De bescherming van personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de EU

 

SAMENVATTING VAN:

Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de EU en betreffende het vrije verkeer van die gegevens

WAT IS HET DOEL VAN DE VERORDENING?

De verordening:

• bevat regels over de wijze waarop de instellingen, organen en instanties van de EU met de persoonsgegevens moeten omgaan* die zij van personen in hun bezit hebben, moeten behandelen;
• eerbiedigt de grondrechten en vrijheden van het individu, met name het recht op bescherming van persoonsgegevens en het recht op privacy;
• brengt de regels voor de instellingen, organen en instanties van de EU in overeenstemming met die van de algemene verordening gegevensbescherming (AVG) en van Richtlijn (EU) 2016/680, de richtlijn wetshandhaving genoemd, die sinds mei 2018 van toepassing zijn;
• strekt tot intrekking van Verordening (EG) nr. 45/2001, waarin voorheen de regels over de verwerking van persoonsgegevens door de instellingen, organen en instanties van de EU stonden, en zorgt ervoor dat deze voldoen aan dezelfde strenge normen als die van de AVG;
• strekt tot intrekking van Besluit nr. 1247/2002/EG betreffende de Europese Toezichthouder voor gegevensbescherming (EDPS).

KERNPUNTEN

Persoonsgegevens moeten:

• worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is;
• voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld;
• toereikend en ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is;
• nauwkeurig zijn en zo nodig worden bijgewerkt;
• niet langer dan nodig is worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren;
• met passende vertrouwelijkheid worden verwerkt.

De verwerkingsverantwoordelijke* is verantwoordelijk voor de naleving van alle bovengenoemde beginselen voor gegevensverwerking en moet deze aantonen.

Persoonlijke gegevens:

• mogen uitsluitend aan een ontvanger in de EU die geen instelling, orgaan of instantie van de EU is worden doorgegeven als aanvullende waarborgen in acht worden genomen;
• mogen uitsluitend onder strikte voorwaarden buiten de EU worden doorgegeven;
• waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, mogen niet worden verwerkt behalve onder bijzondere omstandigheden;
• moeten van passende waarborgen worden voorzien indien ze worden gearchiveerd in het algemeen belang of voor wetenschappelijke, historische of statistische doeleinden.

Verzoeken om toestemming van een persoon voor het gebruik van zijn persoonsgegevens moeten in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd. De toestemming moet een ondubbelzinnige actieve handeling van de persoon zijn.

Personen (in de wetgeving “betrokkenen” genoemd) hebben het recht:

• hun toestemming te allen tijde in te trekken, wat even eenvoudig moet zijn als het geven ervan;
• te weten of hun persoonsgegevens al dan niet worden verwerkt en om ze in te zien;
• correctie van onjuiste persoonsgegevens te verkrijgen;
• persoonsgegevens te wissen of de verwerking ervan te beperken, mits aan bepaalde voorwaarden is voldaan;
• hun persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen;
• vanwege hun bijzondere situatie bezwaar te maken tegen het gebruik van hun persoonsgegevens voor doeleinden van algemeen belang;
• niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit waaraan voor hen rechtsgevolgen zijn verbonden;
• een klacht in te dienen bij de EDPS als zij het gevoel hebben dat hun persoonsgegevens worden verwerkt op een manier die in strijd is met de verordening;
• schadevergoeding te ontvangen voor materiële of immateriële schade die ze lijden ten gevolge van de acties van een instelling, orgaan of instantie van de EU;
• een organisatie zonder winstoogmerk opdracht te geven een klacht in te dienen bij de EDPS.

Verwerkingsverantwoordelijken:

• moeten betrokkenen informeren wanneer persoonsgegevens worden verzameld, en wel in eenvoudige taal en met feitelijke gegevens zoals contactgegevens van de verwerkingsverantwoordelijke en het doeleinde voor de verwerking wanneer dergelijke gegevens worden verzameld;
• moeten zo snel mogelijk en uiterlijk binnen één maand reageren op verzoeken van betrokkenen, zoals verzoeken om inzage of correctie van hun persoonsgegevens;
• nemen passende technische en organisatorische maatregelen, waaronder pseudonimisering*, om ervoor te zorgen dat de verwerking van persoonsgegevens aan de verordening voldoet;
• mogen alleen gegevensverwerkers gebruiken die voldoen aan de EU-voorschriften;
• houden een gedetailleerde administratie bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden;
• werken samen met de EDPS;
• stellen de EDPS en, in sommige gevallen, ook de betrokkene zo spoedig mogelijk in kennis van een inbreuk in verband met persoonsgegevens;
• verrichten een gegevensbeschermingseffectbeoordeling voor bepaalde verwerking van risicovolle persoonsgegevens;
• waarborgen de vertrouwelijkheid en veiligheid van hun elektronische communicatienetwerken;
• lichten de EDPS in wanneer ze bestuurlijke maatregelen of interne voorschriften voor de verwerking van persoonsgegevens opstellen.

Met de wetgeving wordt de functie van de Europese Toezichthouder voor gegevensbescherming in het leven geroepen, die wordt benoemd voor een termijn van vijf jaar die eenmaal kan worden verlengd. De houder van het ambt is gevestigd in Brussel en:

• treedt volledig onafhankelijk op;
• behandelt alle vertrouwelijke informatie onder het beroepsgeheim;
• ziet toe op de wijze waarop instellingen, organen en instanties van de EU de wetgeving toepassen;
• bevordert bij het brede publiek het inzicht in en de bekendheid met de verwerking van persoonsgegevens;
• behandelt klachten en verricht onderzoeken;
• waarschuwt en legt straffen op aan verwerkingsverantwoordelijken;
• legt zaken voor aan het Hof van Justitie, dat geschillen met betrekking tot de wetgeving behandelt;
• dient jaarlijks bij het Europees Parlement, de Raad en de Europese Commissie een verslag in;
• werkt samen met de nationale toezichthoudende autoriteiten voor gegevensbescherming.

Reglement van orde van de EDPS

Met een besluit van 15 mei 2020 is het reglement van orde van de EDPS vastgesteld. Hierin zijn de volgende factoren gedetailleerd uiteengezet:

• de missie, de leidende beginselen en de organisatie van de EDPS;
• toezicht op en waarborging van de toepassing van de verordening door de EDPS;
• procedures voor legislatieve raadpleging, volgen van technologische ontwikkelingen, onderzoeksprojecten en gerechtelijke procedures; en
• procedures voor samenwerking met nationale toezichthoudende autoriteiten en internationale samenwerking.

Speciale regels voor instellingen, organen en instanties van de EU

Er zijn speciale regels van toepassing op instellingen, organen en instanties van de EU die operationele persoonsgegevens verwerken* verwerken met het oog op wetshandhaving (bijvoorbeeld Eurojust). Deze vallen onder een specifiek hoofdstuk van de verordening. De regels in dit hoofdstuk zijn afgestemd op de richtlijn betreffende wetshandhaving. Bovendien kunnen in de oprichtingsbesluiten van deze instellingen, organen en instanties meer specifieke regels worden vastgesteld om rekening te houden met hun specifieke kenmerken.

De verwerking van operationele persoonsgegevens door Europol en Europees Openbaar Ministerie valt buiten het toepassingsgebied van de verordening en wordt in plaats daarvan geregeld door afzonderlijke bepalingen in de rechtshandelingen waarbij ze zijn opgericht. Hun administratieve verwerking van persoonsgegevens (bijv. voor personeelsbeheer) valt echter wel onder de verordening.

Functionarissen voor gegevensbescherming

Verwerkingsverantwoordelijken wijzen ook een functionaris voor gegevensbescherming aan voor een termijn van drie tot vijf jaar, met als taken:

• onafhankelijk advies geven over de verwerking van persoonsgegevens;
• toezien op de naleving van de regels inzake gegevensbescherming.

Verslagen

De Europese Commissie moet uiterlijk 30 april 2022 een verslag indienen over de toepassing van de verordening.

VANAF WANNEER IS DE VERORDENING VAN TOEPASSING?

De verordening is sinds 11 december 2018 van toepassing, behalve wat betreft de verwerking van persoonsgegevens door Eurojust, waar deze sinds 12 december 2019 van toepassing is.

ACHTERGROND

In artikel 8 van het Handvest van de grondrechten van de Europese Unie is bepaald dat iedereen het recht heeft op bescherming van zijn persoonsgegevens. In artikel 16 van het Verdrag betreffende de werking van de EU wordt dat recht verder ontwikkeld. Dit artikel vormt de rechtsgrond voor alle EU-wetgeving over gegevensbescherming.

Zie voor meer informatie:

• Gegevensbescherming in de EU (Europese Commissie).

KERNBEGRIPPEN

BELANGRIJKSTE DOCUMENT

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39-98)

GERELATEERDE DOCUMENTEN

Besluit (EU) 2020/969 van de Commissie van 3 juli 2020 tot vaststelling van uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming, beperking van de rechten van betrokkenen en de toepassing van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad, en tot intrekking van Besluit 2008/597/EG van de Commissie (PB L 213 van 6.7.2020, blz. 12-22)

Besluit van de Europese Toezichthouder voor gegevensbescherming van 15 mei 2020 tot vaststelling van het reglement van orde van de EDPS (PB L 204 van 26.6.2020, blz. 49-59)

Besluit van de Europese Toezichthouder voor gegevensbescherming van 2 april 2019 inzake interne voorschriften betreffende beperkingen van bepaalde rechten van betrokkenen met betrekking tot de verwerking van persoonsgegevens in het kader van activiteiten van de Europese Toezichthouder voor gegevensbescherming (PB L 99I van 10.4.2019, blz. 1-7)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1-88)

Achtereenvolgende wijzigingen aan Verordening (EU) 2016/679 werden in de basistekst opgenomen. Deze geconsolideerde versie is enkel van documentaire waarde.

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89-131)

Zie de geconsolideerde versie.

Laatste bijwerking 14.01.2022