzijds
vertrouwen van de politiële en justitiële autoriteiten van de verschillende
lidstaten te versterken en het vrije verkeer van gegevens en de samenwerking
tussen die autoriteiten te bevorderen.
3.2.
Subsidiariteit en evenredigheid
Volgens het subsidiariteitsbeginsel (artikel
5, lid 3, VEU) dient de Unie slechts op te treden indien en voor zover de
doelstellingen van het overwogen optreden niet voldoende door de lidstaten
kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het
overwogen optreden beter door de Unie kunnen worden bereikt. In het licht van de hierboven aangekaarte
problemen geeft de subsidiariteitsanalyse aan dat op het gebied van politie en
strafrecht om de volgende redenen actie moet worden ondernomen op EU-niveau: –
Het recht op de bescherming van persoonsgegevens,
dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU
en in artikel 16, lid 1, VWEU, vereist dat in de hele Unie persoonsgegevens in
dezelfde mate worden beschermd. Hetzelfde
beschermingsniveau moet gelden voor uitgewisselde gegevens en voor in het
binnenland verwerkte gegevens. –
De rechtshandhavingsautoriteiten in de lidstaten
moeten steeds vaker en sneller gegevens verwerken en uitwisselen met het oog op
de voorkoming en bestrijding van grensoverschrijdende criminaliteit en
terrorisme. Duidelijke en consequente
EU-voorschriften voor gegevensbescherming vergemakkelijken daarbij de
samenwerking tussen die autoriteiten. Er doen zich bovendien praktische
problemen voor bij de handhaving van de wetgeving inzake gegevensbescherming en
de samenwerking tussen de lidstaten en hun autoriteiten. Een en ander moet op
EU-niveau worden geregeld om de eenvormige toepassing van het Unierecht te
waarborgen. In bepaalde situaties is
de EU het beste in staat om doeltreffende en consequente garanties te bieden
voor een gelijk beschermingsniveau bij de doorgifte van persoonsgegevens naar
derde landen. –
De problemen met de huidige regeling kunnen niet
door de lidstaten afzonderlijk worden verholpen, zeker niet als die problemen
te wijten zijn aan de fragmentatie van de nationale wetgevingen. Er is dus een specifieke noodzaak om een
geharmoniseerd en samenhangend kader te ontwikkelen waardoor vlotte
grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan
plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd. –
Gezien de aard en de omvang van de problemen, die
niet beperkt blijven tot één of meer lidstaten, is de voorgestelde EU-maatregel
waarschijnlijk doeltreffender dan soortgelijke maatregelen die door de
lidstaten worden genomen. Overeenkomstig het evenredigheidsbeginsel moet
optreden doelgericht zijn en mag het niet verder gaan dan wat noodzakelijk is
om de doelstellingen te verwezenlijken. Dit beginsel is gevolgd vanaf de identificatie en evaluatie van
alternatieve beleidsopties tot het opstellen van dit wetgevingsvoorstel. Het beste instrument om op dit gebied op
EU-niveau tot harmonisatie te komen en tegelijkertijd de lidstaten de nodige
flexibiliteit te geven bij de tenuitvoerlegging van de beginselen,
voorschriften en uitzonderingen daarop op nationaal niveau, is daarom een
richtlijn. Gezien de complexiteit van
de huidige nationale voorschriften inzake de bescherming van persoonsgegevens
die in het kader van de politiële en justitiële samenwerking in strafzaken
worden verwerkt, en de doelstelling deze voorschriften door middel van een
richtlijn volledig te harmoniseren, zal de Commissie de lidstaten moeten
verzoeken om het verband tussen de onderdelen van de richtlijn en de
overeenkomstige delen van de nationale omzettingsinstrumenten nader toe te lichten,
om haar in staat te stellen toezicht te houden op de omzetting van deze
richtlijn.
3.3.
Samenvatting van eventuele problemen in verband met
de grondrechten
Het recht op de bescherming van
persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de grondrechten
van de EU en in artikel 16 VWEU, alsook in artikel 8 van het Europees Verdrag
tot bescherming van de rechten van de mens en de fundamentele vrijheden. Zoals het Hof van Justitie van de Europese Unie
heeft beklemtoond[20],
heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar
moet het in relatie tot de functie ervan in de maatschappij worden beschouwd[21]. Er is een nauw verband tussen gegevensbescherming
en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door
artikel 7 van het Handvest wordt beschermd. Dat blijkt ook uit artikel 1, lid 1, van Richtlijn 95/46/EG, waarin
wordt bepaald dat de lidstaten in verband met de verwerking van
persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van
natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer,
moeten waarborgen. Andere in het Handvest vastgelegde
grondrechten die mogelijk in het geding zijn, zijn het verbod op discriminatie
op grond van onder meer ras, etnische afkomst, genetische kenmerken, godsdienst
of overtuiging, politieke of andere denkbeelden, een handicap of seksuele
gerichtheid (artikel 21), de rechten
van het kind (artikel 24) en het recht op een doeltreffende voorziening in
rechte en op een onpartijdig gerecht (artikel 47).
3.4.
Nadere uitleg van het voorstel
3.4.1.
HOOFDSTUK I – ALGEMENE BEPALINGEN
In artikel 1 wordt het onderwerp van de
richtlijn bepaald, namelijk dat deze voorschriften bevat betreffende de
verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de
opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van
strafrechtelijke sancties, en wordt het tweeledige doel van de richtlijn
vastgesteld, namelijk de bescherming van de fundamentele rechten en vrijheden
van natuurlijke personen en in het bijzonder hun recht op de bescherming van
persoonsgegevens terwijl een hoog niveau van openbare veiligheid wordt
gegarandeerd, en de facilitering van de uitwisseling van persoonsgegevens door
de bevoegde autoriteiten in de Unie. In artikel 2 wordt het toepassingsgebied van
de richtlijn aangegeven. Het
toepassingsgebied is niet beperkt tot grensoverschrijdende gegevensverwerking,
maar bestrijkt alle verwerkingsactiviteiten die “bevoegde autoriteiten” (zoals
gedefinieerd in artikel 3, punt 14) voor de toepassing van de richtlijn
uitvoeren. De richtlijn is niet van
toepassing op gegevensverwerking in het kader van activiteiten die buiten de
werkingssfeer van het Unierecht vallen of op gegevensverwerking door
instellingen, organen en instanties van de Unie, die geregeld wordt bij
Verordening (EG) nr. 45/2001 en andere specifieke wetgeving. Artikel 3 bevat de definities van de termen
die in de richtlijn worden gebruikt. Een
aantal definities is overgenomen uit Richtlijn 95/49/EG en Kaderbesluit
2008/977/JBZ, terwijl andere definities zijn gewijzigd, aangevuld of nieuw
ingevoerd. De nieuw gedefinieerde
termen zijn “inbreuk in verband met persoonsgegevens”, “genetische gegevens”,
“biometrische gegevens”, “bevoegde autoriteiten” (op basis van artikel 87 VWEU
en artikel 2, onder h), van Kaderbesluit 2008/977/JBZ) en “kind” (op basis van
het VN-verdrag inzake de rechten van het kind[22]).
3.4.2.
HOOFDSTUK II – BEGINSELEN
In artikel 4 worden de beginselen inzake de
verwerking van persoonsgegevens geformuleerd, op basis van artikel 6 van
Richtlijn 95/46/EG en artikel 3 van Kaderbesluit 2008/977/JBZ, maar aangepast
aan de context van onderhavige richtlijn. Artikel 5 vereist dat zo veel mogelijk een
onderscheid wordt gemaakt tussen persoonsgegevens betreffende verschillende
categorieën betrokkenen. Dit is een
nieuwe bepaling die noch in Richtlijn 95/46/EG, noch in Kaderbesluit
2008/977/JBZ voorkomt, hoewel zij wel was opgenomen in het oorspronkelijke
voorstel van de Commissie voor het kaderbesluit[23]. De bepaling is geïnspireerd op aanbeveling R (87)
15 van het Comité van ministers van de Raad van Europa. Soortgelijke regels gelden al voor Europol[24] en
Eurojust[25]. Artikel 6 betreffende verschillende graden van
juistheid en betrouwbaarheid is in overeenstemming met beginsel 3.2 van
aanbeveling R (87) 15 van het Comité van ministers van de Raad van Europa. Soortgelijke voorschriften, die ook al in het
Commissievoorstel voor het kaderbesluit stonden, gelden ten aanzien van Europol[26]. In artikel 7 worden de gronden voor
rechtmatige verwerking vastgesteld. Verwerking is rechtmatig wanneer zij
noodzakelijk is voor het uitvoeren van een taak door een bevoegde autoriteit
overeenkomstig het nationale recht, om aan een wettelijke verplichting voor de
voor de verwerking verantwoordelijke te voldoen, om de vitale belangen van de
betrokkene of van een andere persoon te verdedigen of om een onmiddellijke en
ernstige bedreiging voor de openbare veiligheid af te wenden. De overige in artikel 7 van Richtlijn 95/46/EG
genoemde gronden voor rechtmatige verwerking zijn niet van toepassing op
verwerking in een politieel of strafrechtelijk kader. Artikel 8 bevat een algemeen verbod op de
verwerking van bijzondere categorieën persoonsgegevens en uitzonderingen op die
algemene regel. Het is gebaseerd op artikel 8 van Richtlijn 95/46/EG en voegt
daaraan, overeenkomstig de jurisprudentie van het Europees Hof voor de rechten
van de mens, genetische gegevens toe[27]. Artikel 9 verbiedt maatregelen die uitsluitend
op geautomatiseerde verwerking van persoonsgegevens berusten, tenzij zulks is
toegestaan bij een wet die passende waarborgen biedt, in overeenstemming met
artikel 7 van Kaderbesluit 2008/977/JBZ.
3.4.3.
HOOFDSTUK III – RECHTEN VAN DE BETROKKENE
Artikel 10 bepaalt dat de lidstaten
transparante, eenvoudig toegankelijke en begrijpelijke informatie moeten
verstrekken (een verplichting die met name is ingegeven door beginsel 10 van de
Resolutie van Madrid over internationale normen voor de bescherming van
persoonsgegevens en de persoonlijke levenssfeer[28]) en dat
voor de verwerking verantwoordelijken moeten voorzien in procedures en
mechanismen ter vergemakkelijking van de uitoefening van de rechten van de
betrokkene. Ook wordt hier bepaald
dat de betrokkene zijn rechten in beginsel moet kunnen uitoefenen zonder dat
daaraan kosten verbonden zijn. Artikel 11 bepaalt dat de lidstaten verplicht
zijn de betrokkene bepaalde informatie te verstrekken. De verplichtingen in dezen zijn gebaseerd op de artikelen 10 en 11 van
Richtlijn 95/46/EG, maar de bepalingen inzake informatie die van de betrokkene
afkomstig is en die welke uit andere bron komt, zijn nu samengevoegd in één
artikel en de te verstrekken informatie is uitgebreid. Het artikel bevat uitzonderingen op de informatieplicht indien die
uitzonderingen evenredig zijn met hun doel en in een democratische samenleving
noodzakelijk zijn voor de uitoefening van de taken van de bevoegde autoriteiten
(geïnspireerd op artikel 13 van Richtlijn 95/46/EG en artikel 17 van
Kaderbesluit 2008/977/JBZ). Artikel 12 verplicht de lidstaten ertoe om te
voorzien in het recht van de betrokkene op toegang tot zijn persoonsgegevens. Dit artikel is gebaseerd op artikel 12, onder a),
van Richtlijn 95/46/EG, waaraan nieuwe elementen zijn toegevoegd. Zo moet de
betrokkene worden gewezen op de opslagtermijn, het recht van rectificatie,
wissen, beperking van de gegevensverwerking en het recht om een klacht in te
dienen. Artikel 13 bepaalt dat de lidstaten wetgeving
mogen vaststellen waarbij het recht van toegang wordt beperkt indien de
specifieke aard van de gegevensverwerking in het kader van politie en
strafrecht zulks vereist. Het artikel bevat voorts bepalingen over de
informatieverstrekking aan de betrokkene inzake de beperking van het
toegangsrecht, op basis van artikel 17, leden 2 en 3, van Kaderbesluit
2008/977/JBZ. Artikel 14 bevat de regel dat de betrokkene,
wanneer de directe toegang beperkt is, moet worden ingelicht over de
mogelijkheid om indirect toegang te verkrijgen via de toezichthoudende
autoriteit. Deze dient dan het toegangsrecht namens de betrokkene uit te
oefenen en deze in te lichten over het resultaat van haar verificatie. Artikel 15 over het recht van rectificatie is
gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de
verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit
2008/977/JBZ. Artikel 16 over het recht om gegevens te laten
wissen is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de
verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit
2008/977/JBZ. Dit artikel betreft ook
het recht om de verwerking in bepaalde gevallen te laten “markeren”. Deze term
komt in de plaats van de dubbelzinnige term “afscherming” die in artikel 12,
onder b), van Richtlijn 95/46/EG en artikel 18, lid 1, van Kaderbesluit
2008/977/JBZ wordt gebruikt. Artikel 17 inzake rectificatie, uitwissing en
beperking van de verwerking bij gerechtelijke procedures biedt een helderder
formulering op basis van artikel 4, lid 4, van Kaderbesluit 2008/977/JBZ.
3.4.4.
HOOFDSTUK IV – VOOR DE VERWERKING VERANTWOORDELIJKE
EN VERWERKER
3.4.4.1.
AFDELING 1 – ALGEMENE VERPLICHTINGEN
Artikel 18 omschrijft de verplichting van de
voor de verwerking verantwoordelijke om de richtlijn na te leven en op de
naleving ervan toe te zien, onder meer door daarvoor beleid en mechanismen vast
te stellen. Artikel 19 bepaalt dat de lidstaten erop
moeten toezien dat de voor de verwerking verantwoordelijke voldoet aan de
verplichtingen die voortvloeien uit de beginselen inzake privacy by design en
privacy by default. Artikel 20 verduidelijkt de status van
gemeenschappelijk voor de verwerking verantwoordelijken wat betreft hun
onderlinge verhouding. Artikel 21 verduidelijkt de positie en de
verplichtingen van verwerkers. Deze bepaling is deels gebaseerd op artikel 17,
lid 2, van Richtlijn 95/46/EG, maar is uitgebreid met nieuwe elementen. Zo moet
een verwerker die niet uitsluitend op instructie van de voor de verwerking
verantwoordelijke handelt, als een gemeenschappelijk voor de verwerking
verantwoordelijke worden beschouwd. Artikel 22 heeft betrekking op verwerking
onder het gezag van de voor de verwerking verantwoordelijke en de verwerker.
Het artikel is gebaseerd op artikel 16 van Richtlijn 95/46/EG. Bij artikel 23 worden voor de verwerking
verantwoordelijken en verwerkers ertoe verplicht alle verwerkingssystemen en
procedures die onder hun verantwoordelijkheid vallen, te documenteren. Artikel 24 betreft het bijhouden van een
registratie, zoals bedoeld in artikel 10, lid 1, van Kaderbesluit 2008/977/JBZ,
en biedt verdere verduidelijking daaromtrent. Artikel 25 verduidelijkt de verplichtingen van
de voor de verwerking verantwoordelijke en de verwerker bij de samenwerking met
de toezichthoudende autoriteit. Artikel 26 betreft de gevallen waarin vóór de
verwerking plaatsvindt, overleg met de toezichthoudende autoriteit verplicht
is, en is gebaseerd op artikel 23 van Kaderbesluit 2008/977/JBZ.
3.4.4.2.
ARTIKEL 2 – BEVEILIGING VAN GEGEVENS
Artikel 27 betreffende de beveiliging van de
verwerking is gebaseerd op artikel 17, lid 1, van Richtlijn 95/46/EG en artikel
22 van Kaderbesluit 2008/977/JBZ, maar breidt de verplichtingen op dat gebied
uit tot verwerkers, ongeacht hun contract met de voor de verwerking
verantwoordelijke. Bij de artikelen 28 en 29 wordt de
verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden.
Deze bepaling is geïnspireerd op artikel 4, lid 3, van Richtlijn 2002/58/EG
(e-privacyrichtlijn). De bepaling wordt verduidelijkt en de verplichting om de
toezichthoudende autoriteit in kennis te stellen (artikel 28) wordt gescheiden
van de verplichting om in bepaalde omstandigheden de betrokkene in te lichten
(artikel 29). Artikel 29 voorziet ook
in een uitzonderingsbepaling waarin wordt verwezen naar artikel 11, lid 4.
3.4.4.3.
AFDELING 3 – FUNCTIONARIS VOOR GEGEVENSBESCHERMING
Artikel 30 bepaalt dat de voor de verwerking
verantwoordelijke verplicht is een functionaris voor gegevensverwerking te
benoemen, die belast wordt met de in artikel 32 genoemde taken. Wanneer een aantal bevoegde autoriteiten handelt
onder toezicht van een centrale autoriteit die als voor de verwerking
verantwoordelijke optreedt, dient in ieder geval deze centrale autoriteit een
functionaris voor gegevensverwerking te benoemen. Artikel 18, lid 2, van de Richtlijn 95/46/EG bepaalde dat lidstaten het
vereiste inzake algemene kennisgeving door een dergelijke verplichting mochten
vervangen. In artikel 31 wordt de positie van de
functionaris voor gegevensbescherming geregeld. Artikel 32 bepaalt de taken van de
functionaris voor gegevensbescherming.
3.4.5.
HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR
DERDE LANDEN OF INTERNATIONALE ORGANISATIES
Artikel 33 bepaalt de algemene beginselen voor
de doorgifte van gegevens naar derde landen en internationale organisaties op
het gebied van politiële samenwerking en justitiële samenwerking in strafzaken,
alsook voor verdere doorgifte. Het
artikel preciseert dat doorgifte naar derde landen slechts mag plaatsvinden
indien dit noodzakelijk is met het oog op de voorkoming, het onderzoek, de
opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van
straffen. Artikel 34 bepaalt dat doorgifte naar een
derde land is toegestaan ofwel wanneer de Commissie ten aanzien van dat land
overeenkomstig Verordening nr. …/…/201X een besluit heeft vastgesteld waarbij
het beschermingsniveau passend wordt verklaard, dan wel een besluit dat
specifiek betrekking heeft op politiële samenwerking of justitiële samenwerking
in strafzaken, ofwel, bij ontstentenis van dergelijke besluiten, wanneer
passende garanties worden geboden. De
richtlijn zorgt ervoor dat wanneer er nog geen besluit is vastgesteld waarbij
het beschermingsniveau passend is verklaard, de doorgifte kan blijven
plaatsvinden op basis van passende garanties en afwijkingsbepalingen. Voorts wordt bepaald aan de hand van welke
criteria de Commissie beoordeelt of het beschermingsniveau al dan niet passend
is, waarbij uitdrukkelijk de rechtsstaat, de toegang tot rechtsmiddelen en
onafhankelijk toezicht in aanmerking worden genomen. Het artikel voorziet ook in de mogelijkheid dat de Commissie het
beschermingsniveau beoordeelt dat door een gebied of een verwerkingssector in
een derde land geboden wordt. Een
algemeen besluit waarbij een beschermingsniveau passend wordt verklaard, dat
volgens de procedure van artikel 38 van de algemene verordening
gegevensbescherming is vastgesteld, is ook binnen de werkingssfeer van deze
richtlijn van toepassing. Ook kan de
Commissie specifiek voor de toepassing van deze richtlijn een besluit
vaststellen waarbij een beschermingsniveau passend wordt verklaard. Artikel 35 bepaalt welke passende garanties
moeten worden geboden voordat een internationale doorgifte is toegestaan,
indien de Commissie geen besluit heeft vastgesteld waarbij een
beschermingsniveau passend is verklaard. Deze garanties kunnen worden geboden door een juridisch bindend
instrument zoals een internationale overeenkomst. Ook kan de voor de verwerking verantwoordelijke op grond van een
beoordeling van de omstandigheden van de doorgifte ervan uitgaan dat dergelijke
passende garanties bestaan. Artikel 36 voorziet in uitzonderingsbepalingen
voor gegevensdoorgifte en is gebaseerd op artikel 26 van Richtlijn 95/46/EG en
artikel 13 van Kaderbesluit 2008/977/JBZ. Volgens artikel 37 moeten de lidstaten bepalen
dat de voor de verwerking verantwoordelijke de ontvanger van de gegevens moet
inlichten over eventuele beperkingen voor de verwerking en alle redelijke
maatregelen moet nemen om te waarborgen dat ontvangers van persoonsgegevens in
het betrokken derde land of de betrokken internationale organisatie zich aan
deze beperkingen houden. Artikel 38 voorziet uitdrukkelijk in
internationale mechanismen voor samenwerking inzake de bescherming van
persoonsgegevens tussen de Commissie en de toezichthoudende autoriteiten van
derde landen, met name die waarvan het beschermingsniveau als passend is
beoordeeld, rekening houdende met de aanbeveling van de OESO van 12 juni 2007
inzake grensoverschrijdende samenwerking bij de handhaving van wetgeving ter
bescherming van de persoonlijke levenssfeer.
3.4.6.
HOOFDSTUK VI – NATIONALE TOEZICHTHOUDENDE
AUTORITEITEN
3.4.6.1.
AFDELING 1 – ONAFHANKELIJKHEID
Artikel 39 verplicht de lidstaten ertoe een
toezichthoudende autoriteit op te richten en is gebaseerd op artikel 28, lid 1,
van Richtlijn 95/46/EG en artikel 25 van Kaderbesluit 2008/977/JBZ. De
taakomschrijving van deze autoriteiten wordt uitgebreid: zo moeten zij
bijdragen tot een consequente toepassing van de richtlijn in de gehele Unie. De
toezichthoudende autoriteit die bij de algemene verordening gegevensbescherming
is opgericht, kan ook optreden als de toezichthoudende autoriteit voor deze
richtlijn. Artikel 40 verduidelijkt de voorwaarden voor
de onafhankelijkheid van de toezichthoudende autoriteit. Het artikel volgt de
jurisprudentie van het Hof van Justitie van de EU[29] en is
ook geïnspireerd op artikel 44 van Verordening (EG) nr. 45/2001[30]. Artikel 41 stelt algemene voorwaarden vast
voor de leden van de toezichthoudende autoriteit. Het artikel volgt de
jurisprudentie van het Hof van Justitie van de EU[31] en is
ook geïnspireerd op artikel 42, leden 2 tot en met 6, van Verordening (EG) nr.
45/2001. Artikel 42 bevat voorschriften voor de
oprichting van de toezichthoudende autoriteit en de voorwaarden voor de leden
ervan, die de lidstaten bij de wet moeten vaststellen. Artikel 43 betreffende het beroepsgeheim van
de leden en het personeel van de toezichthoudende autoriteit is gebaseerd op
artikel 28, lid 7, van Richtlijn 95/46/EG en artikel 25, lid 4, van
Kaderbesluit 2008/977/JBZ.
3.4.6.2.
AFDELING 2 – TAKEN EN BEVOEGDHEDEN
Artikel 44 stelt de competentie van de
toezichthoudende autoriteiten vast en is gebaseerd op artikel 28, lid 6, van
Richtlijn 95/46/EG en artikel 25, lid 1, van Kaderbesluit 2008/977/JBZ. Rechtbanken zijn in het kader van hun
gerechtelijke taken niet onderworpen aan het toezicht van de toezichthoudende
autoriteit, maar wel aan de toepassing van de materiële voorschriften inzake
gegevensbescherming. Artikel 45 bepaalt dat de lidstaten de taken
van de toezichthoudende autoriteit vaststellen. Daartoe behoren het kennisnemen
en onderzoeken van klachten en het voorlichten van het publiek over de
risico’s, voorschriften, garanties en rechten. Deze richtlijn verleent aan de toezichthoudende autoriteiten de
bijzondere taak om namens de betrokkene het toegangsrecht uit te oefenen,
wanneer directe toegang is geweigerd of beperkt, en de rechtmatigheid van de
gegevensverwerking te toetsen. Artikel 46 stelt de bevoegdheden van de
toezichthoudende autoriteit vast en is gebaseerd op artikel 28, lid 3, van
Richtlijn 95/46/EG en artikel 25, leden 2 en 3, van Kaderbesluit 2008/977/JBZ. Artikel 47 bepaalt dat de toezichthoudende
autoriteiten een jaarlijks activiteitenverslag opstellen en is gebaseerd op
artikel 28 van Richtlijn 95/46/EG.
3.4.7.
HOOFDSTUK VII – SAMENWERKING
Artikel 48 bevat voorschriften over de
verplichting tot wederzijdse bijstand, terwijl in artikel 28, lid 6, van
Richtlijn 95/46/EG slechts een algemene, niet nader gespecificeerde
verplichting tot samenwerking was vervat. Artikel 49 bepaalt dat het Europees Comité
voor gegevensbescherming, dat bij de algemene verordening gegevensbescherming
is opgericht, zijn taken tevens uitvoert met betrekking tot
verwerkingsactiviteiten die onder deze richtlijn vallen. Met het oog op aanvullende ondersteuning vraagt de Commissie, via een
deskundigengroep inzake de rechtshandhavingsaspecten van gegevensbescherming,
advies van vertegenwoordigers van autoriteiten van de lidstaten die bevoegd
zijn voor de voorkoming, het onderzoek, de opsporing en de vervolging van
strafbare feiten of de tenuitvoerlegging van straffen, en van
vertegenwoordigers van Europol en Eurojust.
3.4.8.
HOOFDSTUK VIII – BEROEP OP DE RECHTER,
AANSPRAKELIJKHEID EN SANCTIES
Artikel 50 voorziet in het recht van elke
betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit. Het
is gebaseerd op artikel 28, lid 4, van Richtlijn 95/46/EG en is van toepassing
op elke inbreuk op de richtlijn ten aanzien van de klager.
Het artikel bepaalt tevens welke instanties, organisaties
of verenigingen een klacht mogen indienen namens de betrokkene, of betreffende
een inbreuk in verband met persoonsgegevens, die losstaat van een klacht van
een betrokkene. Artikel 51 betreft het recht om tegen een
toezichthoudende autoriteit beroep bij de rechter in te stellen. Het bouwt voort op de algemene bepaling van
artikel 28, lid 3, van de Richtlijn 95/46/EG en bepaalt uitdrukkelijk dat de
betrokkene de rechter kan verzoeken de toezichthoudende autoriteit te gelasten
gevolg te geven aan een klacht. Artikel 52 voorziet in rechtsmiddelen tegen
een voor de verwerking verantwoordelijke of een verwerker. Het is gebaseerd op
artikel 22 van Richtlijn 95/46/EG en artikel 20 van Kaderbesluit 2008/977/JBZ. Artikel 53 bevat gemeenschappelijke
voorschriften voor gerechtelijke procedures, waaronder de rechten van
instanties, organisaties of verenigingen om betrokkenen in rechte te
vertegenwoordigen en het recht van toezichthoudende instanties om gerechtelijke
procedures aan te spannen. De
verplichting voor de lidstaten om te voorzien in rechtsgedingen waarbij snel
maatregelen kunnen worden getroffen is geïnspireerd op artikel 18, lid 1, van
de richtlijn inzake elektronische handel (Richtlijn 2000/31/EG) [32]. Artikel 54 verplicht de lidstaten ertoe te
voorzien in een recht op schadevergoeding. Het is gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG en
artikel 19, lid 1, van Kaderbesluit 2008/977/JBZ, maar breidt dit recht uit tot
schade door toedoen van verwerkers en verduidelijkt de aansprakelijkheid van
gemeenschappelijk voor de verwerking verantwoordelijken en gezamenlijke
verwerkers. Artikel 55 verplicht de lidstaten ertoe
voorschriften vast te stellen inzake sancties om inbreuken op deze richtlijn te
bestraffen, en toe te zien op de tenuitvoerlegging van die sancties.
3.4.9.
HOOFDSTUK IX – GEDELEGEERDE HANDELINGEN EN
UITVOERINGSHANDELINGEN
Artikel 56 bevat standaardbepalingen inzake de
uitvoering van bevoegdheidsdelegaties overeenkomstig artikel 290 VWEU. Dit artikel biedt de wetgever de mogelijkheid om
aan de Commissie de bevoegdheid over te dragen niet-wetgevingshandelingen van
algemene strekking vast te stellen ter aanvulling of wijziging van
bepaalde niet-essentiële onderdelen van een wetgevingshandeling
(quasiwetgevingshandelingen). Artikel 57 voorziet in de vereiste
comitéprocedure om aan de Commissie uitvoeringsbevoegdheden toe te kennen in
gevallen waarin het nodig is dat juridisch bindende handelingen van de Unie
volgens eenvormige voorwaarden worden uitgevoerd, zoals bedoeld in artikel 291
VWEU. De onderzoeksprocedure is van
toepassing.
3.4.10.
HOOFDSTUK X – SLOTBEPALINGEN
Bij artikel 58 wordt Kaderbesluit 2008/977/JBZ
van de Raad ingetrokken. Artikel 59 stelt vast dat in handelingen van
de Unie opgenomen specifieke bepalingen betreffende de verwerking van
persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het
onderzoek, de opsporing en de vervolging van strafbare feiten of de
tenuitvoerlegging van straffen, die de verwerking van persoonsgegevens of de
toegang tot informatiesystemen regelen die binnen de werkingssfeer van deze richtlijn
vallen, onverlet worden gelaten. Artikel 60 verduidelijkt hoe deze richtlijn
zich verhoudt tot eerder door de lidstaten gesloten internationale
overeenkomsten op het gebied van justitiële samenwerking in strafzaken en
politiële samenwerking. Artikel 61 verplicht de Commissie ertoe de
tenuitvoerlegging van de richtlijn te evalueren en daarover verslag uit te
brengen, teneinde te beoordelen of de in artikel 59 bedoelde eerder
vastgestelde specifieke bepalingen aan deze richtlijn moeten worden aangepast. Artikel 62 verplicht de lidstaten ertoe de
richtlijn in hun nationale recht om te zetten en de Commissie mee te delen
welke bepalingen zij hebben vastgesteld om aan deze richtlijn te voldoen. Artikel 63 stelt de datum van inwerkingtreding
van de richtlijn vast. Artikel 64 stelt de adressaten van de
richtlijn vast.
4.
GEVOLGEN VOOR DE BEGROTING
Het financieel memorandum bij het voorstel
voor de algemene verordening gegevensbescherming betreft de gevolgen voor de
begroting van zowel die verordening als deze richtlijn. 2012/0010 (COD) Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN
DE RAAD betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens door bevoegde
autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de
vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en
betreffende het vrije verkeer van die gegevens HET EUROPEES PARLEMENT EN DE RAAD VAN
DE EUROPESE UNIE, Gezien het Verdrag betreffende de werking van
de Europese Unie, en met name artikel 16, lid 2, Gezien het voorstel van de Europese Commissie, Na toezending van het ontwerp van
wetgevingshandeling aan de nationale parlementen, Na raadpleging van de Europese Toezichthouder
voor gegevensbescherming[33], Handelend volgens de gewone
wetgevingsprocedure, Overwegende hetgeen volgt: (1)
De bescherming van natuurlijke personen bij de
verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1,
van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1,
van het Verdrag betreffende de werking van de Europese Unie heeft eenieder het
recht op bescherming van zijn persoonsgegevens. (2)
De verwerking van persoonsgegevens staat ten
dienste van de mens; de beginselen en
voorschriften betreffende de bescherming van natuurlijke personen in verband
met de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of
de verblijfplaats van de betrokkenen, hun fundamentele rechten en vrijheden te
eerbiedigen, en in het bijzonder hun recht op bescherming van hun
persoonsgegevens. Hiermee dient te
worden bijgedragen tot de totstandkoming van een gebied van vrijheid,
veiligheid en recht. (3)
Door snelle technologische ontwikkelingen en
globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens
ontstaan. De mate waarin gegevens
worden verzameld en gedeeld, is spectaculair gestegen. Door technologie kunnen bevoegde autoriteiten bij het uitvoeren van hun
activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. (4)
Dit maakt het noodzakelijk het vrije verkeer van
gegevens tussen bevoegde autoriteiten binnen de Unie en de doorgifte naar derde
landen en internationale organisaties te vergemakkelijken en daarbij een hoge
mate van bescherming van persoonsgegevens te garanderen. Deze ontwikkelingen maken het noodzakelijk in de Unie een solide en
coherenter kader voor de bescherming van persoonsgegevens tot stand te brengen,
ondersteund met robuuste handhaving. (5)
Richtlijn 95/46/EG van het Europees Parlement en de
Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens[34]
is van toepassing op alle gegevensverwerkingsactiviteiten in de lidstaten,
zowel bij de overheid als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van
persoonsgegevens “die met het oog op de uitoefening van niet binnen de
werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt”, zoals
in het kader van activiteiten op het gebied van justitiële samenwerking in
strafzaken en politiële samenwerking. (6)
Kaderbesluit 2008/977/JBZ van de Raad van 27
november 2008 over de bescherming van persoonsgegevens die worden verwerkt in
het kader van de politiële en justitiële samenwerking in strafzaken[35] is van
toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is
beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of
beschikbaar gesteld tussen lidstaten. (7)
Het is voor een doeltreffende justitiële
samenwerking in strafzaken en een doeltreffende politiële samenwerking van het
allergrootste belang dat een consequent en hoog niveau van bescherming van de
persoonsgegevens van natuurlijke personen wordt gewaarborgd en dat de
uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de
lidstaten wordt vergemakkelijkt. Daartoe
moet in alle lidstaten worden voorzien in een gelijkwaardig niveau van
bescherming van de rechten en vrijheden van natuurlijke personen in verband met
de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
of de tenuitvoerlegging van straffen. Doeltreffende bescherming van persoonsgegevens in de gehele Unie
vereist versterking van de rechten van de betrokkenen en de verplichtingen van
degenen die persoonsgegevens verwerken, maar ook gelijke bevoegdheden inzake
toezicht en handhaving van de voorschriften inzake de bescherming van
persoonsgegevens in de lidstaten. (8)
Overeenkomstig artikel 16, lid 2, van het Verdrag
betreffende de werking van de Europese Unie dienen het Europees Parlement en de
Raad de voorschriften vast te
stellen betreffende de bescherming van natuurlijke personen ten aanzien van de
verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije
verkeer van die gegevens (9)
Op die basis worden bij Verordening (EU) nr. …/2012
van het Europees Parlement en de Raad betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en
betreffende het vrije verkeer van die gegevens (Algemene verordening
gegevensbescherming) algemene voorschriften vastgesteld om de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en het
vrije verkeer van persoonsgegevens in de Unie te waarborgen. (10)
In Verklaring nr. 21 betreffende de
bescherming van persoonsgegevens op het gebied van justitiële samenwerking in
strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte
van de intergouvernementele conferentie die het Verdrag van Lissabon heeft
aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de
politiële en justitiële samenwerking in strafzaken, op die gebieden specifieke
voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer
van die gegevens op basis van artikel 16 van het Verdrag betreffende de werking
van de Europese Unie nodig zouden kunnen blijken. (11)
In een afzonderlijke richtlijn dient derhalve
rekening te worden gehouden met de specifieke aard van deze gebieden en dienen
voorschriften te worden vastgesteld betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten
met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van
strafbare feiten of de tenuitvoerlegging van straffen. (12)
Teneinde voor natuurlijke personen in de hele Unie
eenzelfde beschermingsniveau te waarborgen door middel van wettelijk
afdwingbare rechten en te voorkomen dat verschillen de uitwisseling van
persoonsgegevens tussen bevoegde autoriteiten hinderen, dient de richtlijn te
voorzien in geharmoniseerde voorschriften betreffende de bescherming en het
vrije verkeer van persoonsgegevens op het gebied van justitiële samenwerking in
strafzaken en politiële samenwerking. (13)
Deze richtlijn biedt de mogelijkheid om bij de
toepassing van de daarin vastgelegde voorschriften rekening te houden met het
beginsel van het recht van toegang van het publiek tot officiële documenten. (14)
De bescherming die door deze richtlijn wordt
geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun
nationaliteit of verblijfplaats, in verband met de verwerking van hun
persoonsgegevens. (15)
De bescherming van natuurlijke personen dient
technologieneutraal te zijn en niet afhankelijk te zijn van de gebruikte
technieken; anders zou een ernstig
gevaar van ontduiking ontstaan. De
bescherming van natuurlijke personen dient zowel te gelden bij geautomatiseerde
verwerking van persoonsgegevens als bij niet-geautomatiseerde verwerking
daarvan, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een
bestand. Dossiers of een verzameling
dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria
gestructureerd zijn, dienen niet onder het toepassingsgebied van deze richtlijn
te vallen. Deze richtlijn dient niet
van toepassing te zijn op de verwerking van persoonsgegevens in het kader van
activiteiten die buiten het toepassingsgebied van het Unierecht vallen, met
name in verband met de nationale veiligheid, of op gegevens die worden verwerkt
door instellingen, organen, bureaus en agentschappen van de Unie, zoals Europol
of Eurojust. (16)
De beschermingsbeginselen moeten voor elk gegeven betreffende
een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon
identificeerbaar is, dienen alle middelen in aanmerking te worden genomen
waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking
verantwoordelijke of door een andere persoon worden gebruikt om de persoon te
identificeren. De
beschermingsbeginselen dienen niet van toepassing te zijn op gegevens die
zodanig zijn geanonimiseerd dat de persoon op wie die gegevens betrekking
hebben, niet meer identificeerbaar is. (17)
Onder persoonsgegevens betreffende de gezondheid
dienen met name alle gegevens te vallen die betrekking hebben op de
gezondheidstoestand van de betrokkene, informatie over de
registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor
gezondheidszorg met betrekking tot de persoon, een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke
identificatie van die persoon voor gezondheidsdoeleinden geldt, informatie over een persoon die is verzameld bij
de verlening van gezondheidszorg aan die persoon, informatie die voortkomt uit het testen of onderzoeken van een
lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters, de identificatie van een persoon als verstrekker
van gezondheidszorg aan de betrokkene, of informatie over bijvoorbeeld ziekte, handicap, ziekterisico,
medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische
of biomedische staat van de betrokkene, ongeacht de bron van die informatie,
zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch
hulpmiddel of een in-vitrodiagnose. (18)
Elke verwerking van persoonsgegevens dient ten
aanzien van de betrokkenen eerlijk en rechtmatig te geschieden. In het bijzonder dienen de specifieke doeleinden
waarvoor de gegevens worden verwerkt, uitdrukkelijk te worden vermeld. (19)
Met het oog op de voorkoming, het onderzoek en de
vervolging van strafbare feiten is het noodzakelijk dat de bevoegde autoriteiten
persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de
opsporing of de vervolging van strafbare feiten hebben verzameld, ook buiten
dat kader bewaren en bewerken, teneinde een beeld te krijgen van criminele
verschijnselen en trends, inlichtingen te verzamelen over georganiseerde
criminele netwerken en verbanden te leggen tussen verschillende opgespoorde
strafbare feiten. (20)
Persoonsgegevens dienen niet te worden verwerkt
voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn
verzameld. De persoonsgegevens dienen
adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel
waarvoor zij worden verwerkt. Alle
redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste
persoonsgegevens worden gerectificeerd of gewist. (21)
Het beginsel van juistheid van de gegevens moet
worden toegepast in het licht van de aard en het doel van de betreffende
verwerking. In het bijzonder bij
gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten,
gebaseerd op de subjectieve perceptie van personen en in sommige gevallen niet
geheel te verifiëren. Het vereiste
van juistheid dient derhalve geen betrekking te hebben op de juistheid van een
verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd. (22)
Bij de interpretatie en de toepassing van de
algemene beginselen betreffende de verwerking van persoonsgegevens door
bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing
of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen,
dient rekening te worden gehouden met de specifieke kenmerken van de sector,
waaronder de specifiek nagestreefde doelen. (23)
De verwerking van persoonsgegevens op het gebied
van justitiële samenwerking in strafzaken en politiële samenwerking brengt met
zich mee dat persoonsgegevens betreffende verschillende categorieën betrokkenen
worden verwerkt. Daarom dient zo veel
mogelijk een onderscheid te worden gemaakt tussen persoonsgegevens betreffende
verschillende categorieën betrokkenen, zoals verdachten, personen die zijn
veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen,
personen die over relevante informatie beschikken of personen die contact
hebben of banden onderhouden met verdachten en veroordeelde misdadigers. (24)
Voor zover mogelijk dienen persoonsgegevens te
worden onderscheiden naar de mate van juistheid en betrouwbaarheid. Feiten dienen te worden onderscheiden van
persoonlijke oordelen, zowel om personen te beschermen als om de kwaliteit en
betrouwbaarheid van door de bevoegde autoriteiten verwerkte informatie te
waarborgen. (25)
De verwerking van persoonsgegevens kan slechts
rechtmatig zijn, indien zij noodzakelijk is om aan een wettelijke verplichting
voor de voor de verwerking verantwoordelijke te voldoen, voor het uitvoeren van
een taak van algemeen belang door een bevoegde autoriteit overeenkomstig de
wet, om de vitale belangen van de betrokkene of van een andere persoon te
beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare
veiligheid af te wenden. (26)
Persoonsgegevens die door hun aard bijzonder
gevoelig zijn uit het oogpunt van de grondrechten of de persoonlijke
levenssfeer, waaronder genetische gegevens, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden
verwerkt, tenzij de verwerking uitdrukkelijk is toegestaan op grond van
wetgeving die in passende maatregelen voorziet om de gerechtvaardigde belangen
van de betrokkene te beschermen, de
verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene
of een andere persoon, of de verwerking betrekking heeft op gegevens die
kennelijk door de betrokkene openbaar zijn gemaakt. (27)
Iedere natuurlijke persoon dient het recht te
hebben niet te worden onderworpen aan een maatregel die uitsluitend op
geautomatiseerde verwerking is gebaseerd, indien die verwerking voor die
persoon ongunstige rechtsgevolgen heeft, tenzij de verwerking wettelijk is
toegestaan en vergezeld gaat van passende maatregelen om de gerechtvaardigde
belangen van de betrokkene te beschermen. (28)
Informatie die bestemd is voor de betrokkene dient
eenvoudig toegankelijk en begrijpelijk te zijn en in duidelijke en eenvoudige
taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten
te doen gelden. (29)
Er dienen procedures te worden vastgesteld om de
betrokkene in staat te stellen zijn rechten uit hoofde van deze richtlijn uit
te oefenen, zoals mechanismen waarmee de betrokkene kan verzoeken om met name
toegang tot gegevens, het wissen van gegevens en uitoefening van het recht van bezwaar,
zonder dat daaraan kosten mogen worden verbonden. De voor de verwerking verantwoordelijke dient verplicht te zijn om
zonder onnodige vertraging op verzoeken van de betrokkene te reageren. (30)
Het beginsel van eerlijke verwerking vereist in dat
de betrokkene met name wordt meegedeeld dat de verwerking plaatsvindt en met
welk doel, hoe lang de gegevens worden opgeslagen, dat hij het recht van
toegang, rectificatie en uitwissing heeft en dat hij het recht heeft om een
klacht in te dienen. Indien de gegevens
van de betrokkene moeten worden verkregen, dient hem te worden meegedeeld of
hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van
niet-verstrekking van de gegevens. (31)
De informatie over de verwerking van
persoonsgegevens betreffende de betrokkene moet hem worden meegedeeld bij het
verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn
verkregen, op het moment van registratie van de gegevens of binnen redelijke
tijd na het verzamelen ervan, met inachtneming van de specifieke omstandigheden
waarin de gegevens worden verwerkt. (32)
Eenieder dient over het recht te beschikken om
toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit
recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de
hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te
hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens met
name worden verwerkt, hoe lang zij worden bewaard, welke ontvangers de gegevens
ontvangen, ook waar het ontvangers in derde landen betreft. Betrokkenen dienen de mogelijkheid te hebben een
kopie te ontvangen van de hen betreffende persoonsgegevens die worden verwerkt. (33)
De lidstaten dienen te beschikken over de
mogelijkheid om wettelijke maatregelen te treffen om de informatieverstrekking
aan de betrokkenen of de toegang tot hun persoonsgegevens uit te stellen, te
beperken of achterwege te laten, voor zover en zolang die gehele of
gedeeltelijke beperking in een democratische samenleving, met inachtneming van
de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en
evenredige maatregel is om belemmering van officiële of gerechtelijke
onderzoeken of procedures te voorkomen, om te voorkomen dat afbreuk wordt
gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake
van strafbare feiten of de tenuitvoerlegging van straffen, om de openbare
veiligheid of de nationale veiligheid te beschermen, of om de betrokkene of de
rechten en vrijheden van anderen te beschermen. (34)
Iedere weigering of beperking van de toegang dient
schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de
feitelijke of juridische gronden die aan het besluit ten grondslag liggen. (35)
Wanneer de lidstaten wetgevingsmaatregelen hebben
vastgesteld die het recht van toegang geheel of ten dele beperken, dient de
betrokkene het recht te hebben om te verzoeken dat de bevoegde nationale
toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert. De betrokkene moet over dit recht worden
ingelicht. Indien de toezichthoudende
autoriteit namens de betrokkene toegang krijgt, dient de toezichthoudende
autoriteit de betrokkene ten minste mee te delen dat alle noodzakelijke
verificaties door de toezichthoudende autoriteit zijn verricht en hem in te
lichten over het resultaat daarvan wat de rechtmatigheid van de verwerking in
kwestie betreft. (36)
Eenieder dient het recht te hebben onjuiste
persoonsgegevens over zichzelf te laten rectificeren en deze te laten wissen,
indien de verwerking van dergelijke gegevens niet in overeenstemming is met de
in deze richtlijn vastgestelde hoofdbeginselen. Indien de persoonsgegevens worden verwerkt in het kader van
strafrechtelijke onderzoeken en procedures, mag het recht van rectificatie,
informatie, toegang en wissing worden uitgeoefend en de beperking van de
verwerking worden verricht overeenkomstig het nationale strafprocesrecht. (37)
Er dient te worden voorzien in de algehele
verantwoordelijkheid en aansprakelijkheid van de voor de verwerking
verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de
voor de verwerking verantwoordelijke. Met name dient de voor de verwerking verantwoordelijke erop toe te zien
dat de verwerking geschiedt overeenkomstig de krachtens deze richtlijn
vastgestelde voorschriften. (38)
De bescherming van de rechten en vrijheden van de
betrokkenen in verband met de verwerking van persoonsgegevens vereist passende
technische en organisatorische maatregelen om te waarborgen dat aan de vereisten
van de richtlijn wordt voldaan. Teneinde
toe te zien op de naleving van de krachtens deze richtlijn vastgestelde
bepalingen dient de voor de verwerking verantwoordelijke beleid vast te stellen
en passende maatregelen te treffen, die in het bijzonder in overeenstemming
zijn met de beginselen van privacy by design en privacy by default. (39)
Het is voor de bescherming van de rechten en
vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van
voor de verwerking verantwoordelijken en verwerkers noodzakelijk dat de bij
deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden
toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden,
voorwaarden en middelen voor de verwerking samen met andere voor de verwerking
verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens
een voor de verwerking verantwoordelijke. (40)
Verwerkingsactiviteiten dienen door de voor de
verwerking verantwoordelijke of de verwerker te worden gedocumenteerd, zodat
toezicht kan worden uitgeoefend op de naleving van deze richtlijn. Elke voor de verwerking verantwoordelijke en elke
verwerker moet ertoe worden verplicht medewerking te verlenen aan de
toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met
het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten. (41)
Teneinde de rechten en vrijheden van betrokkenen
doeltreffend te beschermen door middel van preventieve maatregelen, dient de
voor de verwerking verantwoordelijke of de verwerker in bepaalde gevallen vóór
de verwerking plaatsvindt overleg te plegen met de toezichthoudende autoriteit. (42)
Een inbreuk in verband met persoonsgegevens kan,
wanneer deze niet tijdig en op toereikende wijze wordt aangepakt, voor de
betrokken persoon schade, inclusief reputatieschade, tot gevolg hebben. Zodra een voor de verwerking verantwoordelijke
weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij daarom de
bevoegde nationale autoriteit daarvan op de hoogte te stellen. De personen van wie de persoonsgegevens of de
persoonlijke levenssfeer als gevolg van de inbreuk negatieve gevolgen kunnen
ondervinden, moeten daarvan zonder onnodige vertraging in kennis worden
gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen
te hebben voor iemand persoonsgegevens of persoonlijke levenssfeer, wanneer die
inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude,
lichamelijke schade, ernstige vernedering of aantasting van de reputatie in
samenhang met de verwerking van persoonsgegevens. (43)
Bij de vaststelling van gedetailleerde
voorschriften betreffende het formaat en de procedures voor de melding van
inbreuken in verband met de persoonsgegevens moet de nodige aandacht worden
besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de
persoonsgegevens al dan niet met behulp van adequate technische
beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van
misbruik in de praktijk was beperkt. Bovendien
moet bij dergelijke voorschriften en procedures rekening worden gehouden met de
gerechtvaardigde belangen van de bevoegde autoriteiten in gevallen waarin
vroegtijdige melding van incidenten nodeloos het onderzoek naar de
omstandigheden van een inbreuk zou kunnen hinderen. (44)
De voor de verwerking verantwoordelijke of de
verwerker dient een persoon aan te wijzen die de voor de verwerking
verantwoordelijke of de verwerker bijstaat bij het toezicht op de naleving van
de bepalingen die krachtens deze richtlijn zijn vastgesteld. Er kan door verschillende entiteiten van een
bevoegde autoriteit gezamenlijk een functionaris voor gegevensbescherming
worden benoemd. De functionarissen
voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen
onafhankelijk en doeltreffend uit te voeren. (45)
De lidstaten moeten erop toezien dat doorgifte naar
derde landen slechts plaatsvindt indien dit noodzakelijk is met het oog op de
preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en
de tenuitvoerlegging van straffen, en dat de voor de verwerking
verantwoordelijke in het derde land of de internationale organisatie een
autoriteit is die bevoegd is in de zin van deze richtlijn.
Een doorgifte kan plaatsvinden in gevallen waarin de
Commissie heeft besloten dat het betrokken derde land of de betrokken
internationale organisatie een passend beschermingsniveau waarborgt, of in
gevallen waarin passende waarborgen worden geboden. (46)
De Commissie kan besluiten, met rechtskracht voor
de gehele Unie, dat bepaalde derde landen, of een gebied of een
verwerkingssector in een derde land, of een internationale organisatie een
passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de
gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde
landen of internationale organisaties die geacht worden een dergelijk
beschermingsniveau te bieden. In
zulke gevallen mogen persoonsgegevens naar de betrokken landen worden
doorgegeven zonder dat verdere toestemming noodzakelijk is. (47)
Overeenkomstig de fundamentele waarden waarop de
Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten,
dient de Commissie in aanmerking te nemen in welke mate de rechtsstaat, de
toegang tot de rechter en de internationale mensenrechtennormen in het derde
land worden geëerbiedigd. (48)
De Commissie moet tevens kunnen besluiten dat een
derde land, een gebied of een verwerkingssector in een derde land, of een
internationale organisatie geen passend beschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van
persoonsgegevens naar dat derde land te worden verboden, tenzij die doorgifte
geschiedt op grond van een internationale overeenkomst, passende waarborgen of
een uitzonderingsbepaling. Er dient
te worden voorzien in procedures voor overleg tussen de Commissie en de
betrokken derde landen of internationale organisaties. Het desbetreffende besluit van de Commissie mag echter geen afbreuk
doen aan de mogelijkheid om gegevens door te geven op grond van passende
waarborgen of een in de richtlijn neergelegde uitzonderingsbepaling. (49)
Doorgiften die niet plaatsvinden op grond van een
besluit waarbij het beschermingsniveau passend wordt verklaard, dienen slechts
te zijn toegestaan indien in een juridisch bindend instrument passende
garanties voor de bescherming van de persoonsgegevens worden geboden, of indien
de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in
verband met de gegevensdoorgifte of het geheel van gegevensdoorgiften heeft
beoordeeld en op basis van die beoordeling van oordeel is dat passende
garanties voor de bescherming van persoonsgegevens worden geboden. In gevallen waarin er geen gronden zijn om een
gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn
toegestaan om een vitaal belang van de betrokkene of een andere persoon te
beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen,
indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus
bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en
ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde
land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming,
het onderzoek, de opsporing of de vervolging van strafbare feiten of de
tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de
vaststelling, de uitoefening of de verdediging van rechtsvorderingen. (50)
Bij grensoverschrijdend verkeer van
persoonsgegevens kan het voor personen moeilijker worden om hun
gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen
onrechtmatig gebruik of onrechtmatige verstrekking van die gegevens. Bovendien kan het voor toezichthoudende
autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te
verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot
grensoverschrijdende samenwerking worden belemmerd door ontoereikende
preventieve of corrigerende bevoegdheden of inconsistente rechtskaders. Nauwere samenwerking tussen de toezichthoudende
autoriteiten op het gebied van gegevensbescherming dient daarom te worden
bevorderd met het oog op de uitwisseling van informatie met dergelijke
instanties in het buitenland. (51)
Het is voor de bescherming van personen in verband
met de verwerking van persoonsgegevens van wezenlijk belang dat in elke
lidstaat een toezichthoudende autoriteiten wordt ingesteld die haar taken
volstrekt onafhankelijk uitvoert. De
toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de
krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de
consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen
te beschermen in verband met de verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten
met elkaar en met de Commissie samen te werken. (52)
De lidstaten kunnen een toezichthoudende autoriteit
die reeds krachtens Verordening (EU) …/2012 is ingesteld, belasten met de taken
die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten
moeten uitvoeren. (53)
De lidstaten dienen de mogelijkheid te hebben om in
overeenstemming met hun constitutionele, organisatorische en bestuurlijke
structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te
beschikken over passende financiële en personele middelen en de huisvesting en
infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader
van wederzijdse bijstand en samenwerking met andere toezichthoudende
autoriteiten in de Unie, effectief uit te voeren. (54)
De algemene voorwaarden voor de leden van de
toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden
vastgesteld en dienen met name te bepalen dat die leden hetzij door het
parlement, hetzij door de regering van de lidstaat worden benoemd, en
voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en
de positie van de leden. (55)
Hoewel deze richtlijn ook van toepassing is op de
activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van
de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking
van persoonsgegevens door die instanties in het kader van hun rechtelijke
taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van
gerechtelijke taken in stand te houden. Deze uitzondering dient echter beperkt te blijven tot daadwerkelijke
gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor
andere activiteiten die rechters overeenkomstig het nationale recht verrichten. (56)
Met het oog op een consequent toezicht en de
eenvormige handhaving van deze richtlijn in de gehele Unie dienen de
toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve
bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en
juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in
het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op
te treden. (57)
Iedere toezichthoudende autoriteit dient kennis te
nemen van klachten die door een betrokkene zijn ingediend en de zaak te
onderzoeken. Het onderzoek dat naar
aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het
specifieke geval passend is en kan worden onderworpen aan rechterlijke
toetsing. De toezichthoudende
autoriteit dient de betrokkene binnen een redelijke termijn in kennis te
stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie
met een andere toezichthoudende autoriteit vereist, dient de betrokkene
tussentijdse informatie te worden verstrekt. (58)
De toezichthoudende autoriteiten dienen elkaar
wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op
de consequente toepassing en handhaving van de krachtens deze richtlijn
vastgestelde bepalingen. (59)
Het bij Verordening (EU) nr. …/2012 ingestelde
Europees Comité voor gegevensbescherming dient bij te dragen tot de consequente
toepassing van deze richtlijn in de Unie, onder meer door de Commissie advies
te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de
Unie te bevorderen. (60)
Iedere betrokkene dient het recht te hebben om een
klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een
beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn
rechten uit hoofde van deze richtlijn of indien de toezichthoudende autoriteit
niet optreedt naar aanleiding van een klacht of indien deze niet optreedt
wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de
betrokkene. (61)
Alle organen, organisaties of verenigingen die de
bescherming van de rechten en belangen van betrokkenen in verband met de
bescherming van hun persoonsgegevens tot doel hebben en die volgens het recht
van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te
dienen of namens betrokkenen door wie zij naar behoren zijn gemachtigd een
recht op beroep in rechte uit te oefenen, en om onafhankelijk van een klacht
van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een
inbreuk in verband met persoonsgegevens heeft voorgedaan. (62)
Iedere natuurlijke persoon of rechtspersoon dient
het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende
autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden
ingesteld bij de gerechtelijke instanties van de lidstaat waar de
toezichthoudende autoriteit gevestigd is. (63)
Willen gerechtelijke procedures effectief zijn, dan
dienen de lidstaten erop toe te zien dat daarbij snel maatregelen kunnen worden
getroffen om inbreuken op deze richtlijn ongedaan te maken of te voorkomen. (64)
De schade die betrokkenen ten gevolge van een
onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de
verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid
kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem
niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat
er sprake is van een fout van de betrokkene of van overmacht. (65)
Er moet worden voorzien in sancties jegens alle
natuurlijke personen of rechtspersonen, ongeacht of deze onder het publiekrecht
dan wel onder het privaatrecht vallen, die deze richtlijn niet naleven. De lidstaten dienen erop toe te zien dat de
sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te
nemen om de sancties ten uitvoer te leggen. (66)
Met het oog op de verwezenlijking van de
doelstellingen van deze richtlijn, namelijk het beschermen van de grondrechten
en fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht
op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer
van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, dient aan de
Commissie de bevoegdheid te worden overgedragen om overeenkomstig artikel 290
van het Verdrag betreffende de werking van de Europese Unie handelingen vast te
stellen. In het bijzonder dient de
mogelijkheid te bestaan om gedelegeerde handelingen vast te stellen met
betrekking tot de melding van inbreuken in verband met persoonsgegevens aan de
toezichthoudende autoriteit. Het is
van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot
passende raadpleging overgaat, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en
opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende
documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het
Europees Parlement en de Raad. (67)
Om eenvormige voorwaarden voor de uitvoering van
deze richtlijn te waarborgen ten aanzien van de documentering door voor de
verwerking verantwoordelijken en verwerkers, de beveiliging van de
gegevensverwerking, met name wat versleutelingsnormen betreft, de melding van
inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit,
en het passend beschermingsniveau dat geboden wordt door een derde land, een
gebied of verwerkingssector binnen een derde land, of een internationale
organisatie, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend
overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de
Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en
beginselen die van toepassing zijn op de wijze waarop de lidstaten de
uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren[36]. (68)
Voor de vaststelling van maatregelen ten aanzien
van de documentering door voor de verwerking verantwoordelijken en verwerkers,
de beveiliging van de gegevensverwerking, de melding van inbreuken in verband
met persoonsgegevens aan de toezichthoudende autoriteit, en het passend
beschermingsniveau dat geboden wordt door een derde land, een gebied of
verwerkingssector binnen een derde land, of een internationale organisatie,
moet de onderzoeksprocedure worden toegepast, aangezien dit handelingen van
algemene strekking zijn. (69)
Wanneer een derde land, een gebied of een
verwerkingssector in een derde land, of een internationale organisatie geen
passend beschermingsniveau waarborgt, moet de Commissie in naar behoren
gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen
vaststellen, wanneer dwingende urgente redenen dat vereisen. (70)
Aangezien de doelstelling van deze richtlijn,
namelijk het beschermen van de fundamentele rechten en vrijheden van
natuurlijke personen, in het bijzonder hun recht op de bescherming van
persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens
tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten
alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen
van de maatregelen, beter op het niveau van de Unie kan worden verwezenlijkt,
kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese
Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel
neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is
om dit doel te verwezenlijken. (71)
Kaderbesluit 2008/977/JBZ dient bij deze richtlijn
te worden ingetrokken. (72)
Specifieke bepalingen in verband met de verwerking
van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming,
het onderzoek, de opsporing en de vervolging van strafbare feiten of de
tenuitvoerlegging van straffen, die zijn opgenomen in handelingen van de Unie
die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die
de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van
door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen
opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven. De Commissie dient na te gaan wat het verband is
tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van
deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens
tussen lidstaten onderling en de toegang van door de lidstaten aangewezen
autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen
regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan
deze richtlijn te beoordelen. (73)
Teneinde de algehele en samenhangende bescherming
van persoonsgegevens in de Unie te waarborgen, dienen internationale
overeenkomsten die de lidstaten voor de inwerkintreding van deze richtlijn
hebben gesloten, te worden gewijzigd in overeenstemming met deze richtlijn. (74)
Deze richtlijn laat de voorschriften ter
bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en
kinderpornografie, zoals opgenomen in Richtlijn 2011/93/EU van het Europees Parlement
en de Raad van 13 december 2011[37],
onverlet. (75)
Overeenkomstig artikel 6 bis van het Protocol
betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van
de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag
betreffende de Europese Unie en het Verdrag betreffende de werking van de
Europese Unie, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in
deze richtlijn vastgestelde voorschriften, wanneer het Verenigd Koninkrijk en
Ierland niet gebonden zijn door de regels van de Unie betreffende de vormen van
justitiële samenwerking in strafzaken of van politiële samenwerking in het
kader waarvan de op grond van artikel 16 van het Verdrag betreffende de werking
van de Europese Unie vastgestelde bepalingen moeten worden nageleefd. (76)
Overeenkomstig de artikelen 2 en 2 bis van het
Protocol betreffende de positie van Denemarken, dat gehecht is aan het Verdrag
betreffende de Europese Unie en het Verdrag betreffende de werking van de
Europese Unie, zijn de bepalingen van deze richtlijn niet bindend voor, noch
van toepassing in Denemarken. Aangezien
deze richtlijn een uitwerking inhoudt van het Schengenacquis overeenkomstig
titel V van het derde deel van het Verdrag betreffende de werking van de
Europese Unie, beslist Denemarken overeenkomstig artikel 4 van dat Protocol
binnen zes maanden na de vaststelling van een maatregel of het deze maatregel
in zijn nationale wetgeving zal omzetten. (77)
Wat Noorwegen en IJsland betreft, houdt deze
richtlijn een ontwikkeling in van de bepalingen van het Schengenacquis als
bedoeld in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek
IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen
worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het
Schengenacquis[38]. (78)
Wat Zwitserland betreft, houdt deze richtlijn een
ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de
Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse
Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de
uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[39]. (79)
Wat Liechtenstein betreft, houdt deze verordening
een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in het
Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse
Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het
Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de
Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop
Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling
van het Schengenacquis[40]. (80)
Deze richtlijn eerbiedigt de grondrechten en neemt
de beginselen in acht die erkend zijn in het Handvest van de grondrechten van
de Europese Unie, zoals verankerd in het Verdrag, met name het recht op
eerbiediging van het privéleven en het familie- en gezinsleven, het recht op
bescherming van persoonsgegevens en het recht op een doeltreffende voorziening
in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van deze rechten zijn in
overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk
zijn om te beantwoorden aan door de Unie erkende doelstellingen van algemeen
belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen. (81)
Bij de Gezamenlijke politieke verklaring van 28
september 2011 van de lidstaten en de Commissie over toelichtende stukken
hebben de lidstaten zich ertoe verbonden om in verantwoorde gevallen de kennisgeving
van omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin
het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen
van de nationale omzettingsinstrumenten wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van
dergelijke toelichtende documenten verantwoord. (82)
Deze richtlijn dient de lidstaten niet te beletten
om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake
informatie, toegang, rectificatie, uitwissing en beperking van hun
persoonsgegevens die worden verwerkt in het kader van strafrechtelijke
procedures, alsmede eventuele beperkingen daarop, in het nationale
strafprocesrecht op te nemen, HEBBEN DE VOLGENDE RICHTLIJN
VASTGESTELD: HOOFDSTUK I ALGEMENE BEPALINGEN Artikel 1
Onderwerp en doelstellingen 1. Bij
deze richtlijn worden bepalingen vastgesteld betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens door
bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing
en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. 2. Overeenkomstig
deze richtlijn hebben de lidstaten de verplichting: a) de grondrechten en fundamentele vrijheden van natuurlijke personen en
met name hun recht op bescherming van persoonsgegevens te beschermen; en b) erop toe te zien dat de uitwisseling van persoonsgegevens binnen de
Unie door bevoegde autoriteiten niet wordt beperkt of verboden om redenen die
betrekking hebben op de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens. Artikel 2
Toepassingsgebied 1. Deze
richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde
autoriteiten met het oog op de in artikel 1, lid 1, bedoelde doeleinden. 2. Deze
richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde,
alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een
bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 3. Deze
richtlijn is niet van toepassing op de verwerking van persoonsgegevens: a) in het kader van activiteiten die buiten de werkingssfeer van het
EU-recht vallen, met name activiteiten op het gebied van de nationale
veiligheid; b) door instellingen, organen en instanties van de Unie. Artikel 3
Definities Voor de toepassing van deze richtlijn wordt
verstaan onder: (1)
“betrokkene”: een geïdentificeerde natuurlijke
persoon of een natuurlijke persoon die direct of indirect, met behulp van
middelen waarvan redelijkerwijs te verwachten is dat zij door de voor de
verwerking verantwoordelijke dan wel door een andere natuurlijke persoon of
rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de
hand van een identificatienummer, gegevens over de verblijfplaats, een
online-identificatiemiddel of een of meer elementen die kenmerkend zijn voor
zijn lichamelijke, fysiologische, genetische, geestelijke, economische,
culturele of sociale identiteit; (2)
“persoonsgegevens”: iedere informatie betreffende
een betrokkene; (3)
“verwerking”: elke bewerking of elk geheel van
bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde
procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel
van doorzending, verspreiding of enigerlei andere wijze van
terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede
het beperken, wissen of vernietigen van gegevens; (4)
“beperken van de verwerking”: het markeren van
opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te
beperken; (5)
“bestand”: elk gestructureerd geheel van
persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of
dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een
functioneel of geografisch bepaalde wijze; (6)
“voor de verwerking verantwoordelijke”: een
bevoegde overheidsinstantie die, alleen of tezamen met anderen, het doel van en
de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en
middelen voor de verwerking worden vastgesteld bij wetgeving van de EU of van
de lidstaten, kan in de wetgeving van de EU of de lidstaat worden bepaald wie
de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt
aangewezen; (7)
“verwerker”: een natuurlijke persoon of
rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die of dat ten
behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt; (8)
“ontvanger”: een natuurlijke persoon of
rechtspersoon, overheidsinstantie, dienst of enig ander lichaam aan wie,
respectievelijk waaraan de persoonsgegevens worden verstrekt; (9)
“inbreuk in verband met persoonsgegevens”: een
inbreuk op de beveiliging, met als gevolg de vernietiging, het verlies, de
wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
verstrekte, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk,
hetzij onrechtmatig; (10)
“genetische gegevens”: gegevens, van welke aard
ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen
kenmerken van een persoon; (11)
“biometrische gegevens”: gegevens met betrekking
tot de lichamelijke, fysiologische of gedragskenmerken van een persoon op grond
waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals
afbeeldingen van het gezicht of vingerafdrukken; (12)
“gezondheidsgegevens”: informatie over de
lichamelijke of geestelijke gezondheid van een persoon, of over de verlening
van een gezondheidsdienst aan een persoon; (13)
“kind”: een persoon die jonger is dan achttien
jaar; (14)
“bevoegde autoriteiten”: elke overheidsinstantie
die bevoegd is ten aanzien van de voorkoming, het onderzoek, de opsporing of de
vervolging van strafbare feiten of de tenuitvoerlegging van straffen; (15)
“toezichthoudende autoriteit”: een door een
lidstaat overeenkomstig artikel 39 ingestelde overheidsinstantie. HOOFDSTUK II BEGINSELEN Artikel 4
Beginselen inzake de verwerking van persoonsgegevens De lidstaten
bepalen dat persoonsgegevens: a) eerlijk en rechtmatig moeten worden
verwerkt; b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden moeten worden verkregen en vervolgens niet op een met die doeleinden
onverenigbare wijze mogen worden verwerkt; c) adequaat, ter zake dienend en niet
excessief moeten zijn, in verhouding tot het doel waarvoor zij worden verwerkt; d) juist moeten zijn en zo nodig moeten worden geactualiseerd; alle redelijke maatregelen dienen te worden
genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij
worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren; e) moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen
te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking
van de doeleinden waarvoor de persoonsgegevens worden verwerkt; f) moeten worden verwerkt onder de
verantwoordelijkheid en aansprakelijkheid van de voor de verwerking
verantwoordelijke, die toeziet op de naleving van de krachtens deze richtlijn
vastgestelde bepalingen. Artikel 5
Onderscheid tussen verschillende categorieën betrokkenen 1. De lidstaten bepalen dat de
voor de verwerking verantwoordelijke voor zover mogelijk een onderscheid maakt
tussen persoonsgegevens betreffende verschillende categorieën betrokkenen,
zoals: a) personen ten aanzien van wie gegronde
vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan
plegen; b) personen die veroordeeld zijn voor een
strafbaar feit; c) slachtoffers van een strafbaar feit, of
personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij
slachtoffer zouden kunnen worden van een strafbaar feit; d) personen die als derden bij een strafbaar
feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in
een onderzoek naar strafbare feiten of een daaruit voortvloeiende
strafprocedure, personen die informatie kunnen verstrekken over strafbare
feiten, of personen die contact hebben of banden onderhouden met een van de
personen vermeld onder a) of b); en e) personen die onder geen van de
bovengenoemde categorieën vallen. Artikel 6
Verschillende graden van juistheid en betrouwbaarheid van persoonsgegevens 1. De
lidstaten zien erop toe dat de verschillende categorieën persoonsgegevens die
worden verwerkt, voor zover mogelijk worden onderscheiden naar de graad van
juistheid en betrouwbaarheid. 2. De
lidstaten zien erop toe dat persoonsgegevens die op feiten zijn gebaseerd, voor
zover mogelijk, worden onderscheiden van persoonsgegevens die op een
persoonlijke oordeel zijn gebaseerd. Artikel 7
Rechtmatigheid van de verwerking De lidstaten bepalen dat het verwerken van
persoonlijke gegevens slechts rechtmatig is wanneer en voor zover die
verwerking noodzakelijk is: a) voor het uitvoeren van een taak door een bevoegde autoriteit, op grond
van een wettelijke bepaling, voor een van de in artikel 1, lid 1, genoemde
doeleinden; of b) om een wettelijke verplichting na te komen waaraan de voor de
verwerking verantwoordelijke is onderworpen; of c) om een vitaal belang van de betrokkene of een andere persoon te
beschermen; of d) om een onmiddellijke en ernstige bedreiging van de openbare veiligheid
te voorkomen. Artikel 8
Verwerking van bijzondere categorieën van persoonsgegevens 1. De
lidstaten verbieden de verwerking van persoonsgegevens waaruit ras of etnische
afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke
overtuiging of lidmaatschap van een vakvereniging blijkt, van genetische
gegevens en van gegevens die de gezondheid of het seksuele leven betreffen. 2. Lid 1 is niet van toepassing wanneer: a) de verwerking is toegestaan op grond van wetgeving die passende
waarborgen biedt; of b) de verwerking noodzakelijk is ter
bescherming van een vitaal belang van de betrokkene of een andere persoon; of c) de verwerking betrekking heeft op
gegevens die kennelijk door de betrokkene openbaar zijn gemaakt. Artikel 9
Maatregelen op basis van profilering en
geautomatiseerde verwerking 1. De
lidstaten bepalen dat maatregelen die voor de betrokkene een nadelig
rechtsgevolg hebben of voor hem wezenlijke consequenties hebben, en die
uitsluitend berusten op geautomatiseerde verwerking van persoonsgegevens die
bedoeld is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, worden
verboden, tenzij zulks is toegestaan op grond van wetgeving die ook maatregelen
bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene. 2. De
geautomatiseerde gegevensverwerking die bedoeld is om bepaalde aspecten van de
persoonlijkheid van de betrokkene te beoordelen, wordt niet uitsluitend
gebaseerd op de in artikel 8 genoemde speciale categorieën persoonsgegevens. HOOFDSTUK III RECHTEN VAN DE BETROKKENE Artikel 10
Modaliteiten voor de uitoefening van de rechten van de
betrokkene 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke
maatregelen neemt om een transparant en eenvoudig toegankelijk beleid te voeren
met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de
rechten van de betrokkene. 2. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene
alle informatie en mededelingen over de verwerking van persoonsgegevens
verstrekt in begrijpelijke vorm en in duidelijke en eenvoudige taal. 3. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke
maatregelen neemt om procedures vast te stellen voor het verstrekken van de in
artikel 11 bedoelde informatie en voor de uitoefening van de in de artikelen 12
tot en met 17 genoemde rechten van de betrokkene. 4. De lidstaten bepalen dat de
voor de verwerking verantwoordelijke de betrokkene zonder onnodige vertraging
inlicht over het gevolg dat aan zijn verzoek is gegeven. 5. De lidstaten bepalen dat alle
informatie die de voor de verwerking verantwoordelijke verstrekt en alle
maatregelen die hij neemt naar aanleiding van een verzoek als bedoeld in de
leden 3 en 4, kosteloos dienen te zijn. Wanneer verzoeken vexatoir zijn,
bijvoorbeeld door hun repetitieve karakter of hun omvang, mag de voor de
verwerking verantwoordelijke een vergoeding voor het verstrekken van de
informatie of het verrichten van de gevraagde maatregel in rekening brengen,
dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast
met betrekking tot het vexatoire karakter van het verzoek op de voor de
verwerking verantwoordelijke. Artikel 11
Informatieverstrekking aan de betrokkene 1. De
lidstaten zien erop toe dat wanneer persoonsgegevens worden verzameld, de voor
de verwerking verantwoordelijke alle passende maatregelen treft om de
betrokkene ten minste de hierna volgende informatie de verstrekken: a) de identiteit en de contactgegevens van de voor de verwerking
verantwoordelijke en de functionaris voor gegevensbescherming; b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd; c) de periode gedurende welke de persoonsgegevens worden opgeslagen; d) het bestaan van het recht om van de voor de verwerking
verantwoordelijke toegang tot en rectificatie of wissing van de persoonsgegevens
betreffende de betrokkene of beperking van de verwerking van die gegevens te
verlangen; e) het bestaan van het recht om een klacht in te dienen bij de in artikel
39 bedoelde toezichthoudende autoriteit en de contactgegevens van de
toezichthoudende autoriteit; f) de ontvangers of categorieën ontvangers van de persoonsgegevens, ook
die in derde landen of internationale organisaties; g) alle verdere informatie voor zover die nodig is om tegenover de
betrokkene een eerlijke verwerking te waarborgen, met inachtneming van de
bijzondere omstandigheden waaronder de gegevens worden verwerkt. 2. Wanneer
de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de
verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde
informatie, mee of de verstrekking van persoonsgegevens verplicht is dan wel op
basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer
wordt nagelaten deze gegevens te verstrekken. 3. De
voor de verwerking verantwoordelijke verstrekt de in lid 1 genoemde informatie: a) op het tijdstip waarop de persoonsgegevens van de betrokkene worden
verkregen; of b) indien de persoonsgegevens niet bij de betrokkene worden verzameld, op
het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling,
met inachtneming van de specifieke omstandigheden waaronder de gegevens worden
verwerkt. 4. De
lidstaten kunnen wettelijke maatregelen treffen om de informatieverstrekking
aan de betrokkene uit te stellen, te beperken of achterwege te laten, voor
zover en zolang een dergelijke gehele of gedeeltelijke beperking in een
democratische samenleving, met inachtneming van de gerechtvaardigde belangen
van de persoon in kwestie, een noodzakelijke en evenredige maatregel is: a) om belemmering van officiële of gerechtelijke onderzoeken of procedures
te voorkomen; b) om te voorkomen dat afbreuk wordt gedaan aan de preventie, de
opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de
tenuitvoerlegging van straffen; c) ter bescherming van de openbare veiligheid; d) ter bescherming van de nationale veiligheid; e) ter bescherming van de rechten en vrijheden van anderen. 5. De
lidstaten kunnen categorieën gegevensverwerking vaststellen die geheel of
gedeeltelijk onder de in lid 4 genoemde uitzonderingsbepalingen vallen. Artikel 12
Recht van toegang van de betrokkene 1. De
lidstaten zien erop toe dat de betrokkene het recht heeft om van de voor de
verwerking verantwoordelijke uitsluitsel te verkrijgen omtrent het al dan niet
plaatsvinden van verwerking van hem betreffende gegevens. Wanneer verwerkingen van dergelijke persoonsgegevens plaatsvinden,
verstrekt de voor de verwerking verantwoordelijke de volgende informatie: a) de doeleinden van de verwerking; b) de betrokken gegevenscategorieën; c) de ontvangers of categorieën ontvangers aan wie de gegevens zijn
verstrekt, met name ontvangers in derde landen; d) de periode gedurende welke de persoonsgegevens worden opgeslagen; e) het bestaan van het recht om van de voor de verwerking
verantwoordelijke rectificatie of wissing van de persoonsgegevens betreffende
de betrokkene of beperking van de verwerking van die gegevens te verlangen; f) het recht om een klacht in te dienen bij de toezichthoudende autoriteit
alsmede de contactgegevens van de toezichthoudende autoriteit; g) de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare
informatie over de bron van die gegevens; 2. De
lidstaten voorzien in het recht van de betrokkene om van de voor de verwerking
verantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden
verwerkt. Artikel 13
Beperking van het recht van toegang 1. De
lidstaten kunnen wettelijke maatregelen treffen om het recht van toegang van de
betrokkene geheel of gedeeltelijk te beperken, voor zover een dergelijke gehele
of gedeeltelijke beperking in een democratische samenleving, met inachtneming
van de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke
en evenredige maatregel is: a) om belemmering van officiële of gerechtelijke onderzoeken of procedures
te voorkomen; b) om te voorkomen dat afbreuk wordt gedaan aan de preventie, de
opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de
tenuitvoerlegging van straffen; c) ter bescherming van de openbare veiligheid; d) ter bescherming van de nationale veiligheid; e) ter bescherming van de rechten en vrijheden van anderen. 2. De
lidstaten kunnen bij wet categorieën gegevensverwerking vaststellen die geheel
of gedeeltelijk onder de in lid 1 genoemde uitzonderingen vallen. 3. De
lidstaten bepalen dat, in de gevallen bedoeld in de leden 1 en 2, de voor de
verwerking verantwoordelijke de betrokkene schriftelijk de weigering of
beperking van toegang en de redenen voor de weigering meedeelt en hem inlicht
over de mogelijkheden om een klacht in te dienen bij de toezichthoudende
autoriteit en beroep bij de rechter in te stellen. De inlichtingen over de feitelijke of juridische redenen die aan het
besluit ten grondslag liggen, kunnen achterwege blijven indien de verstrekking
van die informatie een van de in lid 1 genoemde doeleinden in gevaar brengt. 4. De
lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de redenen
documenteert voor het achterwege laten van de verstrekking van de feitelijke of
juridische redenen die aan het besluit ten grondslag liggen. Artikel 14
Modaliteiten voor de uitoefening van het recht van toegang 1. De
lidstaten voorzien in het recht van de betrokkene om te verzoeken dat de
toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert, met
name in de gevallen bedoeld in artikel 13. 2. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene
inlicht over zijn recht om te verzoeken om de tussenkomst van de
toezichthoudende autoriteit als bedoeld in lid 1. 3. Indien
het in lid 1 bedoelde recht wordt uitgeoefend, deelt de toezichthoudende
autoriteit de betrokkene ten minste mee dat alle noodzakelijke verificaties
door de toezichthoudende autoriteit zijn verricht en licht zij hem in over het
resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft. Artikel 15
Recht van rectificatie 1. De
lidstaten voorzien in het recht van de betrokkene op rectificatie van hem
betreffende onjuiste persoonsgegevens door de voor verwerking
verantwoordelijke. De betrokkene
heeft recht op completering van onvolledige persoonlijke gegevens, met name
door middel van een rectificerende verklaring. 2. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene
schriftelijk de weigering van rectificatie en de redenen van de weigering
meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de
toezichthoudende autoriteit en beroep bij de rechter in te stellen. Artikel 16
Recht om gegevens te laten wissen 1. De
lidstaten voorzien in het recht van de betrokkene om hem betreffende
persoonsgegevens door de voor de verwerking verantwoordelijke te laten wissen,
indien de verwerking niet voldoet aan de bepalingen die krachtens artikel 4,
onder a) tot en met e), en de artikelen 7 en 8 van deze richtlijn zijn
vastgesteld. 2. De
voor de verwerking verantwoordelijke wist de gegevens onverwijld. 3. De
voor verwerking verantwoordelijke markeert de persoonsgegevens in plaats van
deze te wissen wanneer: a) de juistheid ervan door de betrokkene wordt betwist, gedurende een
periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid
van de gegevens te verifiëren; b) de persoonsgegevens moeten worden bewaard om als bewijs te dienen; c) de betrokkene zich tegen het wissen verzet en in de plaats daarvan om
beperking van het gebruik ervan verzoekt. 4. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene
schriftelijk de weigering van wissing of markering van de gegevens en de
redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een
klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter
in te stellen. Artikel 17
Rechten van de betrokkene bij strafrechtelijke
onderzoeken en procedures De lidstaten kunnen bepalen dat, indien de
persoonsgegevens zijn vervat in een rechterlijke beslissing of dossier en
worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures,
het recht van informatie, toegang, rectificatie, wissing en beperking van de
verwerking, zoals bedoeld in de artikelen 11 tot en met 16, wordt uitgeoefend
overeenkomstig het nationale strafprocesrecht. HOOFDSTUK IV
VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER AFDELING 1
ALGEMENE
VERPLICHTINGEN Artikel 18
Verantwoordelijkheden van de voor de verwerking
verantwoordelijke 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke beleid vaststelt
en passende maatregelen uitvoert om ervoor te zorgen dat de verwerking van
persoonsgegevens in overeenstemming met de krachtens deze richtlijn
vastgestelde bepalingen wordt uitgevoerd. 2. De in
lid 1 bedoelde maatregelen betreffen met name: a) het bewaren van documentatie overeenkomstig artikel 23; b) het voldoen aan de verplichting inzake voorafgaand overleg
overeenkomstig artikel 26; c) het voldoen aan de in artikel 27 vastgestelde eisen inzake
gegevensbeveiliging; d) het aanstellen van een functionaris voor gegevensbescherming
overeenkomstig artikel 30. 3. De voor de verwerking
verantwoordelijke voorziet in mechanismen om ervoor te zorgen dat de
effectiviteit van de in lid 1 bedoelde maatregelen wordt getoetst. Indien
evenredig met het doel, wordt deze toetsing uitgevoerd door onafhankelijke
interne of externe controleurs. Artikel 19
Privacy by design en by default 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke, met inachtneming
van de stand van de techniek en de uitvoeringskosten, zodanig passende
technische en organisatorische maatregelen en procedures ten uitvoer legt dat
de verwerking aan de voorwaarden van de krachtens deze richtlijn vastgestelde
bepalingen voldoet en de bescherming van de rechten van de betrokkene
waarborgt. 2. De
voor de verwerking verantwoordelijke voorziet in mechanismen om te waarborgen
dat, tenzij uitdrukkelijk anders wordt bepaald, slechts die persoonsgegevens
worden verwerkt die voor de doeleinden van de verwerking noodzakelijk zijn. Artikel 20
Gezamenlijk voor de verwerking verantwoordelijken De lidstaten bepalen dat wanneer een voor de
verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking
van persoonsgegevens samen met anderen vaststelt, de gezamenlijk voor de
verwerking verantwoordelijken door middel van een onderlinge regeling moeten
vaststellen wat hun respectieve verantwoordelijkheden zijn voor de naleving van
de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking
tot de procedures en mechanismen voor de uitoefening van de rechten van de
betrokkene. Artikel 21
Verwerker 1. De
lidstaten bepalen dat wanneer een verwerking namens een voor de verwerking verantwoordelijke
wordt uitgevoerd, de voor de verwerking verantwoordelijke een verwerker kiest
die voldoende waarborgen biedt voor de tenuitvoerlegging van passende
technische en organisatorische maatregelen en procedures op dusdanige wijze dat
de verwerking aan de vereisten van de krachtens deze richtlijn vastgestelde
bepalingen voldoet en de bescherming van de rechten van de betrokkene
waarborgt. 2. De
lidstaten bepalen dat de uitvoering van verwerkingen door een verwerker wordt
geregeld in een rechtshandeling die de verwerker ten opzichte van de voor de
verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat de
verwerker slechts handelt in opdracht van de voor de verwerking
verantwoordelijke, met name wanneer de doorgifte van gegevens is verboden. 3. Wanneer
een verwerker persoonsgegevens verwerkt anders dan in opdracht van de voor de
verwerking verantwoordelijke, wordt de verwerker met betrekking tot die
verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de
in artikel 20 neergelegde regels voor gemeenschappelijk voor de verwerking
verantwoordelijken gelden. Artikel 22
Verwerking onder gezag van de voor de verwerking
verantwoordelijke en de verwerker De lidstaten bepalen dat de verwerker en
eenieder die handelt onder het gezag van de voor de verwerking
verantwoordelijke of van de verwerker en toegang heeft tot de persoonsgegevens,
deze slechts mag verwerken in opdracht van de voor de verwerking
verantwoordelijke, of wanneer hij op grond van de EU-wetgeving of de nationale
wetgeving tot de verwerking verplicht is. Artikel 23
Documentering 1. De
lidstaten bepalen dat iedere voor de verwerking verantwoordelijke en iedere
verwerker documentatie bijhoudt inzake alle verwerkingssystemen en ‑procedures
die onder hun verantwoordelijkheid vallen. 2. In de
documentatie worden ten minste de volgende gegevens opgenomen: a) de naam en de contactgegevens van de voor de verwerking
verantwoordelijke en de eventuele gemeenschappelijk voor de verwerking
verantwoordelijke of verwerker; b) de doeleinden van de verwerking; c) de ontvangers of categorieën ontvangers van de persoonsgegevens; d) het feit dat gegevens zijn doorgegeven naar een derde land of een
internationale organisatie, met vermelding van de naam van dat derde land of
internationale organisatie. 3. De
voor de verwerking verantwoordelijke en de verwerker stellen de documentatie
desgevraagd ter beschikking van de toezichthoudende autoriteit. Artikel 24
Bijhouden van registratie 1. De lidstaten zien erop toe
dat een registratie wordt bijgehouden van ten minste de volgende
verwerkingsactiviteiten: verzameling, wijziging, raadpleging, verstrekking,
combinatie of wissing. Bij de registratie van raadpleging en verstrekking wordt
met name het doel, de datum en het tijdstip van die handeling aangegeven en
indien mogelijk de identiteit van de persoon die persoonsgegevens heeft
geraadpleegd of verstrekt. 2. De registratie wordt
uitsluitend gebruikt om te controleren of de gegevensverwerking rechtmatig is,
om interne controle uit te oefenen en om de integriteit en de beveiliging van
de gegevens te waarborgen. Artikel 25
Verlening van medewerking aan de toezichthoudende
autoriteit 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker
desgevraagd medewerking verlenen aan de toezichthoudende autoriteit bij de
uitoefening van haar taken, met name door haar alle informatie te verstrekken
die zij voor de vervulling van haar taken nodig heeft. 2. Wanneer
de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 46,
onder a) en b), uitoefent, antwoorden de voor de verwerking verantwoordelijke
en de verwerker de toezichthoudende autoriteit binnen een redelijke termijn.
Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van
de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten. Artikel 26
Voorafgaande raadpleging van de toezichthoudende
autoriteit 1. De
lidstaten zien erop toe dat de voor de verwerking verantwoordelijke of de
verwerker de toezichthoudende autoriteit raadpleegt voordat persoonsgegevens,
die in een nieuw bestand zullen worden opgenomen, worden verwerkt, wanneer: a) bijzondere categorieën gegevens als bedoeld in artikel 8 worden
verwerkt; b) de aard van de verwerking, in het bijzonder met gebruikmaking van
nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s
met zich meebrengt voor de grondrechten en fundamentele vrijheden van de
betrokkene, in het bijzonder zijn recht op bescherming van persoonsgegevens. 2. De
lidstaten kunnen bepalen dat de toezichthoudende autoriteit een lijst opstelt
van verwerkingen waarvoor overeenkomstig lid 1 voorafgaande raadpleging moet
plaatsvinden. AFDELING 2
GEGEVENSBEVEILIGING Artikel 27
Beveiliging van de verwerking 1. De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de
verwerker passende technische en organisatorische maatregelen treffen om, gelet
op de risico’s die de verwerking en de aard van de te beschermen gegevens met
zich meebrengen, een passend beveiligingsniveau te waarborgen, waarbij rekening
wordt gehouden met de stand van de techniek en met de kosten van uitvoering van
de maatregelen. 2. Elke lidstaat bepaalt ten aanzien van de geautomatiseerde verwerking
van gegevens dat de voor de verwerking verantwoordelijke of de verwerker, na
beoordeling van de risico’s, maatregelen treft om: a) te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de
verwerking van persoonsgegevens (controle op de toegang tot de apparatuur); b) te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren,
wijzigen of verwijderen (controle op de gegevensdragers); c) te verhinderen dat onbevoegden gegevens invoeren of opgeslagen
persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole); d) te voorkomen dat onbevoegden de systemen voor geautomatiseerde
gegevensverwerking gebruiken met behulp van datatransmissieapparatuur
(gebruikerscontrole); e) ervoor te zorgen dat degenen die bevoegd zijn een systeem voor
geautomatiseerde gegevensverwerking te gebruiken, uitsluitend toegang hebben
tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de
toegang tot de gegevens); f) ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke
organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld
met behulp van datatransmissieapparatuur (transmissiecontrole); g) ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke
persoonsgegevens wanneer en door wie in een geautomatiseerd
gegevensverwerkingssysteem zijn ingevoerd (invoercontrole); h) te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren,
wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer
van gegevensdragers (vervoerscontrole); i) ervoor te zorgen dat de geïnstalleerde systemen in geval van storing
opnieuw ingezet kunnen worden (herstel); j) ervoor te zorgen dat de functies van het systeem werken, dat eventuele
functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen
persoonsgegevens niet door verkeerd functioneren van het systeem beschadigd
kunnen worden (integriteit). 3. De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in
de leden 1 en 2 vastgestelde vereisten voor verschillende situaties vast te
leggen, met name de normen voor versleuteling. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel
57, lid 2, bedoelde onderzoeksprocedure. Artikel 28
Melding van een inbreuk in verband met persoonsgegevens
aan de toezichthoudende autoriteit 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke in geval van een
inbreuk in verband met persoonsgegevens deze inbreuk zonder onnodige vertraging
meldt aan de toezichthoudende autoriteit, zo mogelijk niet later dan 24 uur
nadat hij ervan kennis heeft gekregen. Wanneer de melding niet binnen 24 uur plaatsvindt, doet de voor de
verwerking verantwoordelijke de melding vergezeld gaan van een motivering. 2. De
verwerker waarschuwt en informeert de voor de verwerking verantwoordelijke
onmiddellijk nadat hij kennis heeft gekregen van een inbreuk in verband met
persoonsgegevens. 3. De in
lid 1 bedoelde melding bevat ten minste: a) een omschrijving van de aard van de inbreuk in verband met
persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen
en de categorieën en aantallen gegevensrecords; b) de vermelding van de identiteit en de contactgegevens van de in artikel
30 bedoelde functionaris voor gegevensbescherming of een ander contactpunt waar
meer informatie kan worden verkregen; c) aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de
inbreuk in verband met persoonsgegevens te verminderen; d) een omschrijving van de mogelijke gevolgen van de inbreuk in verband
met persoonsgegevens; e) een omschrijving van de maatregelen die de voor de verwerking
verantwoordelijke voorstelt of heeft genomen om de inbreuk in verband met
persoonsgegevens aan te pakken. 4. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke alle inbreuken op
persoonsgegevens documenteert, met inbegrip van de feiten omtrent de inbreuk,
de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documentatie moet de toezichthoudende
autoriteit in staat stellen om de naleving van dit artikel te controleren. De documentatie omvat uitsluitend de voor dat
doel noodzakelijke informatie. 5. De
Commissie is bevoegd overeenkomstig artikel 56 gedelegeerde handelingen vast te
stellen met het oog op de nadere invulling van de criteria en de vereisten voor
de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens
en voor de specifieke omstandigheden waarin een voor de verwerking
verantwoordelijke of een verwerker verplicht is de inbreuk in verband met
persoonsgegevens te melden. 6. De
Commissie kan het standaardformaat vaststellen voor deze melding aan de
toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke
procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documentatie,
met inbegrip van de termijnen voor het wissen van de daarin opgenomen
informatie. De betrokken
uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2,
bedoelde onderzoeksprocedure. Artikel 29
Melding van een inbreuk in verband met persoonsgegevens
aan de betrokkene 1. De
lidstaten bepalen dat wanneer het waarschijnlijk is dat de inbreuk in verband
met persoonsgegevens negatieve gevolgen voor de bescherming van de
persoonsgegevens of de persoonlijke levenssfeer van de betrokkene heeft, de
voor de verwerking verantwoordelijke, na de in artikel 28 bedoelde melding, de
betrokkene zonder onnodige vertraging over de inbreuk in verband met
persoonsgegevens inlicht. 2. De in
lid 1 bedoelde mededeling aan de betrokkene bevat een omschrijving van de aard
van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 28,
lid 3, onder b) en c), voorgeschreven informatie en aanbevelingen. 3. Melding
van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet
vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de
toezichthoudende autoriteit aantoont dat hij passende technische
beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast
op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens
betrekking heeft. Dergelijke
technologische beschermingsmaatregelen moeten de gegevens onbegrijpelijk maken
voor eenieder die geen recht op toegang daartoe heeft. 4. De
mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege
gelaten om de redenen bedoeld in artikel 11, lid 4. AFDELING 3
FUNCTIONARIS
VOOR GEGEVENSBESCHERMING Artikel 30
Aanstelling van de functionaris voor
gegevensbescherming 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker
een functionaris voor gegevensbescherming aanwijzen. 2. De
functionaris voor gegevensbescherming wordt aangewezen op grond van zijn
professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het
gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn
vermogen de in artikel 32 bedoelde taken te vervullen. 3. De
functionaris voor gegevensbescherming kan worden aangewezen voor meer dan een
entiteit, rekening houdende met de organisatiestructuur van de bevoegde
autoriteit. Artikel 31
Positie van de functionaris voor gegevensbescherming 1. De
lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker
ervoor zorgen dat de functionaris voor gegevensbescherming tijdig en naar
behoren wordt betrokken bij alle aangelegenheden die betrekking hebben op de
bescherming van persoonsgegevens. 2. De
voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de
functionaris voor gegevensbescherming de middelen krijgt om zijn plichten en
taken uit hoofde van artikel 32 doeltreffend en onafhankelijk te vervullen en
geen instructies ontvangt met betrekking tot de uitoefening van de taak. Artikel 32
Taken van de functionaris voor gegevensbescherming De lidstaten bepalen dat de voor de verwerking
verantwoordelijke of de verwerker de functionaris voor gegevensbescherming ten
minste de volgende taken opdragen: a) het informeren en adviseren van de voor de verwerking verantwoordelijke
en de verwerker over hun verplichtingen op grond van deze richtlijn en het
documenteren van deze activiteit en de ontvangen antwoorden; b) het toezicht houden op de uitvoering en toepassing van het beleid met
betrekking tot de bescherming van persoonsgegevens, met inbegrip van de
toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking
betrokken personeel en de betreffende audits; c) het toezicht houden op de uitvoering en de toepassing van de krachtens
deze richtlijn vastgestelde bepalingen, met name met betrekking tot de
vereisten inzake privacy by design, privacy by default en gegevensbeveiliging
en met betrekking tot het informeren van betrokkenen en hun verzoeken in het
kader van de uitoefening van hun rechten uit hoofde van de krachtens deze
richtlijn vastgestelde bepalingen; d) ervoor zorgen dat de in artikel 23 bedoelde documentatie wordt
bijgehouden; e) het toezicht houden op de documentering en melding van inbreuken op
persoonsgegevens overeenkomstig de artikelen 28 en 29; f) het toezicht houden op het verzoek aan de toezichthoudende autoriteit
om voorafgaande raadpleging, voor zover daartoe op grond van artikel 26 een
verplichting bestaat; g) het nagaan van het gevolg dat aan verzoeken van de toezichthoudende
autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de
functionaris voor gegevensbescherming, samenwerken met de toezichthoudende
autoriteit op diens verzoek of op eigen initiatief van de functionaris voor
gegevensbescherming; h) het optreden als contactpunt voor de toezichthoudende autoriteit voor
aangelegenheden in verband met de verwerking en het, in voorkomend geval, op
eigen initiatief van de functionaris voor gegevensbewerking raadplegen van de
toezichthoudende autoriteit. HOOFDSTUK V
DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF
INTERNATIONALE ORGANISATIES Artikel 33
Algemene beginselen inzake doorgiften van
persoonsgegevens De
lidstaten bepalen dat de bevoegde autoriteiten persoonsgegevens die aan een
verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een
derde land of naar een internationale organisatie te worden verwerkt, waaronder
verdere doorgiften naar een ander derde land of een andere internationale
organisatie, slechts mogen doorgeven indien: a) de doorgifte
noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de
vervolging van strafbare feiten en de tenuitvoerlegging van straffen; en b) de in dit hoofdstuk neergelegde
voorwaarden door de voor de verwerking verantwoordelijke en de verwerker worden
nageleefd. Artikel 34
Doorgiften op basis van een besluit waarbij het
beschermingsniveau passend wordt verklaard 1. De
lidstaten bepalen dat een doorgifte van persoonsgegevens naar een derde land of
een internationale organisatie kan plaatsvinden, wanneer de Commissie
overeenkomstig artikel 41 van Verordening (EU) ..../2012 of
overeenkomstig lid 3 van dit artikel heeft besloten dat het betrokken
derde land, of een gebied of een verwerkingssector in dat derde land, of de
betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere
toestemming nodig. Wanneer er
geen overeenkomstig artikel 41 van Verordening (EU) ..../2012
vastgesteld besluit bestaat, beoordeelt de Commissie of er een passend
beschermingsniveau is, waarbij zij rekening houdt met de volgende aspecten: a) de rechtsstaat, de relevante geldende
algemene en sectorale wetgeving, onder meer inzake openbare veiligheid,
defensie, nationale veiligheid en strafrecht, de veiligheidsmaatregelen die in
dat land of door die internationale organisatie worden nageleefd, alsook het bestaan van effectieve en afdwingbare
rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief
beroep of beroep in rechte in te stellen, met name voor in de Unie wonende
betrokkenen wier persoonsgegevens worden doorgegeven; b) het bestaan en de effectieve werking van
een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land
of de betrokken internationale organisatie, die belast zijn met het toezicht op
de naleving van de gegevensbeschermingsregels, het bijstaan en het adviseren
van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de
toezichthoudende autoriteiten van de Unie en de lidstaten;
en c) de internationale verbintenissen die het
betrokken derde land of de betrokken internationale organisatie is aangegaan. 3. De
Commissie kan binnen de werkingssfeer van deze richtlijn bij besluit
vaststellen dat een derde land, of een gebied of een verwerkingssector in dat
derde land, of een internationale organisatie een passend beschermingsniveau in
de zin van lid 2 waarborgt. Die
uitvoeringshandelingen worden vastgesteld volgens de in artikel 57,
lid 2, bedoelde onderzoeksprocedure. 4. In de
uitvoeringshandeling worden het geografische en het sectorale toepassingsgebied
vastgelegd en, in voorkomend geval, de in lid 2, onder b), genoemde
toezichthoudende autoriteit vermeld. 5. De
Commissie kan binnen de werkingssfeer van deze richtlijn bij besluit
vaststellen dat een derde land, of een gebied of een verwerkingssector in dat
derde land, of een internationale organisatie geen passend beschermingsniveau
in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante
algemene en sectorale wetgeving die in het betrokken derde land of de betrokken
internationale organisatie geldt, geen effectieve en afdwingbare rechten
waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of
beroep in rechte in te stellen, met name voor betrokkenen wier persoonsgegevens
worden doorgegeven. Die
uitvoeringshandelingen worden vastgesteld volgens de in artikel 57,
lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden
voor het recht van natuurlijke personen op bescherming van hun
persoonsgegevens, volgens de in artikel 57, lid 3, bedoelde
procedure. 6. De
lidstaten zien erop toe dat wanneer de Commissie overeenkomstig lid 5 een
besluit vaststelt, alle doorgiften van persoonsgegevens naar het betrokken
derde land, of een gebied of een verwerkingssector in dat derde land, of de
betrokken internationale organisatie worden verboden; dit besluit laat de
doorgiften op grond van artikel 35, lid 1, of overeenkomstig artikel 36
onverlet. De Commissie pleegt ten
gepaste tijde overleg met het derde land of de internationale organisatie ter
verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig
lid 5 is vastgesteld. 7. De
Commissie maakt in het Publicatieblad van de Europese Unie een lijst
bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en
internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al
dan niet een passend beschermingsniveau gewaarborgd is. 8. De Commissie ziet toe op de
toepassing van de in de leden 3 en 5 bedoelde uitvoeringshandelingen. Artikel 35
Doorgiften op basis van passende garanties 1. Wanneer
de Commissie geen besluit overeenkomstig artikel 34 heeft vastgesteld,
bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een ontvanger
in een derde land of een internationale organisatie kan plaatsvinden indien: a) in een juridisch bindend instrument
passende garanties voor de bescherming van de persoonsgegevens zijn geboden; of b) de voor de verwerking verantwoordelijke
of de verwerker alle omstandigheden in verband met de doorgifte van
persoonsgegevens heeft beoordeeld en geconcludeerd heeft dat er passende
waarborgen bestaan voor de bescherming van persoonsgegevens. 1. Het
besluit tot doorgiften op grond van lid 1, onder b), moet worden
vastgesteld door naar behoren bevoegd personeel. Deze doorgiften moeten worden gedocumenteerd en de documentatie moet op
verzoek aan de toezichthoudende autoriteit worden verstrekt. Artikel 36
Afwijkingen In afwijking van de artikelen 34
en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een
derde land of een internationale organisatie slechts kan plaatsvinden op
voorwaarde dat: a) de doorgifte noodzakelijk is ter
bescherming van een vitaal belang van de betrokkene of van een andere persoon; of b) de doorgifte noodzakelijk is ter vrijwaring van de rechtmatige
belangen van de betrokkene, wanneer het recht van de lidstaat vanuit welke de
doorgifte van persoonsgegevens plaatsvindt, aldus bepaalt; of c) de doorgifte van de gegevens van wezenlijk belang is ter
voorkoming van een onmiddellijke en ernstige bedreiging voor de openbare
veiligheid van een lidstaat of een derde land; of d) de doorgifte in afzonderlijke
gevallen noodzakelijk is met het oog op de preventie, het onderzoek, de
opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van
straffen; of e) de doorgifte in afzonderlijke
gevallen noodzakelijk is voor de vaststelling, de uitoefening of de verdediging
van een recht in rechte in verband met de preventie, het onderzoek, de
opsporing of de vervolging van een specifiek strafbaar feit of de
tenuitvoerlegging van een specifieke straf. Artikel 37
Specifieke voorwaarden voor de doorgifte van
persoonsgegevens De lidstaten bepalen dat de voor de verwerking
verantwoordelijke de ontvanger van de persoonsgegevens inlicht over eventuele
beperkingen voor de verwerking en alle redelijke maatregelen neemt om te
waarborgen dat deze beperkingen worden nageleefd. Artikel 38
Internationale samenwerking voor de bescherming van
persoonsgegevens 1. Ten
aanzien van derde landen en internationale organisaties nemen de Commissie en
de lidstaten de nodige maatregelen om: a) procedures voor effectieve internationale
samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de
bescherming van persoonsgegevens wordt vergemakkelijkt; b) internationale wederzijdse bijstand te
bieden bij de handhaving van de wetgeving inzake de bescherming van
persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten,
bijstand in onderzoeken en uitwisseling van informatie, voor zover passende
garanties voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele
vrijheden bestaan; c) belanghebbenden bij besprekingen en
activiteiten te betrekken om de internationale samenwerking bij de handhaving
van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; d) het uitwisselen en het documenteren van
de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te
bevorderen. 2. Met
het oog op de toepassing van lid 1 neemt de Commissie de nodige
maatregelen om de betrekkingen met derde landen of internationale organisaties,
en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij
overeenkomstig artikel 34, lid 3, bij besluit heeft vastgesteld dat
zij een passend beschermingsniveau waarborgen. HOOFDSTUK VI
ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN AFDELING
1
ONAFHANKELIJKHEID Artikel 39
Toezichthoudende autoriteit 1. Elke
lidstaat bepaalt dat één of meer overheidsinstanties worden belast met het
toezicht op de toepassing van de krachtens deze richtlijn vastgestelde
bepalingen en een bijdrage leveren aan de uniforme toepassing ervan in de hele
Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke
personen in verband met de verwerking van hun persoonsgegevens te beschermen en
het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten
samen met elkaar en met de Commissie. 2. De
lidstaten kunnen bepalen dat de toezichthoudende autoriteiten die in de
lidstaten overeenkomstig Verordening (EU) …./2012 zijn opgericht,
verantwoordelijk zijn voor de taken van de toezichthoudende autoriteit die overeenkomstig
lid 1 van dit artikel moet worden aangewezen. 3. Wanneer er in een lidstaat meer
dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de
toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de
effectieve deelname van die autoriteiten aan het Europees Comité voor
gegevensbescherming. Artikel 40
Onafhankelijkheid 1. De
lidstaten zien erop toe dat de toezichthoudende autoriteit bij de uitvoering
van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk
optreedt. 2. Elke
lidstaat ziet erop toe dat de leden van de toezichthoudende autoriteit bij de
uitvoering van hun taken instructies vragen noch aanvaarden van wie dan ook. 3. De
leden van de toezichthoudende autoriteit onthouden zich van alle handelingen
die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn
geen andere al dan niet bezoldigde beroepswerkzaamheden. 4. Na afloop
van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij
het aanvaarden van functies en voordelen eerlijkheid en kiesheid. 5. Elke
lidstaat ziet erop toe dat de toezichthoudende autoriteit kan beschikken over
passende menselijke, technische en financiële middelen, en de lokalen en
infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in
het kader van wederzijdse bijstand, samenwerking en actieve deelname aan het
Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te
oefenen. 6 Elke
lidstaat ziet erop toe dat de toezichthoudende autoriteit haar eigen
personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit
worden benoemd en onder zijn leiding staan. 7. De lidstaten zien erop toe dat het
financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid
niet in het gedrang brengt. De
lidstaten zien erop toe dat de toezichthoudende autoriteit over een eigen
jaarlijkse begroting beschikt. De
begroting wordt openbaar gemaakt. Artikel 41
Algemene voorwaarden voor de leden van de
toezichthoudende autoriteit 1. De
lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door
het parlement ofwel door de regering van de betrokken lidstaat worden benoemd. 2. De
leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid
bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en
vaardigheden voor de uitvoering van hun taken. 3. De
ambtsvervulling eindigt bij het verstrijken van de ambtstermijn, bij ontslag of
bij ontslag ambtshalve, zulks met inachtneming van lid 5. 4. Een
lid kan door een bevoegde nationale gerechtelijke instantie van zijn ambt
worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan
komende voordelen vervallen worden verklaard, indien hij niet langer voldoet
aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is
tekortgeschoten. 5. Een lid waarvan de ambtstermijn
verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren totdat een nieuw
lid is benoemd. Artikel 42
Oprichting van de toezichthoudende autoriteit Elke
lidstaat bepaalt bij wet: a) de oprichting en het statuut van de
toezichthoudende autoriteit overeenkomstig de artikelen 39 en 40; b) de kwalificaties, de ervaring en de
vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende
autoriteit uit te voeren; c) de voorschriften en de procedures
voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de
voorschriften in verband met handelingen en activiteiten die met de taken van
het ambt onverenigbaar zijn; d) de ambtstermijn van de leden van de
toezichthoudende autoriteit, die minstens vier jaar bedraagt, behoudens voor de
eerste ambtstermijn na de inwerkingtreding van deze richtlijn, die korter kan
zijn; e) of de leden
van de toezichthoudende autoriteit opnieuw kunnen worden benoemd; f) het statuut en de
gemeenschappelijke voorwaarden in verband met de taken van de leden en de
personeelsleden van de toezichthoudende autoriteit; g) de voorschriften en de procedures voor de beëindiging van
de ambtsvervulling van de leden van de toezichthoudende autoriteit, onder meer
in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering
van hun taken of op ernstige wijze zijn tekortgeschoten. Artikel 43
Beroepsgeheim De lidstaten bepalen dat voor de leden en de personeelsleden van de
toezichthoudende autoriteit ten aanzien van de vertrouwelijke informatie die
hun bij de uitvoering van hun officiële taken ter kennis is gekomen, zowel
tijdens hun ambtstermijn als daarna het beroepsgeheim geldt. AFDELING
2
TAKEN
EN BEVOEGDHEDEN Artikel 44
Competentie 1. De
lidstaten bepalen dat elke toezichthoudende autoriteit op het grondgebied van
haar lidstaat de bevoegdheden uitoefent die haar krachtens deze richtlijn zijn
toegekend. 2. De
lidstaten bepalen dat de toezichthoudende autoriteit niet bevoegd is om toe te
zien op verwerkingen door gerechtelijke instanties in het kader van hun
gerechtelijke taken. Artikel 45
Taken 1. De
lidstaten bepalen dat de toezichthoudende autoriteit: a) toeziet op de toepassing van de krachtens
deze richtlijn vastgestelde bepalingen en de omzettingsmaatregelen daarvan, en
de toepassing waarborgt; b) kennis neemt van klachten van betrokkenen
of van een vereniging die overeenkomstig artikel 50 betrokkenen
vertegenwoordigt na daartoe naar behoren door hen te zijn gemachtigd, de
aangelegenheid onderzoekt in de mate waarin dat nodig is en de betrokkene of de
vereniging binnen een redelijke termijn in kennis stelt van de vooruitgang en
het resultaat van de klacht, met name of verder onderzoek of coördinatie met
een andere toezichthoudende autoriteit nodig is; c) overeenkomstig artikel 14 de
rechtmatigheid controleert van de gegevensverwerking en de betrokkene binnen
een redelijke termijn informeert over het resultaat van de verificatie of van
de redenen waarom de verificatie niet werd verricht; d) wederzijdse bijstand biedt aan andere
toezichthoudende autoriteiten en zorgt voor de conformiteit in de toepassing en
de handhaving van de krachtens deze richtlijn vastgestelde bepalingen; e) onderzoeken verricht hetzij op eigen initiatief,
hetzij op basis van een klacht of op verzoek van een andere toezichthoudende
autoriteit, en de betrokkene, als die een klacht heeft ingediend, binnen een
redelijke termijn in kennis stelt van het resultaat van de onderzoeken; f) de relevante ontwikkelingen volgt voor zover
deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling
van de informatie- en communicatietechnologieën; g) door de instellingen en organen van de
lidstaat wordt geraadpleegd over wettelijke en bestuursrechtelijke maatregelen
in verband met de bescherming van de rechten en vrijheden van natuurlijke
personen inzake de verwerking van persoonsgegevens; h) over verwerkingen overeenkomstig
artikel 26 wordt geraadpleegd; i) deelneemt aan de activiteiten van het
Europees Comité voor gegevensbescherming. 2. Elke
toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de
risico's, de regels, de garanties en de rechten in verband met de verwerking
van persoonsgegevens. Er wordt
bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten. 3. De
toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de
uitoefening van zijn rechten uit hoofde van krachtens deze richtlijn
vastgestelde bepalingen en werkt daartoe, indien nodig, samen met de
toezichthoudende autoriteiten van andere lidstaten. 4. Voor
de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende
autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden
ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten. 5. De
lidstaten bepalen dat aan het optreden van de toezichthoudende autoriteit geen
kosten zijn verbonden voor de betrokkene. 6. Wanneer verzoeken vexatoir zijn,
met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een
vergoeding in rekening brengen of ervoor opteren om de door de betrokkene
gevraagde maatregelen niet te nemen. De bewijslast met betrekking tot het vexatoire karakter van het verzoek
rust op de toezichthoudende autoriteit. Artikel 46
Bevoegdheden De lidstaten bepalen dat elke toezichthoudende
autoriteit met name kan beschikken over: a) onderzoeksbevoegdheden, zoals het
recht van toegang tot gegevens die voorwerp van verwerking zijn, en
bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar
toezichtstaak noodzakelijk zijn; b) effectieve bevoegdheden om in te
grijpen, zoals de bevoegdheid om voorafgaand aan de uitvoering van de
verwerking advies uit te brengen en te zorgen voor een passende bekendmaking
van het advies, of de bevoegdheid om gegevens te laten afschermen, wissen of
vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de
verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale
parlementen of andere politieke instellingen in te schakelen; c) de bevoegdheid om in rechte op te treden in geval van
inbreuken op de krachtens deze richtlijn vastgestelde nationale bepalingen, of
om die inbreuken onder de aandacht van de gerechtelijke instanties te brengen. Artikel 47
Activiteitenverslag De lidstaten bepalen dat elke toezichthoudende
autoriteit jaarlijks een verslag over haar activiteiten opstelt. Het verslag wordt ter beschikking gesteld van de
Commissie en het Europees Comité voor gegevensbescherming. HOOFDSTUK VII
SAMENWERKING Artikel 48
Wederzijdse bijstand 1. De
lidstaten bepalen dat de toezichthoudende autoriteiten elkaar relevante
informatie en wederzijdse bijstand verstrekken om deze richtlijn op een
conforme manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om
effectief met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name verzoeken om informatie en
toezichtsmaatregelen, zoals verzoeken om voorafgaande raadplegingen, inspecties
en onderzoeken te verrichten. 2. De
lidstaten bepalen dat een toezichthoudende autoriteit alle passende maatregelen
neemt die nodig zijn om het verzoek van een andere toezichthoudende autoriteit
te beantwoorden. 3. De toezichthoudende autoriteit waaraan
het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit
over de resultaten of, in voorkomend geval, de vooruitgang of de maatregelen die
zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit
te voldoen. Artikel 49
Taken van het Europees Comité voor gegevensbescherming 1. Binnen
de werkingssfeer van deze richtlijn voert het Europees Comité voor
gegevensbescherming dat bij Verordening (EG) …./2012 is opgericht, de
volgende taken in verband met verwerking uit: a) adviseren van de Commissie over
aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie,
waaronder alle voorgestelde wijzigingen van deze richtlijn; b) onderzoeken van, op verzoek van de
Commissie of op eigen initiatief of op dat van één van zijn leden, van alle
kwesties in verband met de toepassing van de krachtens deze richtlijn
vastgestelde bepalingen en opstellen van richtsnoeren, aanbevelingen en beste
praktijken voor de toezichthoudende autoriteiten, teneinde te bevorderen dat
deze bepalingen conform worden toegepast; c) evalueren van de praktische toepassing
van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken
en hierover regelmatig verslag uitbrengen bij de Commissie; d) voor de Commissie
een advies uitbrengen over het beschermingsniveau in derde landen of
internationale organisaties; e) bevorderen van samenwerking en effectieve
bilaterale en multilaterale uitwisseling van informatie en praktijken tussen de
toezichthoudende autoriteiten; f) bevorderen van gemeenschappelijke
opleidingsprogramma's en vergemakkelijken van uitwisselingen van
personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend
geval, met de toezichthoudende autoriteiten van derde landen of van
internationale organisaties; g) bevorderen van de uitwisseling van kennis
en documentatie met de toezichthoudende autoriteiten op het gebied van
gegevensbescherming wereldwijd, over onder meer de wetgeving en praktijken op
het gebied van gegevensbescherming. 2. Wanneer
de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan
zij een termijn bepalen waarbinnen het gevraagde advies moet worden
uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid. 3. Het Europees Comité voor
gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste
praktijken toe aan de Commissie en aan het in artikel 57, lid 1,
bedoelde comité en maakt deze bekend. 4. De
Commissie informeert het Europees Comité voor gegevensbescherming over de
maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen
en beste praktijken van het Europees Comité voor gegevensbescherming heeft
genomen. HOOFDSTUK VIII
BEROEP, AANSPRAKELIJKHEID EN SANCTIES Artikel 50
Recht een klacht in te dienen bij een toezichthoudende
autoriteit 1. Onverminderd
andere mogelijkheden van administratief beroep of beroep in rechte, bepalen de
lidstaten dat iedere betrokkene het recht heeft een klacht in te dienen bij een
toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de
verwerking van hem betreffende persoonsgegevens niet aan de krachtens deze
richtlijn vastgestelde bepalingen voldoet. 2. De
lidstaten bepalen dat alle organen, organisaties of verenigingen die de
bescherming van de rechten en belangen van betrokkenen in verband met de
bescherming van hun persoonsgegevens tot doel hebben en die op geldige wijze
volgens het recht van een lidstaat zijn opgericht, het recht hebben namens een
of meer betrokkenen een klacht in te dienen bij een toezichthoudende autoriteit
in een lidstaat, indien zij van mening zijn dat de rechten van betrokkenen uit
hoofde van deze richtlijn geschonden zijn als gevolg van de verwerking van
persoonsgegevens. De organisatie of
vereniging moet daartoe naar behoren door de betrokkene(n) gemachtigd zijn. 3. De
lidstaten bepalen dat alle in lid 2 bedoelde organen, organisaties of
verenigingen, onafhankelijk van een klacht van een betrokkene, het recht hebben
een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat,
indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens
heeft plaatsgevonden. Artikel 51
Recht een beroep in rechte in te stellen tegen een
toezichthoudende autoriteit 1. De
lidstaten bepalen dat er een recht bestaat een beroep in rechte in te stellen
tegen de besluiten van een toezichthoudende autoriteit. 2. Iedere
betrokkene heeft het recht een beroep in rechte in te stellen teneinde de
toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven,
wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn
rechten of wanneer de toezichthoudende autoriteit hem niet overeenkomstig
artikel 45, lid 1, onder b), binnen drie maanden in kennis heeft
gesteld van de voortgang van de behandeling van de klacht of van het resultaat daarvan. 3. De
lidstaten bepalen dat een vordering tegen een toezichthoudende autoriteit wordt
ingesteld bij de gerechtelijke instanties van de lidstaat waar de
toezichthoudende autoriteit gevestigd is. Artikel 52
Recht een beroep in rechte in te stellen tegen een voor
de verwerking verantwoordelijke of een verwerker Onverminderd andere mogelijkheden van
administratief beroep, waaronder het recht een klacht in te dienen bij een
toezichthoudende autoriteit, bepalen de lidstaten dat iedere natuurlijke
persoon het recht heeft een beroep in rechte in te stellen, indien hij van
mening is dat zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde
bepalingen geschonden zijn als gevolg van een verwerking van zijn
persoonsgegevens die niet aan die bepalingen voldoet. Artikel 53
Gemeenschappelijke voorschriften voor beroepen in
rechte 1. De
lidstaten bepalen dat alle in artikel 50, lid 2, bedoelde organen,
organisaties of verenigingen het recht hebben de in de artikelen 51
en 52 bedoelde rechten namens één of meer betrokkenen uit te oefenen. 2. Elke
toezichthoudende autoriteit heeft het recht in rechte op te treden en een
vordering in te stellen bij een gerechtelijke instantie om de krachtens deze
richtlijn vastgestelde bepalingen te doen naleven of om de conformiteit van de
bescherming van persoonsgegevens in de Unie te garanderen. 3. De
lidstaten zien erop toe dat hun nationale wetgeving voorziet in rechtsgedingen
waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige
maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat
de betrokken belangen verder worden geschaad. Artikel 54
Aansprakelijkheid en het recht op vergoeding 1. De
lidstaten bepalen dat eenieder die schade heeft geleden ten gevolge van een
onrechtmatige verwerking of van een daad die onverenigbaar is met de krachtens
deze richtlijn vastgestelde bepalingen het recht heeft van de voor de
verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen. 2. Wanneer
meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking
betrokken is, zijn alle voor de verwerking verantwoordelijken en verwerkers
hoofdelijk gehouden tot volledige vergoeding van de schade. 3. De
voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk
worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade
hem niet kan worden toegerekend. Artikel 55
Sancties De lidstaten stellen
de sanctieregeling vast die van toepassing is op schendingen van de krachtens
deze richtlijn vastgestelde bepalingen en treffen alle maatregelen die nodig
zijn om ervoor te zorgen dat deze ten uitvoer wordt gelegd. De vastgestelde sancties moeten doeltreffend,
evenredig en afschrikkend zijn. HOOFDSTUK IX
GEDELEGEERDE HANDELINGEN EN
UITVOERINGSHANDELINGEN Artikel 56
Uitoefening van de bevoegdheidsdelegatie 1. De
bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie
toegekend onder de in dit artikel vastgestelde voorwaarden. 2. De in
artikel 28, lid 5, bedoelde bevoegdheidsdelegatie wordt de Commissie
verleend voor een onbepaalde periode vanaf de datum waarop deze richtlijn in
werking treedt. 3. Het
Europees Parlement of de Raad kan de in artikel 28, lid 5, bedoelde
bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking maakt een einde aan de delegatie van de
bevoegdheden die in het besluit worden vermeld. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad
van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht
zijnde gedelegeerde handelingen onverlet. 4. Zodra
de Commissie een gedelegeerde handeling vaststelt, stelt zij het Europees
Parlement en de Raad daarvan gelijktijdig in kennis. 5. Een overeenkomstig
artikel 28, lid 5, vastgestelde gedelegeerde handeling treedt alleen
in werking indien het Europees Parlement of de Raad binnen een termijn van twee
maanden na de kennisgeving van de handeling aan het Europees Parlement en de
Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees
Parlement als de Raad voor het verstrijken van de termijn van twee maanden de
Commissie heeft meegedeeld daartegen geen bezwaar te zullen maken. Die termijn wordt op initiatief van het Europees
Parlement of de Raad met twee maanden verlengd. Artikel 57
Comitéprocedure 1. De
Commissie wordt bijgestaan door een comité. Dit comité is een comité in de zin van Verordening (EU)
nr. 182/2011. 2. Wanneer
naar dit lid wordt verwezen, is artikel 5 van Verordening (EU)
nr. 182/2011 van toepassing. 3. Wanneer
naar dit lid wordt verwezen, is artikel 8 van Verordening (EU)
nr. 182/2011, in samenhang met artikel 5 van die verordening, van
toepassing. HOOFDSTUK X
SLOTBEPALINGEN Artikel 58
Intrekkingen 1. Kaderbesluit 2008/977/JBZ
van de Raad wordt ingetrokken. 2. Verwijzingen naar het in
lid 1 bedoelde ingetrokken kaderbesluit gelden als verwijzingen naar deze
richtlijn. Artikel 59
Verhouding met reeds vastgestelde besluiten van de Unie
inzake justitiële samenwerking in strafzaken en politiële samenwerking De specifieke bepalingen ter bescherming van
persoonsgegevens in verband met de verwerking van die gegevens door bevoegde
autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de
vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn
opgenomen in besluiten van de Unie die voorafgaand aan de vaststelling van deze
richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen
lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten
tot op grond van de Verdragen opgerichte en onder het toepassingsgebied van
deze richtlijn vallende informatiesystemen regelen, blijven ongewijzigd. Artikel 60
Verhouding met reeds gesloten internationale
overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking De internationale overeenkomsten die door de lidstaten voorafgaand aan
de inwerkingtreding van deze richtlijn zijn gesloten, worden indien nodig
binnen vijf jaar na de inwerkingtreding van deze richtlijn gewijzigd. Artikel 61
Evaluatie 1. De
Commissie evalueert de toepassing van deze richtlijn. 2. De Commissie gaat binnen drie jaar na de inwerkingtreding van deze
richtlijn na of de andere besluiten die de Europese Unie in verband met de
verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
of de tenuitvoerlegging van straffen heeft vastgesteld, en met name de in
artikel 59 bedoelde door de Unie vastgestelde besluiten, aan deze
richtlijn moeten worden aangepast en dient in voorkomend geval de nodige
voorstellen in om deze besluiten te wijzigen teneinde een conforme aanpak van
de bescherming van persoonsgegevens binnen de werkingssfeer van deze richtlijn
te waarborgen. 3. De Commissie brengt op gezette tijden verslag uit aan het Europees
Parlement en de Raad over de evaluatie en de toetsing van deze richtlijn
overeenkomstig lid 1. Het
eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze
richtlijn ingediend. De volgende
verslagen worden om de vier jaar ingediend. De Commissie dient indien nodig passende voorstellen in om deze
richtlijn te wijzigen en de andere rechtsinstrumenten aan te passen. Het verslag wordt openbaar gemaakt. Artikel 62
Tenuitvoerlegging 1. De
lidstaten dienen uiterlijk op [datum twee jaar na de inwerkingtreding] de
nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend
te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mee. Zij passen die bepalingen toe vanaf xx.xx.201x
[datum/twee jaar na de inwerkingtreding]. Wanneer de lidstaten die bepalingen aannemen,
wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze
richtlijn verwezen. De regels voor
deze verwijzing worden vastgesteld door de lidstaten. 2. De lidstaten delen de Commissie de tekst van de belangrijkste
bepalingen van nationaal recht mee die zij op het onder deze richtlijn vallende
gebied vaststellen. Artikel 63
Inwerkingtreding en toepassing Deze richtlijn treedt in werking op de dag na
die van de bekendmaking ervan in het Publicatieblad van de Europese Unie. Artikel 64
Adressaten Deze richtlijn
is gericht tot de lidstaten. Gedaan te Brussel, op 25.1.2012 Voor het Europees Parlement Voor
de Raad De voorzitter De
voorzitter [1] Richtlijn
95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende
de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281
van 23.11.1995, blz. 31. [2] Zie de
volledige lijst in bijlage 3 bij de effectbeoordeling (SEC(2012)72). [3] Kaderbesluit
2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële
samenwerking in strafzaken, PB L 350 van 30.12.2008, blz. 60. [4] In het
programma van Stockholm, PB C 115 van 4.5.2010, blz. 1. [5] Zie de op
25 november 2009 aangenomen resolutie van het Europees Parlement over het
programma van Stockholm. [6] COM(2010)
171 definitief. [7] Mededeling
van de Commissie “Een integrale aanpak van de bescherming van persoonsgegevens
in de Europese Unie”, COM(2010) 609 definitief, 4 november 2010. [8] Verklaring
nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van
justitiële samenwerking in strafzaken en op het gebied van politiële
samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie
die het Verdrag van Lissabon heeft aangenomen (13 december 2007). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [11] Speciale
Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity
in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] Zie de
studie over de economische voordelen van privacybevorderende technologieën of
de vergelijkende studie over verschillende benaderingen van de nieuwe
privacyproblemen, in het bijzonder in het licht van de technologische
ontwikkelingen, januari 2010
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] De Groep
gegevensbescherming artikel 29 is in 1996 opgericht bij artikel 29 van de
richtlijn en heeft een adviserende taak; zij is samengesteld uit
vertegenwoordigers van de nationale toezichthoudende autoriteiten inzake
gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming en de
Commissie. Zie voor nadere informatie over de werkzaamheden:
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [14] Zie met
name de adviezen over de toekomst van privacy (2009, WP 168), de begrippen
‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (1/2010, WP 169), online
reclame op basis van surfgedrag (‘behavioural advertising’) (2/2010, WP 171),
het verantwoordingsbeginsel (3/2010, WP 173), toepasselijk recht (8/2010, WP
179), en toestemming (15/2011, WP 187). Op verzoek van de Commissie heeft de
groep ook drie raadgevende documenten vastgesteld over respectievelijk
kennisgevingen, gevoelige gegevens en de toepassing van artikel 28, lid 6, van
Richtlijn 95/46/EG. Deze documenten zijn beschikbaar op: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Het advies is beschikbaar op de website van de Europese
Toezichthouder: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_NL.pdf. [16] Resolutie van het EP van 6 juli 2011 over een integrale
aanpak van de bescherming van persoonsgegevens in de Europese Unie
(2011/2025(INI)):
http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=NL&ring=A7-2011-0244 (rapporteur Axel Voss (EPP/DE). [17] CESE
999/2011. [18] SEC(2012)72. [19] COM(2012) 12. [20] Arrest van
het Hof van Justitie van de EU van 9.11.2011 in gevoegde zaken C-92/09 en
C-93/09, Volker und Markus Schecke en Eifert [2010], Jurispr. blz. I-0000. [21] Artikel
52, lid 1, van het Handvest van de grondrechten bepaalt dat beperkingen op de
uitoefening van het recht op gegevensbescherming bij wet moeten worden gesteld
en de wezenlijke inhoud van die rechten en vrijheden moeten eerbiedigen, en
dat, met inachtneming van het evenredigheidsbeginsel slechts beperkingen kunnen
worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan
door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de
bescherming van de rechten en vrijheden van anderen. [22] Zoals ook
in artikel 2, onder a), van Richtlijn 2011/93/EU van het Europees Parlement en
de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele
uitbuiting van kinderen en kinderpornografie, en ter vervanging van
Kaderbesluit 2004/68/JBZ van de Raad, PB L 335 van 17.12.2011, blz. 1. [23] COM(2005)
475 definitief. [24] Artikel 14
van Besluit 2009/371/JBZ van de Raad over Europol. [25] Artikel 15
van Besluit 2009/426/JBZ van de Raad over Eurojust. [26] Artikel 14
van Besluit 2009/371/JBZ van de Raad over Europol. [27] Europees
Hof voor de rechten van de mens, arrest van 4.12.2008, S. en Marper / Verenigd
Koninkrijk (verzoekschriften nrs. 30562/04 en 30566/04). [28] Goedgekeurd
op de internationale conferentie van commissarissen voor de bescherming van
gegevens en de persoonlijke levenssfeer op 5.11.2009. [29] Hof van
Justitie van de EU, arrest van 9.3.2010 in zaak C-518/01, Commissie /
Duitsland, Jurispr. 2010 blz. I-1885. [30] Verordening
(EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december
2000 betreffende de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens door de communautaire instellingen en organen
en betreffende het vrije verkeer van die gegevens, PB L 8 van 12.1.2001,
blz. 1. [31] Op. cit.,
voetnoot 27. [32] Richtlijn
2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende
bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met
name de elektronische handel, in de interne markt (“Richtlijn inzake
elektronische handel”), PB L 178 van 17.7.2000, blz. 1. [33] PB C […]
van […], blz. […]. [34] PB L 281
van 23.11.1995, blz. 31. [35] PB L 350
van 30.12.2008, blz. 60. [36] PB L 55
van 28.2.2011, blz. 13. [37] PB L 335
van 17.12.2011, blz. 1. [38] PB L 176
van 10.7.1999, blz. 36. [39] PB L 53
van 27.2.2008, blz. 52. [40] PB
L 160 van 18.6.2011, blz. 21.