Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32004D0644

    2004/644/EG: Besluit van de Raad van 13 september 2004 tot aanneming van uitvoeringsvoorschriften voor Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

    PB L 296 van 21.9.2004, p. 16–22 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
    PB L 142M van 30.5.2006, p. 249–255 (MT)

    Dit document is verschenen in een speciale editie. (BG, RO, HR)

    Legal status of the document No longer in force, Date of end of validity: 24/07/2021; opgeheven door 32021D1093

    ELI: http://data.europa.eu/eli/dec/2004/644/oj

    21.9.2004   

    NL

    Publicatieblad van de Europese Unie

    L 296/16

    BESLUIT VAN DE RAAD

    van 13 september 2004

    tot aanneming van uitvoeringsvoorschriften voor Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

    (2004/644/EG)

    DE RAAD VAN DE EUROPESE UNIE,

    Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

    Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (1), en met name op artikel 24, lid 8,

    Overwegende hetgeen volgt:

    (1)

    Verordening (EG) nr. 45/2001, hierna „de verordening” genoemd, bevat de beginselen en voorschriften die van toepassing zijn op alle communautaire instellingen en organen en voorziet in de aanstelling door elke communautaire instelling en elk communautair orgaan van een functionaris voor gegevensbescherming.

    (2)

    In artikel 24, lid 8, van de verordening staat dat nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming door de communautaire instelling of door het communautaire orgaan worden vastgesteld overeenkomstig de bijlage. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

    (3)

    In de uitvoeringsvoorschriften moeten de procedures voor de uitoefening van de rechten van de betrokkene worden vastgesteld, alsmede de naleving van verplichtingen door alle betrokken actoren binnen de communautaire instellingen of organen die verband houden met de verwerking van persoonsgegevens.

    (4)

    De uitvoeringsvoorschriften van de verordening doen geen afbreuk aan Verordening (EG) nr. 1049/2001 (2), Besluit 2002/682/EG, Euratom (3), en in het bijzonder bijlage II daarvan, Besluit 2001/264/EG (4), en in het bijzonder afdeling VI van deel II van de bijlage daarvan, alsmede het besluit van de secretaris-generaal van de Raad/hoge vertegenwoordiger voor het gemeenschappelijk buitenlands- en veiligheidsbeleid van 25 juni 2001 (5),

    BESLUIT:

    HOOFDSTUK I

    ALGEMENE BEPALINGEN

    Artikel 1

    Onderzoek en werkingssfeer

    Bij dit besluit worden voor wat betreft de Raad van de Europese Unie nadere uitvoeringsvoorschriften voor Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad, hierna „de verordening” genoemd, vastgesteld.

    Artikel 2

    Definities

    Voor de doeleinden van dit besluit en onverminderd de in de verordening vervatte definities wordt verstaan onder:

    a)

    „verantwoordelijke voor de verwerking”, de instelling, het directoraat-generaal, de afdeling of eenheid die, alleen of tezamen met andere(n), het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, die overeenkomstig artikel 25 van de verordening aan de functionaris voor gegevensbescherming (hierna „DPO” genoemd) moeten worden verstrekt;

    b)

    „contactpersoon”, de adjunct-assistent(en) van het directoraat-generaal of ieder personeelslid dat in overleg met de DPO door zijn directoraat-generaal als zijn vertegenwoordiger wordt aangewezen om zich, in nauwe samenwerking met de DPO, met gegevensbeschermingskwesties bezig te houden;

    c)

    „personeel van het SGR”, alle ambtenaren van het secretariaat-generaal van de Raad (hierna „SGR” genoemd) en iedere andere persoon die valt onder het statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van de Gemeenschappen, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 (6), hierna „het statuut” genoemd, of op contractuele basis voor het SGR werkt (stagiaires, consultants, contractanten, door de lidstaten gedetacheerde ambtenaren).

    AFDELING 2

    DE FUNCTIONARIS VOOR GEGEVENSBESCHERMING

    Artikel 3

    Aanstelling en statuut van de functionaris voor gegevensbescherming

    1.   De plaatsvervangend secretaris-generaal van de Raad benoemt de DPO en registreert hem bij de Europese Toezichthouder voor gegevensbescherming (hierna „EDPS” genoemd). De DPO brengt rechtstreeks verslag uit bij de plaatsvervangend secretaris-generaal van de Raad.

    2.   De ambtstermijn van de functionaris voor gegevensbescherming duurt drie jaar en kan tweemaal worden verlengd.

    3.   Met betrekking tot de uitoefening van zijn functie, handelt de DPO onafhankelijk en in samenwerking met de EDPS. In het bijzonder mag de functionaris voor gegevensbescherming van het tot aanstelling bevoegd gezag van het SGR of van anderen geen enkele instructie krijgen betreffende de interne toepassing van de bepalingen van de verordening of zijn samenwerking met de EDPS.

    4.   De wijze waarop de DPO zijn taken en plichten vervult, wordt beoordeeld na overleg met de EDPS. De DPO kan, indien hij niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, alleen met instemming van de EDPS worden ontslagen.

    5.   Onverminderd de procedure voor zijn benoeming, wordt de DPO geïnformeerd over alle contacten met externe instanties die verband houden met de toepassing van de verordening, met name de betrekkingen met de EDPS.

    6.   Onverminderd de desbetreffende bepalingen van de verordening, zijn de DPO en zijn personeel onderworpen aan de regelingen en verordeningen van toepassing op de ambtenaren en andere personeelsleden van de Europese Gemeenschappen.

    Artikel 4

    Taken

    De DPO

    a)

    zorgt ervoor dat de verantwoordelijken voor de verwerking en de betrokkenen van hun rechten en plichten in kennis worden gesteld. Bij de uitvoering van die taak stelt hij in het bijzonder informatie- en meldingsformulieren op, raadpleegt hij belangstellenden en bevordert hij het algemeen bewustzijn in verband met kwesties op het gebied van gegevensbescherming;

    b)

    gaat in op verzoeken van de EDPS en werkt, binnen het kader van zijn bevoegdheden, met de EDPS samen, op verzoek van deze laatste of op eigen initiatief;

    c)

    draagt op onafhankelijke wijze zorg voor de interne toepassing van de bepalingen van de verordening in het SGR;

    d)

    houdt een register bij van de door de verantwoordelijke voor de verwerking verrichte verwerkingen en verleent eenieder toegang daartoe, direct of indirect via de EDPS;

    e)

    stelt de EDPS in kennis van de verwerkingen die waarschijnlijk bijzondere risico's in de zin van artikel 27, lid 2, van de verordening inhouden;

    f)

    draagt er daarmee zorg voor dat schending van de rechten en vrijheden van de betrokkene, ten gevolge van de verwerkingen, onwaarschijnlijk is.

    Artikel 5

    Opgaven

    1.   Naast de algemene taken heeft de DPO de volgende opgaven:

    a)

    hij verstrekt het tot aanstelling bevoegd gezag van het SGR en de verantwoordelijken voor de verwerking advies over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming. Hij kan door het tot aanstelling bevoegd gezag, de betrokken verantwoordelijke voor de verwerking, het personeelscomité en elke particulier, zonder de officiële weg te volgen, over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening worden geraadpleegd;

    b)

    hij onderzoekt op eigen initiatief of op verzoek van het tot aanstelling bevoegd gezag, de verantwoordelijken voor de verwerking, het personeelscomité of van elke particulier de zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij op de hoogte is, en brengt hierover verslag uit aan het tot aanstelling bevoegd gezag of aan de persoon die om het onderzoek verzocht heeft. Zo nodig worden alle betrokken partijen daarvan in kennis gesteld. Indien de klacht afkomstig is van een particulier, of indien de klager namens een particulier optreedt, moet de DPO er zo veel mogelijk voor zorgen dat het verzoek vertrouwelijk blijft, tenzij de betrokkene uitdrukkelijk toestemming verleent om het verzoek anders te behandelen;

    c)

    bij de uitoefening van zijn functies werkt de DPO samen met de DPO's van andere communautaire instellingen en organen, in het bijzonder door ervaringen en beste praktijken uit te wisselen;

    d)

    hij vertegenwoordigt het SGR in alle aangelegenheden die verband houden met gegevensbescherming; onverminderd Besluit 2004/338/EG, Euratom, dit kan inhouden dat de DPO aan desbetreffende comités of fora deelneemt;

    e)

    hij legt een jaarverslag over zijn activiteiten voor aan de plaatsvervangend secretaris-generaal van de Raad en stelt het ter beschikking van het personeel.

    2.   Onverminderd de artikelen 4, punt b), artikel 5, lid 1, punten b) en c), en artikel 15, mogen de DPO en zijn personeel inlichtingen of bescheiden die zij in het kader van de uitoefening van hun taken verkrijgen, niet openbaar maken.

    Artikel 6

    Bevoegdheden

    Bij de uitoefening van zijn functie

    a)

    heeft de DPO te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers;

    b)

    kan de DPO de Juridische dienst van de Raad om advies verzoeken;

    c)

    kan de DPO, met toestemming van de ordonnateur, overeenkomstig Verordening (EG, Euratom) nr. 1605/2002 van de Raad van 25 juni 2002 houdende het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen (7) een beroep doen op externe deskundigen op het gebied van de informatietechnologie, met inachtneming van het financieel reglement en de uitvoeringsbepalingen daarvan;

    d)

    kan de DPO, onverminderd de taken en bevoegdheden van de EDPS, aan het SGR bestuursmaatregelen voorstellen en algemene aanbevelingen doen betreffende de passende toepassing van de verordening;

    e)

    kan de DPO, in bepaalde gevallen, het SGR en/of alle andere betrokken partijen andere aanbevelingen doen voor de praktische verbetering van de gegevensbescherming;

    f)

    kan de DPO het feit dat een personeelslid de verplichtingen uit hoofde van de verordening niet nakomt onder de aandacht van het tot aanstelling bevoegd gezag van het SGR brengen en voorstellen dat er een administratief onderzoek wordt ingesteld met het oog op de mogelijke toepassing van artikel 49 van de verordening.

    Artikel 7

    Middelen

    De DPO krijgt de beschikking over het nodige personeel en de nodige financiële middelen om zijn taak uit te voeren.

    AFDELING 3

    RECHTEN EN PLICHTEN VAN DE ACTOREN OP HET GEBIED VAN DE GEGEVENSBESCHERMING

    Artikel 8

    Het tot aanstelling bevoegd gezag

    1.   In het geval van een klacht, in de zin van artikel 90 van het statuut, betreffende de schending van de verordening, raadpleegt het tot aanstelling bevoegd gezag de DPO, die uiterlijk vijftien dagen na ontvangst van het verzoek schriftelijk advies uitbrengt. Indien na het verstrijken van die termijn de DPO het tot aanstelling bevoegd gezag geen advies heeft verstrekt, is dit advies niet langer vereist. Het tot aanstelling bevoegd gezag is niet gebonden door het advies van de DPO.

    2.   De DPO wordt in kennis gesteld van elke kwestie met mogelijke implicaties voor de gegevensbescherming.

    Artikel 9

    Verantwoordelijken voor de verwerking

    1.   De verantwoordelijken voor de verwerking zien erop toe dat bij alle verwerkingen die onder hun toezicht plaatsvinden, de verordening wordt nageleefd.

    2.   In het bijzonder moeten de verantwoordelijken voor de verwerking

    a)

    alvorens een verwerking of een reeks verwerkingen met een enkel doel of met verscheidene samenhangende doeleinden uit te voeren, de DPO daarvan in kennis stellen, alsmede van iedere belangrijke wijziging van een bestaande verwerking. Van verwerkingen die voor de inwerkingtreding van de verordening op 1 februari 2001 verricht zijn, geeft de verantwoordelijke voor de verwerking onmiddellijk kennis;

    b)

    de DPO en de EDPS bijstaan bij de vervulling van hun taken, in het bijzonder door in antwoord op hun verzoeken binnen dertig dagen informatie te verstrekken;

    c)

    passende technische en organisatorische maatregelen treffen en het personeel van het SGR op passende wijze instrueren om de vertrouwelijkheid van de verwerking te garanderen en een beveiligingsniveau te waarborgen dat afgestemd is op de risico's die verwerking met zich mee brengt;

    d)

    waar passend, de DPO raadplegen over de vraag of de verwerking overeenstemt met de verordening, in het bijzonder wanneer zij reden hebben om aan te nemen dat bepaalde verwerkingen strijdig zijn met de artikelen 4 tot en met 10 van de verordening. Tevens kunnen zij de DPO en/of de deskundigen inzake de beveiliging van informatietechnologie van directoraat-generaal A, het Beveiligingsbureau en de informatiebeveiligingdienst (INFOSEC) raadplegen betreffende kwesties die verband houden met de vertrouwelijkheid van de verwerking en de overeenkomstig artikel 22 van de verordening genomen beveiligingsmaatregelen.

    Artikel 10

    Contactpersonen

    1.   Onverminderd de bevoegdheden van de DPO:

    a)

    helpt de contactpersoon zijn directoraat-generaal of afdeling een register bij te houden van alle bestaande verwerkingen van persoonsgegevens;

    b)

    helpt de contactpersoon zijn directoraat-generaal of afdeling een lijst op te stellen van de respectieve verantwoordelijken voor de verwerking;

    c)

    heeft de contactpersoon het recht om van de verantwoordelijken voor de verwerking en van het personeel de informatie te verkrijgen die passend en noodzakelijk is voor de vervulling van zijn bestuurlijke taken binnen zijn directoraat-generaal of eenheid. Dit omvat niet het recht van toegang tot persoonsgegevens die onder de verantwoordelijkheid van de verantwoordelijken voor de verwerking worden verwerkt.

    2.   Onverminderd de bevoegdheden van de verantwoordelijken voor de verwerking

    a)

    helpt de contactpersoon de verantwoordelijken voor de verwerking hun verplichtingen na te komen;

    b)

    bevordert de contactpersoon, waar nodig, de contacten tussen de DPO en de verantwoordelijken voor de verwerking.

    Artikel 11

    Het personeel van het SGR

    1.   Het personeel van het SGR draagt in het bijzonder bij tot de toepassing van de regels inzake vertrouwelijkheid en beveiliging van de verwerking van persoonsgegevens, zoals bepaald in de artikelen 21 en 22 van de verordening. Geen enkel personeelslid van het SGR dat toegang heeft tot persoonsgegevens, verwerkt die gegevens op een andere wijze dan op instructie van de verantwoordelijke voor de verwerking, tenzij de nationale of communautaire wetgeving in een andere regeling voorziet.

    2.   Ieder personeelslid van het SGR kan bij de EDPS een klacht indienen wegens vermeende schending van de verordening betreffende de verwerking van persoonsgegevens, zonder daarvoor via de officiële weg te moeten gaan, zoals bepaald in de door EDPS vastgestelde regels.

    Artikel 12

    Betrokkenen

    1.   Naast het recht van betrokkenen om, overeenkomstig de artikelen 11 en 12 van de verordening, naar behoren te worden geïnformeerd over elke hen betreffende verwerking van persoonsgegevens, kunnen de betrokkenen de verantwoordelijken voor de verwerking benaderen om hun in de artikelen 13 tot en met 19 van de verordening genoemde rechten uit te oefenen, zoals vastgesteld in afdeling 5 van dit besluit.

    2.   Elke betrokkene kan, onverminderd de mogelijkheden van beroep voor de rechter, een klacht indienen bij de EDPS, indien hij van oordeel is dat de hem krachtens de verordening verleende rechten geschonden zijn door de verwerking van zijn persoonsgegevens door de Raad, zoals bepaald in de door de EDPS vastgestelde regels.

    3.   Niemand mag nadeel ondervinden van het feit dat bij de EDPS een klacht is ingediend of dat een zaak onder de aandacht van de DPO is gebracht wegens een vermeende inbreuk op de bepalingen van de verordening.

    AFDELING 4

    REGISTER VAN GEMELDE VERWERKINGEN

    Artikel 13

    Meldingsprocedure

    1.   De verantwoordelijke voor de verwerking stelt de DPO in kennis van elke verwerking van persoonsgegevens door middel van een meldingsformulier dat via het Intranet van het SGR (gegevensbescherming) toegankelijk is. De melding aan de DPO geschiedt elektronisch. Binnen tien werkdagen wordt de DPO een nota ter bevestiging van de melding toegezonden. De bevestiging van de melding wordt na ontvangst door de DPO in het register bekendgemaakt.

    2.   De melding bevat alle in artikel 25, lid 2, van de verordening genoemde informatie. De DPO wordt onverwijld van elke wijziging in deze informatie in kennis gesteld.

    3.   Nadere regels en procedures betreffende de meldingsprocedure die de verantwoordelijke voor de verwerking in acht moeten nemen, maken deel uit van de algemene aanbevelingen van de DPO.

    Artikel 14

    Inhoud en doel van het register

    1.   De DPO houdt een register van de verwerkingen van persoonsgegevens bij, dat wordt samengesteld op basis van de van de verantwoordelijke voor de verwerking ontvangen meldingen.

    2.   Het register bevat ten minste de in artikel 25, lid 2, onder a) tot en met g), van de verordening bedoelde informatie. De door de DPO in het register ingevoerde informatie kan evenwel bij wijze van uitzondering worden beperkt, wanneer zulks nodig is om de beveiliging van een specifieke verwerking te garanderen.

    3.   Het register doet dienst als een index van verwerkingen van persoonsgegevens die bij de Raad worden uitgevoerd. Het verschaft de betrokkenen informatie en vergemakkelijkt de uitoefening van hun in artikel 13 tot en met 19 van de verordening genoemde rechten.

    Artikel 15

    Toegang tot het register

    1.   De DPO neemt passende maatregelen zodat eenieder direct of indirect via de EDPS, toegang heeft tot het register. De DPO verstrekt met name informatie en verleent belangstellenden bijstand over de wijze waarop en waar verzoeken om toegang tot het register kunnen worden ingediend.

    2.   Tenzij er toegang on line is verleend, worden verzoeken om toegang tot het register schriftelijk ingediend of in elektronische vorm, in één van de in artikel 314 van het Verdrag genoemde talen en op voldoende nauwkeurige wijze om de DPO in staat te stellen de desbetreffende verwerkingen te identificeren. Aan de aanvrager wordt onverwijld een ontvangstbewijs toegezonden.

    3.   Indien een verzoek niet nauwkeurig genoeg is, vraagt de DPO de aanvrager om zijn verzoek te specificeren en biedt hij hem daarbij hulp. Bij verzoeken die een zeer groot aantal verwerkingen betreffen, kan de DPO informeel met de aanvrager overleggen om tot een redelijke oplossing te komen.

    4.   Eenieder kan de DPO verzoeken om een afschrift van de informatie die met betrekking tot elke gemelde verwerking in het register beschikbaar is.

    AFDELING 5

    PROCEDURE VOLGENS WELKE BETROKKENEN HUN RECHTEN KUNNEN UITOEFENEN

    Artikel 16

    Algemene bepalingen

    1.   De in deze afdeling genoemde rechten van de betrokkenen kunnen alleen worden uitgeoefend door de betrokkenen zelf of, in uitzonderlijke gevallen en met een passende toestemming, namens de betrokkenen. Verzoeken worden schriftelijk aan de betrokken verantwoordelijke voor de verwerking toegezonden, met een afschrift aan de DPO. Zo nodig, helpt de DPO de betrokkene vast te stellen wie ter zake de verantwoordelijke voor de verwerking is. De DPO stelt specifieke formulieren ter beschikking. De verantwoordelijken voor de verwerking willigen een verzoek alleen in, indien de formulieren volledig ingevuld zijn en de identiteit van de klager naar behoren is geverifieerd. De betrokkenen oefenen hun rechten kosteloos uit.

    2.   De verantwoordelijke voor de verwerking zendt de aanvrager binnen vijf werkdagen na registratie van het verzoek een ontvangstbewijs toe. Tenzij anders bepaald, beantwoordt de verantwoordelijke voor de verwerking een verzoek binnen vijftien dagen na de registratie ervan en willigt het verzoek in of deelt schriftelijk de redenen voor de gehele of gedeeltelijke weigering mee, in het bijzonder wanneer de aanvrager niet als een betrokkene beschouwd wordt.

    3.   In geval van onregelmatigheden of kennelijk misbruik door de betrokkene bij de uitoefening van zijn rechten, en indien de verwerking naar zijn zeggen onwettig is, dient de verantwoordelijke voor de verwerking de DPO over het verzoek te raadplegen en/of de betrokkene door te verwijzen naar de DPO, die over de ontvankelijkheid en de follow-up van het verzoek een besluit neemt.

    4.   Iedere betrokken persoon kan de DPO raadplegen met betrekking tot zijn rechten in een specifiek geval. Elke betrokkene kan, onverminderd de mogelijkheden van beroep voor de rechter, een klacht indienen bij de EDPS, indien hij van oordeel is dat de hem krachtens de verordening verleende rechten ten gevolge van de verwerking van zijn persoonsgegevens geschonden zijn.

    Artikel 17

    Recht van toegang

    De betrokkene heeft het recht om, zonder beperking, binnen drie maanden na ontvangst van het verzoek, van de verantwoordelijke voor de verwerking de in de punten a) tot en met d) van artikel 13 van de verordening bedoelde informatie te ontvangen door hetzij deze informatie ter plaatse te raadplegen, hetzij een afschrift ervan te ontvangen, waar passend en indien de aanvrager dat wenst, in elektronische vorm.

    Artikel 18

    Recht van rectificatie

    Elk verzoek van een betrokkene om rectificatie van onnauwkeurige of onvolledige persoonsgegevens bevat een opsomming van de betrokken gegevens en de aan te brengen rectificatie. Het verzoek wordt onverwijld door de verantwoordelijke voor de verwerking behandeld.

    Artikel 19

    Recht van afscherming

    De verantwoordelijke voor de verwerking behandelt zo spoedig mogelijk elk verzoek om afscherming van gegevens uit hoofde van artikel 15 van de verordening. Het verzoek bevat een opsomming van de betrokken gegevens en de motivering voor de afscherming. De verantwoordelijke voor de verwerking licht de betrokkene die het verzoek heeft ingediend in alvorens de afscherming wordt opgeheven.

    Artikel 20

    Recht van wissing

    De betrokkene kan de verantwoordelijke voor de verwerking verzoeken onverwijld gegevens te wissen in geval van onwettige verwerking, in het bijzonder wanneer er inbreuk op de bepalingen van de artikelen 4 tot en met 10 van de verordening is gepleegd. Het verzoek bevat een opsomming van de betrokken gegevens en de redenen of het bewijs van de onwettigheid van de verwerking. In geautomatiseerde gegevensbestanden wordt voor afscherming in beginsel met technische middelen zorg gedragen, waarbij de mogelijkheid wordt uitgesloten dat gewiste gegevens nog langer verwerkt worden. Als wissing om technische redenen niet mogelijk is, gaat de verantwoordelijke voor de verwerking over tot onmiddellijke afscherming van die gegevens, na raadpleging van de DPO en de betrokken persoon.

    Artikel 21

    Kennisgeving aan derde partijen

    Wanneer naar aanleiding van een verzoek gegevens van een betrokkene gerectificeerd, afgeschermd of gewist zijn, kan de betrokkene van de verantwoordelijke voor de verwerking verlangen dat derden aan wie zijn persoonsgegevens verstrekt zijn, daarvan in kennis worden gesteld, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

    Artikel 22

    Recht van bezwaar

    De betrokkene kan, overeenkomstig artikel 18 van de verordening, bezwaar aantekenen tegen de verwerking van hem betreffende gegevens en tegen verstrekking of gebruik van zijn persoonsgegevens. Het verzoek daartoe bevat een opsomming van de betrokken gegevens en de motivering van het verzoek. In het geval van gerechtvaardigd bezwaar mag de verwerking in kwestie niet langer deze gegevens betreffen.

    Artikel 23

    Geautomatiseerde individuele besluiten

    De betrokkene heeft het recht niet te worden onderworpen aan geautomatiseerde individuele besluiten als bedoeld in artikel 19 van de verordening, tenzij het besluit krachtens nationale of communautaire wetgeving uitdrukkelijk is toegestaan, dan wel door een besluit van de EDPS ter bescherming van de legitieme belangen van de betrokkene. In beide gevallen krijgt de betrokkene de gelegenheid vooraf zijn standpunt bekend te maken en de DPO te raadplegen.

    Artikel 24

    Uitzonderingen en beperkingen

    1.   Voorzover legitieme redenen als bedoeld in artikel 20 van de verordening zulks duidelijk rechtvaardigen, kan de verantwoordelijke voor de verwerking de in de artikelen 17 tot en met 21 van dit besluit bedoelde rechten beperken. Behoudens gevallen van absolute noodzaak, raadpleegt de verantwoordelijke voor de verwerking eerst de DPO, wiens advies voor de instelling niet bindend is. De verantwoordelijke voor de verwerking beantwoordt onverwijld verzoeken met betrekking tot de toepassing van uitzonderingen op en beperkingen van de uitoefening van rechten, en motiveert dit besluit.

    2.   Elke betrokken persoon kan de EDPS verzoeken artikel 47, lid 1, onder c), van de verordening toe te passen.

    AFDELING 6

    ONDERZOEKSPROCEDURE

    Artikel 25

    Praktische uitvoering

    1.   Verzoeken om instelling van een onderzoek worden schriftelijk aan de DPO toegezonden door gebruikmaking van een specifiek door hem ter beschikking gesteld formulier. Ingeval het recht van verzoek om instelling van een onderzoek duidelijk misbruikt wordt, bijvoorbeeld wanneer dezelfde persoon recentelijk een identiek verzoek heeft gedaan, is de DPO niet verplicht de verzoeker te antwoorden.

    2.   Binnen 15 dagen na ontvangst zendt de DPO het tot aanstelling bevoegd gezag of de opdrachtgever van het onderzoek een ontvangstbewijs toe en gaat hij na of het verzoek als vertrouwelijk moet worden behandeld.

    3.   De DPO verzoekt de betrokken verantwoordelijke voor de verwerking om een schriftelijke verklaring over de zaak. De verantwoordelijke voor de verwerking doet zijn antwoord binnen 15 dagen aan de DPO toekomen. De DPO kan van andere partijen, zoals het Beveiligingsbureau en de informatiebeveiligingsdienst van het SGR (INFOSEC), aanvullende informatie verlangen. Zo nodig, kan hij de Juridische dienst van de Raad om advies verzoeken. De DPO ontvangt de informatie of het advies binnen 30 dagen.

    4.   De DPO brengt uiterlijk drie maanden na ontvangst van het verzoek verslag uit aan het tot aanstelling bevoegd gezag of aan de persoon die het verzoek heeft ingediend.

    AFDELING 7

    SLOTBEPALINGEN

    Artikel 26

    Inwerkingtreding

    Dit besluit treedt in werking op de dag volgende op die van zijn bekendmaking in het Publicatieblad van de Europese Unie.

    Gedaan te Brussel, 13 september 2004.

    Voor de Raad

    De voorzitter

    B. R. BOT

    (1)  PB L 8 van 12.1.2001, blz. 1.

    (2)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

    (3)  Besluit 2004/338/EG, Euratom van de Raad van 22 maart 2004 houdende vaststelling van zijn reglement van orde (PB L 106 van 15.4.2004, blz. 22).

    (4)  Besluit 2001/264/EG van de Raad van 19 maart 2001 tot vaststelling van beveiligingsvoorschriften van de Raad (PB L 101 van 11.4.2001, blz. 1). Besluit gewijzigd bij Besluit 2004/194/EG (PB L 63 van 28.2.2004, blz. 48).

    (5)  Besluit van de secretaris-generaal van de Raad/hoge vertegenwoordiger voor het gemeenschappelijk buitenlands- en veiligheidsbeleid van 25 juni 2001 betreffende een code voor correct bestuurlijk gedrag van het secretariaat-generaal van de Raad van de Europese Unie en zijn personeel in de contacten die zij om professionele redenen met het publiek hebben (PB C 189 van 5.7.2001, blz. 1).

    (6)  PB L 56 van 4.3.1968, blz. 1. Verordening laatstelijk gewijzigd bij Verordening (EG, Euratom) nr. 723/2004 (PB L 124 van 27.4.2004, blz. 1).

    (7)  PB L 248 van 16.9.2002, blz. 1.

    Top