02016L0680 — NL — 04.05.2016 — 000.001

---

Onderstaande tekst dient louter ter informatie en is juridisch niet bindend. De EU-instellingen zijn niet aansprakelijk voor de inhoud. Alleen de besluiten die zijn gepubliceerd in het Publicatieblad van de Europese Unie (te raadplegen in EUR-Lex) zijn authentiek. Deze officiële versies zijn rechtstreeks toegankelijk via de links in dit document

►B

RICHTLIJN (EU) 2016/680 VAN HET EUROPEES PARLEMENT EN DE RAAD van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89)

Gerectificeerd bij:

►C1	Rectificatie, PB L 127, 23.5.2018, blz.  14 (2016/680)

---

▼B

RICHTLIJN (EU) 2016/680 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 27 april 2016

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad

HOOFDSTUK I

Algemene bepalingen

Artikel 1

Onderwerp en doelstellingen

1.  Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

2.  Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:

3.  Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.

Artikel 2

Toepassingsgebied

1.  Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1.

2.  Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

3.  Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:

Artikel 3

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

1)

„persoonsgegevens” : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2)

„verwerking” : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

3)	„verwerkingsbeperking” : het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

4)

„profilering” : elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

5)

„pseudonimisering” : het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

6)	„bestand” : elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

7)

„bevoegde autoriteit” : a) iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of b) ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

8)

„verwerkingsverantwoordelijke” : de bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

9)	„verwerker” : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

10)

„ontvanger” : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het lidstatelijke recht, gelden echter niet als ontvangers; bij de verwerking van die persoonsgegevens door die overheidsinstanties voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking;

11)	„inbreuk in verband met persoonsgegevens” : een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

12)

„genetische gegevens” : persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

13)

„biometrische gegevens” : persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

14)	„gezondheidsgegevens” : persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;

15)	„toezichthoudende autoriteit” : een door een lidstaat ingevolge artikel 41 ingestelde onafhankelijke overheidsinstantie;

16)	„internationale organisatie” : een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.

HOOFDSTUK II

Beginselen

Artikel 4

Beginselen inzake verwerking van persoonsgegevens

1.  De lidstaten schrijven voor dat persoonsgegevens:

2.  Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doel van artikel 1, lid 1, dan dat waarvoor de persoonsgegevens worden verzameld, is toegelaten voor zover:

3.  Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in artikel 1, lid 1, bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.

4.  De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de leden 1, 2 en 3 en kan deze naleving aantonen.

Artikel 5

Termijnen voor opslag en evaluatie

De lidstaten voorzien erin dat passende termijnen worden vastgelegd voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak van de opslag van persoonsgegevens. De naleving van die termijnen wordt met procedurele maatregelen gewaarborgd.

Artikel 6

Onderscheid tussen verschillende categorieën van betrokkenen

De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals:

Artikel 7

Onderscheid tussen persoonsgegevens en controle van de kwaliteit van persoonsgegevens

1.  De lidstaten voorzien erin dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.

2.  De lidstaten voorzien erin dat de bevoegde autoriteiten alle redelijke maatregelen nemen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert iedere bevoegde autoriteit, voor zover praktisch haalbaar, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld. Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.

3.  Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 16.

Artikel 8

Rechtmatigheid van de verwerking

1.  De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde autoriteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die verwerking gebaseerd is op het Unierecht of het lidstatelijke recht.

2.  In het lidstatelijke recht dat verwerking binnen het toepassingsgebied van deze richtlijn regelt, worden ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking gespecificeerd.

Artikel 9

Specifieke verwerkingsvoorwaarden

1.  Persoonsgegevens die door bevoegde autoriteiten voor de in artikel 1, lid 1 omschreven doeleinden worden verzameld, worden niet verwerkt voor andere doeleinden, tenzij die verwerking krachtens het Unierecht of het lidstatelijke recht is toegestaan. Wanneer persoonsgegevens voor zulke andere doeleinden worden verwerkt, is Verordening (EU) 2016/679 van toepassing, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.

2.  Wanneer aan bevoegde autoriteiten krachtens het lidstatelijke recht andere taken dan die ter verwezenlijking van de in artikel 1, lid 1, omschreven doeleinden worden toevertrouwd, is Verordening (EU) 2016/679 van toepassing op verwerking voor die doeleinden, waaronder archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.

3.  De lidstaten schrijven voor dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of recht van de listaten voorziet in specifieke verwerkingsvoorwaarden, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis stelt.

4.  De lidstaten schrijven voor dat, wanneer de doorzendende bevoegde autoriteit uit hoofde van lid 3 voorwaarden toepast op ontvangers in andere lidstaten en op organen en instanties die zijn opgericht krachtens de hoofstukken 4 en 5 van titel V VWEU, die voorwaarden niet mogen afwijken van de voorwaarden voor vergelijkbare doorzendingen van gegevens binnen de lidstaat van de doorzendende bevoegde autoriteit.

Artikel 10

Verwerking van bijzondere categorieën van persoonsgegevens

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en:

Artikel 11

Geautomatiseerde individuele besluitvorming

1.  De lidstaten schrijven voor dat uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, verboden zijn, tenzij het betrokken besluit is toegestaan krachtens het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.

2.  De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten en vrijheden en de legitieme belangen van de betrokkene zijn getroffen.

3.  Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.

HOOFDSTUK III

Rechten van de betrokkene

Artikel 12

Communicatie en regelingen voor de uitoefening van de rechten van de betrokkene

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke redelijke maatregelen neemt om de betrokkene de in artikel 13 bedoelde informatie te verstrekken, en dat iedere mededeling aan de betrokkene in het kader van de artikelen 11, 14 tot en met 18, en 31 in verband met verwerking in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal plaatsvindt. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.

2.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van artikel 11 en de artikelen 14 tot en met 18 faciliteert.

3.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt met betrekking tot de opvolging van zijn verzoek.

4.  De lidstaten schrijven voor dat het verstrekken van informatie overeenkomstig artikel 13, en elke communicatie of maatregel overeenkomstig de artikelen 11, 14 tot en met 18, en 31 kosteloos geschieden. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke:

Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

5.  Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 14 en 16 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.

Artikel 13

Aan de betrokkene ter beschikking gestelde of verstrekte informatie

1.  De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene ten minste de volgende informatie ter beschikking stelt:

2.  In aanvulling op de in lid 1 bedoelde informatie schrijven de lidstaten bij wet voor dat de verwerkingsverantwoordelijke de betrokkene in specifieke gevallen de volgende verdere informatie verstrekt om de betrokkene in staat te stellen zijn rechten uit te oefenen:

3.  De lidstaten kunnen wettelijke maatregelen treffen om de verstrekking van de in lid 2 bedoelde informatie aan de betrokkene uit te stellen, te beperken of achterwege te laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

4.  De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder één van de punten van lid 3 kunnen vallen.

Artikel 14

Recht op inzage van de betrokkene

Behoudens artikel 15 schrijven de lidstaten voor dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de al dan niet verwerking van hem betreffende persoonsgegevens en, wanneer dat het geval is, om die persoonsgegevens in te zien en om de volgende informatie te verkrijgen:

Artikel 15

Beperkingen van het inzagerecht

1.  De lidstaten kunnen wettelijke maatregelen treffen om het inzagerecht van de betrokkene geheel of gedeeltelijk te beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

2.  De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder de vrijstellingen van lid 1 kunnen vallen.

3.  In de in de leden 1 en 2 bedoelde gevallen schrijven de lidstaten voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om een beroep in te stellen bij de rechter.

4.  De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, documenteert. Die informatie wordt ter beschikking gesteld van de toezichthoudende autoriteiten.

Artikel 16

Recht op rectificatie of wissing van persoonsgegevens en verwerkingsbeperking

1.  De lidstaten voorzien erin dat de betrokkene het recht heeft van de verwerkingsverantwoordelijke zonder onnodige vertraging rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking schrijven de lidstaten voor dat de betrokkene het recht heeft om onvolledige persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.

2.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de persoonsgegevens zonder onnodige vertraging wist, en voorzien in het recht voor de betrokkene om van de verwerkingsverantwoordelijke zonder onnodige vertraging wissing van hem betreffende persoonsgegevens te verkrijgen wanneer verwerking indruist tegen artikel 4, 8 of 10 of wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een op de verwerkingsverantwoordelijke rustende wettelijke verplichting.

3.  In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:

Wanneer de verwerking op grond van punt a) van de eerste alinea wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de verwerkingsbeperking op te heffen.

4.  De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene schriftelijk in kennis stelt van een eventuele weigering tot rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, en van de redenen voor die weigering. De lidstaten kunnen wettelijke maatregelen treffen om de verplichting tot het verstrekken van die informatie geheel of gedeeltelijk te beperken, voor zover een dergelijke verwerkingsbeperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om beroep in te stellen bij de rechter.

5.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de rectificatie van de onjuiste persoonsgegevens meedeelt aan de bevoegde autoriteit van wie de onjuiste persoonsgegevens afkomstig zijn.

6.  De lidstaten schrijven voor dat, wanneer overeenkomstig de leden 1, 2 en 3 persoonsgegevens zijn gerectificeerd of gewist, of wanneer de verwerking ervan is beperkt, de verwerkingsverantwoordelijke de ontvangers in kennis stelt, ende ontvangers de persoonsgegevens rectificeren of wissen of de onder hun bevoegdheid vallende verwerking van persoonsgegevens beperken.

Artikel 17

Uitoefening van rechten door de betrokkene en controle door de toezichthoudende autoriteit

1.  In de in artikel 13, lid 3, artikel 15, lid 3, en artikel 16, lid 4, bedoelde gevallen treffen de lidstaten maatregelen die ertoe strekken dat de betrokkene zijn rechten ook via de bevoegde toezichthoudende autoriteit kan uitoefenen.

2.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene in kennis stelt van de mogelijkheid uit hoofde van lid 1 zijn rechten via de toezichthoudende autoriteit uit te oefenen.

3.  Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de toezichthoudende autoriteit de betrokkene er ten minste van in kennis dat alle noodzakelijke controles of een evaluatie door de toezichthoudende autoriteit hebben plaatsgevonden. De toezichthoudende autoriteit stelt de betrokkene tevens in kennis van zijn recht om beroep in te stellen bij de rechter.

Artikel 18

Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures

De lidstaten kunnen ervoor zorgen dat de uitoefening van de in de artikelen 13, 14 en 16 bedoelde rechten overeenkomstig het lidstatelijke recht geschiedt wanneer de persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt.

HOOFDSTUK IV

Verwerkingsverantwoordelijke en verwerker

Afdeling 1

Algemene verplichtingen

Artikel 19

Verplichtingen van de verwerkingsverantwoordelijke

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze richtlijn wordt verricht. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2.  Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.

Artikel 20

Gegevensbescherming door ontwerp en door standaardinstellingen

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, welke aan de verwerking zijn verbonden, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf overgaat tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze richtlijn en ter bescherming van de rechten van de betrokkenen.

2.  De lidstaten voorzien erin dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens standaard niet zonder de tussenkomst van de natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

Artikel 21

Gezamenlijke verwerkingsverantwoordelijken

1.  De lidstaten schrijven voor dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zij gezamenlijke verwerkingsverantwoordelijken zijn. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van deze richtlijn vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in artikel 13 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij, en voor zover, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij het Unierecht of het lidstatelijke recht die dat op de verwerkingsverantwoordelijken van toepassing is. In de regeling wordt een contactpunt voor betrokkenen aangewezen. De lidstaten kunnen bepalen welke van de gezamenlijke verwerkingsverantwoordelijken kan optreden als enig contactpunt voor betrokkenen die hun rechten willen uitoefenen.

2.  Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kunnen de lidstaten bepalen dat de betrokkene zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen met betrekking tot en jegens iedere verwerkingsverantwoordelijke kan uitoefenen.

Artikel 22

Verwerker

1.  De lidstaten schrijven voor dat, wanneer verwerking namens een verwerkingsverantwoordelijke wordt verricht, de verwerkingsverantwoordelijke uitsluitend een beroep doet op verwerkers die afdoende garanderen dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking aan de vereisten van deze richtlijn wordt voldaan en de bescherming van de rechten van de betrokkene wordt gewaarborgd.

2.  De lidstaten schrijven voor dat de verwerker geen andere verwerker in dienst neemt zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

3.  De lidstaten schrijven voor dat de verwerking door een verwerker in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht wordt geregeld die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de verplichtingen en de rechten van de verwerkingsverantwoordelijke worden omschreven. In die overeenkomst of andere rechtshandeling wordt met name bepaald dat de verwerker:

4.  De in lid 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, onder meer in elektronische vorm.

5.  Indien een verwerker in strijd met deze richtlijn de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 23

Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

De lidstaten schrijven voor dat de verwerker en eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze uitsluitend volgens de instructies van de verwerkingsverantwoordelijke verwerkt, tenzij hij op grond van het Unierecht of het lidstatelijke recht tot de verwerking gehouden is.

Artikel 24

Register van de verwerkingsactiviteiten

1.  De lidstaten schrijven voor dat verwerkingsverantwoordelijken een register bijhouden van alle categorieën van onder hun verantwoordelijkheid vallende verwerkingsactiviteiten. Dat register bevat alle volgende gegevens:

2.  De lidstaten schrijven voor dat elke verwerker een register bijhoudt van alle categorieën van verwerkingsactiviteiten die hij namens een verwerkingsverantwoordelijke heeft verricht; dat register bevat de volgende gegevens:

3.  Het in de leden 1 en 2 bedoelde register is opgesteld in schriftelijke vorm, onder meer in elektronische vorm.

De verwerkingsverantwoordelijke en de verwerker stellen die registers desgevraagd ter beschikking van de toezichthoudende autoriteit.

Artikel 25

Bijhouden van logbestanden

1.  De lidstaten voorzien erin dat logbestanden worden bijgehouden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing. De logbestanden van raadpleging en bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.

2.  De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor strafrechtelijke procedures.

3.  De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de toezichthoudende autoriteit.

Artikel 26

Medewerking met de toezichthoudende autoriteit

De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker desgevraagd met de toezichthoudende autoriteit samenwerken bij het vervullen van haar taken.

Artikel 27

Gegevensbeschermingseffectbeoordeling

1.  Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de reikwijdte, de context of de doeleinden daarvan, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, voorzien de lidstaten erin dat de verwerkingsverantwoordelijke vóór de verwerking een beoordeling verricht van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

2.  De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze richtlijn is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.

Artikel 28

Voorafgaande raadpleging van de toezichthoudende autoriteit

1.  De lidstaten voorzien erin dat de verwerkingsverantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:

2.  De lidstaten voorzien erin dat de toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.

3.  De lidstaten schrijven voor dat de toezichthoudende autoriteit een lijst kan opstellen van de verwerkingen waarvoor overeenkomstig lid 1 voorafgaande raadpleging moet plaatsvinden.

4.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling uit hoofde van artikel 27 verstrekt en, desgevraagd, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

5.  De lidstaten schrijven voor dat, wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 van dit artikel bedoelde voorgenomen verwerking indruist tegen deze richtlijn, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, zij binnen zes weken na ontvangst van het verzoek om raadpleging schriftelijk advies geeft aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en zij al haar in artikel 47 bedoelde bevoegdheden kan uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.

Afdeling 2

Beveiliging van persoonsgegevens

Artikel 29

Beveiliging van de verwerking

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de in artikel 10 bedoelde verwerking van bijzondere categorieën van persoonsgegevens.

2.  Ten aanzien van de geautomatiseerde verwerking voorziet elke lidstaat erin dat de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen treft om:

Artikel 30

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.  De lidstaten schrijven voor dat indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke deze zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de toezichthoudende autoriteit meldt, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico voor de rechten en vrijheden van personen met zich brengt. Wanneer de kennisgeving aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat deze vergezeld van een motivering voor de vertraging.

2.  De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.

3.  In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

4.  Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.

5.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen ervan en de genomen corrigerende maatregelen documenteert. Die documentatie moet de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te controleren.

6.  De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat, de in lid 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat wordt meegedeeld.

Artikel 31

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.  De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging meedeelt.

2.  De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 30, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.

3.  De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:

4.  Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.

5.  De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 13, lid 3.

Afdeling 3

Functionaris voor gegevensbescherming

Artikel 32

Aanwijzing van de functionaris voor gegevensbescherming

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming aanwijst. De lidstaten kunnen gerechten en andere onafhankelijke rechterlijke autoriteiten van die verplichting vrijstellen bij de uitoefening van hun rechterlijke taken.

2.  De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 34 bedoelde taken te vervullen.

3.  Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen.

4.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de contactgegevens van de functionaris voor gegevensbescherming openbaar maakt en deze aan de toezichthoudende autoriteit meedeelt.

Artikel 33

Positie van de functionaris voor gegevensbescherming

1.  De lidstaten schrijven voor dat de verwerkingsverantwoordelijke ervoor zorgt dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.

2.  De verwerkingsverantwoordelijke ondersteunt de functionaris voor gegevensbescherming bij de vervulling van de in artikel 34 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van die taken en het in stand houden van zijn deskundigheid.

Artikel 34

Taken van de functionaris voor gegevensbescherming

De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de functionaris voor gegevensbescherming ten minste de volgende taken opdraagt:

HOOFDSTUK V

Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

Artikel 35

Algemene beginselen inzake doorgifte van persoonsgegevens

1.  De lidstaten schrijven voor dat de bevoegde autoriteiten persoonsgegevens die worden verwerkt, of die bestemd zijn om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, ook na verdere doorgiften aan een ander derde land of een andere internationale organisatie, slechts mogen doorgeven met inachtneming van de andere bepalingen van deze richtlijn en indien aan de bij dit hoofdstuk neergelegde voorwaarden is voldaan, namelijk dat:

2.  De lidstaten schrijven voor dat doorgiften zonder voorafgaande toestemming door een andere lidstaat overeenkomstig punt c) van lid 1 slechts toegelaten zijn indien de doorgifte van persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.

3.  Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze richtlijn gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd.

Artikel 36

Doorgiften op basis van adequaatheidsbesluiten

1.  De lidstaten schrijven voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie een adequaat beschermingsniveau verzekert. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

2.  Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:

3.  De Commissie kan, na beoordeling van de vraag of het beschermingsniveau adequaat is, aan de hand van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, onder b), van dit artikel bedoelde toezichthoudende autoriteiten. De uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

4.  De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk een invloed hebben op het functioneren van krachtens lid 3 vastgestelde besluiten.

5.  Wanneer zulks uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde evaluatie, dat een derde land, een gebied of een of meer nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert, en gaat de Commissie voor zover nodig bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

Om naar behoren gemotiveerde dwingende redenen van urgentie stelt de Commissie volgens de in artikel 58, lid 3, bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen vast.

6.  De Commissie pleegt overleg met het derde land of de internationale organisatie ter verhelping van de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld.

7.  De lidstaten schrijven voor dat een overeenkomstig lid 5 vastgesteld besluit de doorgiften van persoonsgegevens aan het derde land, het gebied of één of meer nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie overeenkomstig de artikelen 37 tot en met 38 onverlet laat.

8.  De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een adequaat beschermingsniveau waarborgen.

Artikel 37

Doorgiften op voorwaarde van passende waarborgen

1.  Bij ontbreken van een besluit uit hoofde van artikel 36, lid 3, schrijven de lidstaten voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer:

2.  De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de categorieën van doorgiften uit hoofde van lid 1, onder b).

3.  Indien een doorgifte is gebaseerd op lid 1, onder b), wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.

Artikel 38

Afwijkingen voor specifieke situaties

1.  Bij ontbreken van een adequaatheidsbesluit uit hoofde van artikel 36, of van passende waarborgen uit hoofde van artikel 37, schrijven de lidstaten voor dat een doorgifte of een categorie van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts toegelaten is indien de doorgifte noodzakelijk is:

2.  Persoonsgegevens worden niet doorgegeven indien de bevoegde autoriteit die de doorgifte verricht, bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte bedoeld in lid 1, onder d) en e).

3.  Wanneer een doorgifte is gebaseerd op lid 1, wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.

Artikel 39

Doorgiften van persoonsgegevens aan ontvangers in derde landen

1.  In afwijking van artikel 35, lid 1, onder b), en onverminderd de internationale overeenkomsten als bedoeld in lid 2 van dit artikel, kan in het Unierecht of het lidstatelijke recht worden bepaald dat een rechtstreekse doorgifte van persoonsgegevens door de in artikel 3, punt 7, onder a), bedoelde bevoegde autoriteiten aan ontvangers in derde landen, in afzonderlijke en specifieke gevallen, alleen kan plaatsvinden indien aan de overige bepalingen van deze richtlijn en aan alle onderstaande voorwaarden is voldaan:

2.  Een internationale overeenkomst als bedoeld in lid 1 is een van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten en derde landen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

3.  De bevoegde autoriteit die de doorgifte doet, stelt de toezichthoudende autoriteit in kennis van doorgiften uit hoofde van dit artikel.

4.  Wanneer een doorgifte is gebaseerd op lid 1, wordt zij gedocumenteerd.

Artikel 40

Internationale samenwerking voor de bescherming van persoonsgegevens

Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten passende maatregelen om:

HOOFDSTUK VI

Onafhankelijke toezichthoudende autoriteiten

Afdeling 1

Onafhankelijkheid

Artikel 41

Toezichthoudende autoriteit

1.  Elke lidstaat voorziet erin dat één of meer onafhankelijke overheidsinstanties worden belast met het toezicht op de toepassing van deze richtlijn, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerking te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken („toezichthoudende autoriteit”).

2.  Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze richtlijn in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.

3.  De lidstaten kunnen bepalen dat een toezichthoudende autoriteit die overeenkomstig Verordening (EU) 2016/679 is opgericht, de in deze richtlijn bedoelde toezichthoudende autoriteit is en verantwoordelijk is voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden opgericht.

4.  Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit wordt opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die deze autoriteiten in het in artikel 51 bedoelde Comité vertegenwoordigt.

Artikel 42

Onafhankelijkheid

1.  Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden overeenkomstig deze richtlijn volledig onafhankelijk optreedt.

2.  De lidstaten schrijven voor dat de leden van hun toezichthoudende autoriteiten bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze richtlijn vrij blijven van al dan niet rechtstreekse externe invloed en instructies vragen noch aanvaarden van wie dan ook.

3.  De leden van de toezichthoudende autoriteiten van de lidstaten onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.

4.  Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de dienstruimten en infrastructuur die noodzakelijk zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.

5.  Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de betrokken toezichthoudende autoriteit staan.

6.  Elke lidstaat zorgt ervoor dat het financieel toezicht op elke toezichthoudende autoriteit de onafhankelijkheid van die autoriteit niet in het gedrang brengt, en dat zij een afzonderlijke, publieke, jaarlijkse begrotingen heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.

Artikel 43

Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.  De lidstaten schrijven voor dat elk lid van hun toezichthoudende autoriteiten volgens een transparante procedure wordt benoemd:

2.  Elk lid beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van hun taken en het uitoefenen van hun bevoegdheden.

3.  De taken van een lid eindigen bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig het recht van de betrokken lidstaat.

4.  Een lid wordt slechts ontslagen indien het op ernstige wijze is tekortgeschoten of niet langer aan de vereisten voor de uitvoering van de taken voldoet.

Artikel 44

Voorschriften betreffende de oprichting van de toezichthoudende autoriteit

1.  Elke lidstaat regelt al het volgende bij wet:

2  Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig het Unierecht of het lidstatelijke recht. Tijdens hun ambtstermijn geldt het beroepsgeheim met name voor meldingen van inbreuken op deze richtlijn door natuurlijke personen.

Afdeling 2

Competentie, taken en bevoegdheden

Artikel 45

Competentie

1.  Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit de competentie heeft om op het grondgebied van haar lidstaat de taken uit te voeren en de bevoegdheden uit te oefenen die haar overeenkomstig deze richtlijn zijn toegekend.

▼C1

2.  Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit niet bevoegd is voor het toezicht op verwerkingen door gerechten in het kader van hun rechterlijke taken. De lidstaten mogen bepalen dat hun toezichthoudende autoriteit niet bevoegd is om toe te zien op verwerkingen door andere onafhankelijke rechterlijke autoriteiten bij de uitoefening van hun rechterlijke taken.

▼B

Artikel 46

Taken

1.  Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit op zijn grondgebied:

2.  Elke toezichthoudende autoriteit faciliteert het indienen van klachten als bedoeld in lid 1, onder f), door maatregelen te nemen, zoals het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

3.  Elke toezichthoudende autoriteit verricht haar taken kosteloos voor de betrokkene en voor de functionaris voor gegevensbescherming.

4.  Wanneer een verzoek kennelijk ongegrond of buitensporig is, met name vanwege zijn repetitieve karakter, kan de toezichthoudende autoriteit op basis van haar administratieve kosten een redelijke vergoeding aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om aan te tonen dat het verzoek kennelijk ongegrond of buitensporig is.

Artikel 47

Bevoegdheden

1.  Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve onderzoeksbevoegdheden heeft. Die bevoegdheden omvatten ten minste de bevoegdheid om van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens die worden verwerkt en tot alle informatie die noodzakelijk is voor de uitvoering van haar taken.

2.  Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve bevoegdheden heeft tot het treffen van corrigerende maatregelen, zoals:

3.  Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de effectieve adviesbevoegdheden heeft om advies te verstrekken aan de verwerkingsverantwoordelijke in overeenstemming met de procedure van voorafgaande raadpleging van artikel 28, en om op eigen initiatief dan wel op verzoek advies te verstrekken aan haar nationaal parlement en haar regering, of, overeenkomstig haar nationale recht, aan andere instellingen en organen alsmede aan het publiek over aangelegenheden die verband houden met de bescherming van persoonsgegevens.

4.  Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.

5.  Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de bevoegd heeft om inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen en, waar passend, een rechtsvordering in te stellen of anderszins in rechte op te treden teneinde deze richtlijn te doen naleven.

Artikel 48

Melding van inbreuken

De lidstaten voorzien erin dat de bevoegde autoriteiten doeltreffende mechanismen invoeren om vertrouwelijke melding van inbreuken op deze richtlijn te bevorderen.

Artikel 49

Activiteitenverslagen

Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op, met daarin mogelijk een lijst van de soorten gemelde inbreuken en de soorten opgelegde straffen. De verslagen worden toegezonden aan het nationale parlement, de regering en andere autoriteiten die daartoe in het lidstatelijke recht zijn aangewezen. Zij worden ter beschikking gesteld van het publiek, de Commissie en het Comité.

HOOFDSTUK VII

Samenwerking

Artikel 50

Wederzijdse bijstand

1.  Elke lidstaat schrijft voor dat zijn toezichthoudende autoriteiten elkaar relevante informatie en wederzijdse bijstand verstrekken om deze richtlijn op een consequente manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand behelst met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om raadplegingen, inspecties en onderzoeken.

2.  De lidstaten schrijven voor dat elke toezichthoudende autoriteit alle passende maatregelen neemt die nodig zijn om een verzoek van een andere toezichthoudende autoriteit zonder onnodige vertraging en in ieder geval binnen één maand na de ontvangst ervan te beantwoorden. Hierbij kan het in het bijzonder gaan om de toezending van relevante informatie over het uitvoeren van een onderzoek.

3.  Verzoeken om bijstand bevatten alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.

4.  De aangezochte toezichthoudende autoriteit, mag het verzoek niet afwijzen tenzij:

5.  De aangezochte toezichthoudende autoriteit informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. De aangezochte toezichthoudende autoriteit motiveert elke afwijzing van een verzoek op grond van lid 4.

6.  De aangezochte toezichthoudende autoriteiten delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.

7.  De aangezochte toezichthoudende autoriteiten rekenen geen vergoeding aan voor maatregelen die zij hebben getroffen ten vervolge op een verzoek om wederzijdse bijstand. Toezichthoudende autoriteiten kunnen regels overeenkomen om elkaar te vergoeden voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.

8.  De Commissie kan aan de hand van uitvoeringshandelingen het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

Artikel 51

Taken van het Comité

1.  Het bij Verordening (EU) 2016/679. opgerichte Comité voert binnen het toepassingsgebied van deze richtlijn alle volgende taken in verband met verwerking uit:

▼C1

▼B

Met betrekking tot punt g), van lid 1 verstrekt de Commissie het Comité alle nodige documentatie, met inbegrip van correspondentie met de overheid van het derde land, het gebied of de nader bepaalde sector binnen dat derde land of de internationale organisatie.

2.  Wanneer de Commissie het Comité om advies vraagt, kan zij een termijn aangeven, rekening houdend met de spoedeisendheid van de aangelegenheid.

3.  Het Comité zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 58, lid 1, bedoelde comité en maakt deze bekend.

4.  De Commissie informeert het Comité over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Comité heeft getroffen.

HOOFDSTUK VIII

Beroep, aansprakelijkheid en straffen

Artikel 52

Recht om een klacht in te dienen bij een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte voorzien de lidstaten erin dat iedere betrokkene het recht heeft een klacht in te dienen bij één toezichthoudende autoriteit, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreukmaakt op de krachtens deze richtlijn vastgestelde bepalingen.

2.  De lidstaten schrijven voor dat, indien de klacht niet is ingediend bij de toezichthoudende autoriteit die bevoegd is op grond van artikel 45, lid 1, de toezichthoudende autoriteit waarbij de klacht is ingediend deze zonder onnodige vertraging aan de bevoegde toezichthoudende autoriteit doorzendt. De betrokkene wordt van de doorzending in kennis gesteld.

3.  De lidstaten schrijven voor dat de toezichthoudende autoriteit waarbij de klacht is ingediend, op verzoek van de betrokkene verdere bijstand verleent.

4.  De betrokkene wordt door de bevoegde toezichthoudende autoriteit op de hoogte gehouden van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte uit hoofde van artikel 53.

Artikel 53

Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep schrijven de lidstaten voor dat een natuurlijke persoon of een rechtspersoon het recht heeft tegen een hem betreffende juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.

2.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig artikel 45, lid 1, bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden van de voortgang of het resultaat van de uit hoofde van artikel 52 ingediende klacht in kennis stelt.

3.  De lidstaten schrijven voor dat een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd.

Artikel 54

Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker

Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht op grond van artikel 52 klacht in te dienen bij een toezichthoudende autoriteit, schrijven de lidstaten voor dat iedere betrokkene het recht heeft een doeltreffende voorziening in rechte in te stellen, indien hij van mening is dat een inbreuk is gepleegd op zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen als gevolg van een verwerking van zijn persoonsgegevens die niet aan die bepalingen voldoet.

Artikel 55

Vertegenwoordiging van betrokkenen

De lidstaten zorgen overeenkomstig hun procesrecht ervoor dat de betrokkene het recht heeft een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het openbare belang dienen, en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen en namens hem de in artikelen 52, 53en 54 bedoelde rechten uit te oefenen.

Artikel 56

Recht op schadevergoeding

De lidstaten schrijven voor dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met de krachtens deze richtlijn vastgestelde nationale voorschriften, het recht heeft van de verwerkingsverantwoordelijke of een andere volgens het lidstatelijke recht bevoegde autoriteit, vergoeding van de geleden schade te verkrijgen.

Artikel 57

Straffen

De lidstaten stellen de regeling vast betreffende de straffen die van toepassing zijn op inbreuken op deze richtlijn en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. De vastgestelde straffen moeten doeltreffend, evenredig en afschrikkend zijn.

HOOFDSTUK IX

Uitvoeringshandelingen

Artikel 58

Comitéprocedure

1.  De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.  Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.

HOOFDSTUK X

Slotbepalingen

Artikel 59

Intrekking van Kaderbesluit 2008/977/JBZ

1.  Kaderbesluit 2008/977/JBZ wordt ingetrokken met ingang van 6 mei 2018.

2.  Verwijzingen naar het in lid 1 bedoelde ingetrokken besluit gelden als verwijzingen naar deze richtlijn.

Artikel 60

Reeds van kracht zijnde Unierechtshandelingen

Onaangetast blijven de specifieke bepalingen voor de bescherming van persoonsgegevens in Unierechtshandelingen die in werking zijn getreden op of vóór 6 mei 2016 op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking en die voorzien in regels voor verwerking tussen lidstaten onderling, alsmede de toegang van door de lidstaten aangewezen autoriteiten tot informatiesystemen die zijn opgericht op grond van de Verdragen en onder het toepassingsgebied van deze richtlijn vallen.

Artikel 61

Verhouding tot reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking

Internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten zijn gesloten vóór 6 mei 2016 en die in overeenstemming zijn met het vóór die datum van toepassing zijnde Unierecht, blijven van kracht totdat zij worden gewijzigd, vervangen of herroepen.

Artikel 62

Commissieverslagen

1.  Uiterlijk op 6 mei 2022, en vervolgens om de vier jaar, brengt de Commissie verslag uit over de evaluatie en herziening van deze richtlijn aan het Europees Parlement en aan de Raad. De verslagen worden openbaar gemaakt.

2.  In het kader van de in lid 1 bedoelde evaluaties en herzieningen beoordeelt de Commissie met name de toepassing en het functioneren van hoofdstuk V betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, in het bijzonder met betrekking tot de krachtens artikel 36, lid 3, en artikel 39 vastgestelde besluiten.

3.  Met het oog op de in leden 1 en 2 bedoelde doeleinden kan de Commissie de lidstaten en de toezichthoudende autoriteiten om informatie verzoeken.

4.  Bij het uitvoeren van de in de leden 1 en 2 bedoelde evaluaties en herzieningen houdt de Commissie rekening met de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante instanties of bronnen.

5.  Indien nodig dient de Commissie passende voorstellen in teneinde deze richtlijn te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij.

6.  Uiterlijk op 6 mei 2019, gaat de Commissie na of andere handelingen die de Unie heeft vastgesteld in verband met verwerking door de bevoegde instanties voor de doeleinden van artikel 1, lid 1, met inbegrip van die bedoeld in artikel 60, aan deze richtlijn moeten worden aangepast en dient in voorkomend geval de nodige voorstellen in om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van deze richtlijn te waarborgen.

Artikel 63

Omzetting

1.  Uiterlijk op 6 mei 2018 stellen de lidstaten de nodige wettelijke en bestuursrechtelijke bepalingen vast en maken deze bekend teneinde aan deze richtlijn te voldoen. Zij stellen de Commissie onverwijld in kennis van de tekst van die bepalingen. Zij passen die bepalingen toe met ingang van 6 mei 2018.

Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor die verwijzing worden vastgesteld door de lidstaten.

2.  Indien de toepassing van lid 1 buitensporige inspanningen met zich zou brengen, kan een lidstaat in afwijking van dat lid uitzonderlijk bepalen dat de geautomatiseerde verwerkingssystemen die zijn opgezet vóór 6 mei 2016, uiterlijk op 6 mei 2023 met artikel 25, lid 1, in overeenstemming worden gebracht.

3.  In afwijking van de leden 1 en 2 van dit artikel kan een lidstaat in uitzonderlijke omstandigheden een systeem voor geautomatiseerde verwerking als bedoeld in lid 2 van dit artikel, binnen een nader bepaalde termijn na de in lid 2 van dit artikel bedoelde periode met artikel 25, lid 1, in overeenstemming brengen indien de werking van dat systeem voor geautomatiseerde verwerking anders ernstig in het gedrang zou komen. De betrokken lidstaat stelt de Commissie in kennis van de redenen voor die ernstige moeilijkheden en voor de nader bepaalde termijn waarbinnen hij het genoemde systeem voor geautomatiseerde verwerking met artikel 25, lid 1, in overeenstemming brengt. De nader bepaalde termijn verstrijkt in geen geval later dan 6 mei 2026.

4.  De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 64

Inwerkingtreding

Deze richtlijn treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 65

Adressaten

Deze richtlijn is gericht tot de lidstaten.