This document is an excerpt from the EUR-Lex website
Document 32018R1725
Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (Text with EEA relevance.)
Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (Voor de EER relevante tekst.)
Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (Voor de EER relevante tekst.)
PE/31/2018/REV/1
PB L 295 van 21.11.2018, p. 39–98
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
21.11.2018 |
NL |
Publicatieblad van de Europese Unie |
L 295/39 |
VERORDENING (EU) 2018/1725 VAN HET EUROPEES PARLEMENT EN DE RAAD
van 23 oktober 2018
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG
(Voor de EER relevante tekst)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité (1),
Handelend volgens de gewone wetgevingsprocedure (2),
Overwegende hetgeen volgt:
(1) |
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Dit recht wordt ook gewaarborgd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. |
(2) |
Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (3) worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten. |
(3) |
Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4) en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking. |
(4) |
Verordening (EU) 2016/679 schrijft de aanpassing van Verordening (EG) nr. 45/2001 voor om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en om het mogelijk te maken dat de aanpassing ervan gelijktijdig met Verordening (EU) 2016/679 kan worden toegepast. |
(5) |
In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van Verordening (EU) 2016/679, dienen beide bepalingen overeenkomstig de rechtspraak van het Hof van Justitie van de Europese Unie („het Hof van Justitie”) homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679. |
(6) |
Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon. |
(7) |
Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. |
(8) |
Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door alle instellingen, organen en instanties van de Unie. Deze verordening dient van toepassing te zijn op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om daarin te worden opgenomen. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze verordening vallen. |
(9) |
In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Een afzonderlijk hoofdstuk van deze verordening met algemene regels dient derhalve van toepassing te zijn op de verwerking van operationele persoonsgegevens, zoals persoonsgegevens die worden verwerkt met het oog op strafrechtelijk onderzoek door instellingen, organen of instanties van de Unie wanneer zij activiteiten uitvoeren op het gebied van justitiële samenwerking in strafzaken en de politiële samenwerking. |
(10) |
Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde ervoor te zorgen, dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau geldt door middel van in rechte afdwingbare rechten, en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen instellingen, organen of instanties van de Unie wanneer die activiteiten uitoefenen die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, en bevoegde autoriteiten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke instellingen, organen of instanties van de Unie worden verwerkt, te stroken met Richtlijn (EU) 2016/680. |
(11) |
De in het afzonderlijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens opgenomen algemene regels dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke regels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Dergelijke specifieke regels moeten worden beschouwd als een „lex specialis” ten opzichte van de bepalingen in het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens (lex specialis derogat legi generali). Om juridische versnippering te verminderen dienen specifieke gegevensbeschermingsregels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, in overeenstemming te zijn met de beginselen die ten grondslag liggen aan het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens, alsook met de bepalingen van deze verordening met betrekking tot onafhankelijk toezicht, beroep, aansprakelijkheid en sancties. |
(12) |
Het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens moet van toepassing zijn op instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, ongeacht of zij deze activiteiten als hun hoofd- of neventaken uitoefenen, met het oog op de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten. Het mag evenwel niet van toepassing zijn op Europol en het Europees Openbaar Ministerie voordat de rechtshandelingen tot oprichting van Europol en het Europees Openbaar Ministerie zijn gewijzigd, teneinde hierin het hierop toepasselijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, in zijn aangepaste vorm, op te nemen. |
(13) |
De Commissie moet deze verordening evalueren, met name het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens. De Commissie moet eveneens andere op basis van de Verdragen vastgestelde rechtshandelingen evalueren waarin de verwerking wordt geregeld van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Om een eenvormige en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet de Commissie na deze evaluatie passende wetgevingsvoorstellen kunnen indienen, waaronder nodige aanpassingen van het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, teneinde het toe te passen op Europol en op het Europees Openbaar Ministerie. Bij de aanpassingen moet rekening worden gehouden met bepalingen inzake onafhankelijk toezicht, beroep, aansprakelijkheid en sancties. |
(14) |
De verwerking van administratieve persoonsgegevens, zoals personeelsgegevens, door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, moeten door deze verordening worden bestreken. |
(15) |
Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door instellingen, organen of instanties van de Unie die activiteiten verrichten die onder hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens door missies bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 van het VEU, waarbij het gemeenschappelijk veiligheids- en defensiebeleid ten uitvoer wordt gelegd. Waar passend moeten relevante voorstellen worden gedaan om de verwerking van persoonsgegevens op het gebied van het gemeenschappelijk veiligheids- en defensiebeleid verder te reguleren. |
(16) |
De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden. |
(17) |
De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten. |
(18) |
Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren. |
(19) |
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. Tegelijkertijd moet de betrokkene het recht hebben de toestemming te allen tijde in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die gebaseerd werd op toestemming vóór de intrekking daarvan. Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er een duidelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. Op het moment van gegevensverzameling is het vaak niet mogelijk om het doel van de gegevensverwerking ten behoeve van wetenschappelijk onderzoek volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van wetenschappelijk onderzoek, mits erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten een mogelijkheid gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat. |
(20) |
Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt en ter voorkoming van ongeoorloofde bekendmaking tijdens de doorzending van. |
(21) |
Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen dezelfde instelling of hetzelfde orgaan van de Unie en de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke, of naar andere instellingen of organen van de Unie, na te gaan of die persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is. De verwerkingsverantwoordelijke dient ook een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd. |
(22) |
De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag op grond van deze verordening bestaat, zoals de toestemming van de betrokkene, indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen. |
(23) |
De Unierechtelijke bepaling waarnaar in deze verordening wordt verwezen, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. |
(24) |
De in deze verordening bedoelde interne voorschriften moeten duidelijke en precieze handelingen van algemene strekking zijn, waarmee rechtsgevolgen jegens betrokkenen worden beoogd. Zij moeten zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie binnen hun bevoegdheidssfeer en in aangelegenheden die verband houden met hun werking. Zij moeten worden bekendgemaakt in het Publicatieblad van de Europese Unie. De toepassing van deze voorschriften moet voorspelbaar zijn voor degenen op wie zij van toepassing zijn, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Interne voorschriften kunnen de vorm aannemen van besluiten, met name wanneer zij zijn vastgesteld door instellingen van de Unie. |
(25) |
De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met aanvankelijke doeleinden verenigbare rechtmatige verwerkingen worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen. |
(26) |
Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (6) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. |
(27) |
Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en de verwerking van persoonsgegevens op toestemming berust. |
(28) |
Wanneer in de Unie gevestigde ontvangers, die geen instellingen of organen van de Unie zijn, wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending van gegevens noodzakelijk is voor de uitvoering van hun taak die wordt verricht in het openbaar belang of bij de uitoefening van het hun verleende openbaar gezag. Een andere optie is dat de ontvangers moeten aantonen dat de doorzending noodzakelijk is voor een specifiek doel in het openbaar belang, terwijl de verwerkingsverantwoordelijke moet vaststellen of er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene zouden worden geschaad. In dit geval dient de verwerkingsverantwoordelijke de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar af te wegen om te beoordelen of de gevraagde doorzending van persoonsgegevens noodzakelijk en evenredig is. Het specifiek doel in het openbaar belang kan verband houden met de transparantie van de instellingen en organen van de Unie. Overeenkomstig het beginsel van transparantie en goed bestuur dienen instellingen of organen van de Unie die noodzaak voorts aan te tonen indien zijzelf het initiatief nemen voor de doorzending. De in deze verordening vastgestelde vereisten voor doorzendingen aan in de Unie gevestigde ontvangers die geen instellingen of organen van de Unie zijn, moeten worden begrepen als aanvulling op de voorwaarden voor rechtmatige verwerking. |
(29) |
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Dergelijke persoonsgegevens mogen niet verwerkt worden tenzij aan de in deze verordening vastgelegde specifieke voorwaarden is voldaan. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken. |
(30) |
Bijzondere categorieën persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht moet voorzien in specifieke en passende maatregelen voor de bescherming van grondrechten en de persoonsgegevens van natuurlijke personen. |
(31) |
Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (7) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt. |
(32) |
Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst. |
(33) |
De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen op grond van deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. instellingen en organen van de Unie dienen in het Unierecht passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, hetgeen door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking kan omvatten. |
(34) |
Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven. |
(35) |
Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn. |
(36) |
De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt. |
(37) |
Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft. |
(38) |
Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering. |
(39) |
Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren. |
(40) |
Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven. |
(41) |
Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden. |
(42) |
Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen. |
(43) |
Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit — dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft. Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan. |
(44) |
Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften die zijn vastgesteld door instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronischecommunicatiegegevens en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, en voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden. |
(45) |
Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. |
(46) |
Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt, of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen. |
(47) |
De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking van gegevens gepaard gaat met een risico of een hoog risico. |
(48) |
Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen. |
(49) |
In Verordening (EU) 2016/679 is bepaald dat verwerkingsverantwoordelijken de naleving van die verordening moeten aantonen door zich aan te sluiten bij een goedgekeurde certificeringsregeling. Ook de instellingen en organen van de Unie moeten de naleving van deze verordening kunnen aantonen door certificering te verkrijgen overeenkomstig artikel 42 van Verordening (EU) 2016/679. |
(50) |
Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd. |
(51) |
Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker die geen instelling of orgaan van de Unie is, dient te worden geregeld in een overeenkomst of, ingeval instellingen of organen van de Unie als verwerkers optreden, door een overeenkomst of andere rechtshandeling krachtens het Unierecht waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan. |
(52) |
Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op die verwerkingen. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Omwille van de transparantie moeten zij dit register openbaar kunnen maken. |
(53) |
Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen. |
(54) |
De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen. Zij dienen de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8). Zij dienen ook de persoonsgegevens te beschermen die in gebruikerslijsten zijn opgeslagen. |
(55) |
Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost. |
(56) |
De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico’s voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren. |
(57) |
In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming. De verwerkingsverantwoordelijke houdt een register bij van de verwerkingen van persoonsgegevens waarvan kennisgeving is gedaan, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Naast deze algemene verplichting moeten doeltreffende procedures en mechanismen worden ingesteld voor het toezicht op de verwerkingen die vanwege hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Dergelijke procedures moeten met name ook worden ingesteld wanneer de soorten verwerkingen van nieuwe technologieën gebruikmaken, of van een nieuw type zijn waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico’s te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan. |
(58) |
Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken. |
(59) |
De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en geraadpleegd over door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking, die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken. |
(60) |
Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient de Commissie bij het opstellen van voorstellen of aanbevelingen ernaar te streven de Europese Toezichthouder voor gegevensbescherming te raadplegen. Raadpleging door de Commissie dient verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen of in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt. |
(61) |
In overeenstemming met artikel 75 van Verordening (EU) 2016/679 dient de Europese Toezichthouder voor gegevensbescherming het secretariaat van het Europees Comité voor gegevensbescherming te verzorgen. |
(62) |
Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de door de verwerkingsverantwoordelijke of de verwerker uitgevoerde gegevensverwerkingen en de bescherming die vereist is voor de betrokken gegevens. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren. |
(63) |
Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, moet het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, worden gewaarborgd. Dezelfde waarborgen moeten gelden bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening en met eerbied voor de in het Handvest verankerde grondrechten en fundamentele vrijheden. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft. |
(64) |
De Commissie kan vaststellen op grond van artikel 45 van Verordening (EU) 2016/679 of artikel 36 van Richtlijn (EU) 2016/680, dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is. |
(65) |
Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of -organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen. |
(66) |
Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming. |
(67) |
Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht. |
(68) |
Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene. |
(69) |
Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene. |
(70) |
Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten. |
(71) |
Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien is het mogelijk dat nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming niet kunnen klachten behandelen of onderzoek verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en nationale toezichthoudende autoriteiten te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland. |
(72) |
De instelling bij Verordening (EG) nr. 45/2001 van de Europese Toezichthouder voor gegevensbescherming, die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt. De Europese Toezichthouder voor gegevensbescherming moet een persoon zijn wiens onafhankelijkheid boven alle twijfel verheven is en die duidelijk over de ervaring en de bekwaamheid beschikt om de taken van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat hij heeft behoord tot een van de krachtens artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten. |
(73) |
Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de nationale toezichthoudende autoriteiten, waaronder bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, bevoegdheden om inbreuken op deze verordening ter kennis van het Hof van Justitie te brengen en bevoegdheden om overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen. |
(74) |
De toezichtsbevoegdheid van de Europese Toezichthouder voor gegevensbescherming mag zich niet uitstrekken tot de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt, zulks teneinde de onafhankelijkheid van het Hof bij de uitoefening van zijn rechterlijke taken, waaronder besluitvorming, te waarborgen. Voor dergelijke verwerkingen moet het Hof overeenkomstig artikel 8, lid 3, van het Handvest onafhankelijk toezicht instellen, bijvoorbeeld door middel van een intern mechanisme. |
(75) |
Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen. |
(76) |
De Europese Toezichthouder voor gegevensbescherming dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (9) na te leven. |
(77) |
De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten. |
(78) |
Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is daarom een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie. |
(79) |
Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten. |
(80) |
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden. |
(81) |
Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan van de Unie — in plaats van een natuurlijke persoon — wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen de inbreuken te worden benoemd waarvoor administratieve geldboetes gelden, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden geldboeten. De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk, de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een instelling of een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie. |
(82) |
Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen. |
(83) |
Een ambtenaar of een ander personeelslid van de Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Unie, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (10) („het Personeelsstatuut”). |
(84) |
Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die persoonsgegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden. |
(85) |
De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (12) bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken. |
(86) |
Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie (13) moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten gelden als verwijzingen naar deze verordening. |
(87) |
Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn. |
(88) |
Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken. |
(89) |
De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 15 maart 2017 (14) advies uitgebracht, |
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
HOOFDSTUK I
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp en doelstellingen
1. Bij deze verordening worden voorschriften vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Unie en betreffende het vrije verkeer van persoonsgegevens tussen hen of naar andere in de Unie gevestigde ontvangers.
2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
3. De Europese Toezichthouder voor gegevensbescherming houdt toezicht op de toepassing van deze verordening op alle door een instelling of orgaan van de Unie verrichte verwerkingen.
Artikel 2
Toepassingsgebied
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens door alle instellingen en organen van de Unie.
2. Uitsluitend artikel 3 en hoofdstuk IX van deze verordening zijn van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitoefening van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen.
3. Deze verordening is niet van toepassing op de verwerking van operationele persoonsgegevens door Europol en het Europees Openbaar Ministerie tot Verordening (EU) 2016/794 van het Europees Parlement en de Raad (15) en Verordening (EU) 2017/1939 (16) zijn aangepast in overeenstemming met artikel 98 van deze verordening.
4. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door missies als bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 VEU.
5. De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking, van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.
Artikel 3
Definities
Voor de toepassing van deze verordening gelden de volgende definities:
1. |
„persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; |
2. |
„operationele persoonsgegevens”: alle persoonsgegevens die worden verwerkt door organen of instanties van de Unie wanneer zij onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallende activiteiten uitoefenen om de in de handelingen tot oprichting van deze organen of instanties genoemde doelstellingen en taken te verwezenlijken; |
3. |
„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; |
4. |
„beperking van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken; |
5. |
„profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen; |
6. |
„pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld; |
7. |
„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid; |
8. |
„verwerkingsverantwoordelijke”: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; |
9. |
„andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie”: verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 en verwerkingsverantwoordelijken in de zin van artikel 3, punt 8, van Richtlijn (EU) 2016/680; |
10. |
„instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het VEU, het VWEU of het Euratom-Verdrag; |
11. |
„bevoegde autoriteit”: een overheidsinstantie in een lidstaat die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; |
12. |
„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt; |
13. |
„ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers. De verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn; |
14. |
„derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken; |
15. |
„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt; |
16. |
„inbreuk in verband met persoonsgegevens”: inbreuk op de beveiliging die leidt tot de vernietiging, het verlies of de wijziging of de ongeoorloofde onthulling van, of de toegang tot, doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij onbedoeld, hetzij onrechtmatig; |
17. |
„genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon; |
18. |
„biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens; |
19. |
„gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven; |
20. |
„dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (17); |
21. |
„internationale organisatie”: een internationaalpubliekrechtelijke organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen, of enig ander orgaan dat is opgericht bij of op grond van een overeenkomst tussen twee of meer landen; |
22. |
„nationale toezichthoudende autoriteit”: een door een lidstaat op grond van artikel 51 van Verordening (EU) 2016/679 of op grond van artikel 41 van Richtlijn (EU) 2016/680 ingestelde onafhankelijke overheidsinstantie; |
23. |
„gebruiker”: elke natuurlijke persoon die gebruikmaakt van een netwerk dat of eindapparatuur die onder de verantwoordelijkheid van een instelling of orgaan van de Unie wordt geëxploiteerd; |
24. |
„gebruikerslijst”: een publiek toegankelijke lijst van gebruikers of een interne lijst van gebruikers die binnen een instelling of orgaan van de Unie beschikbaar is of tussen instellingen en organen van de Unie wordt gedeeld, zowel in gedrukte als in elektronische vorm; |
25. |
„elektronischecommunicatienetwerk”: de transmissiesystemen, al dan niet gebaseerd op een permanente infrastructuur of gecentraliseerde beheercapaciteit, en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen, waaronder netwerkelementen die niet actief zijn, die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, elektriciteitsnetten, voor zover deze voor overdracht van signalen worden gebruikt, netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie; |
26. |
„eindapparatuur”: eindapparatuur zoals gedefinieerd in artikel 1, punt 1, van Richtlijn 2008/63/EG van de Commissie (18). |
HOOFDSTUK II
ALGEMENE BEGINSELEN
Artikel 4
Beginselen inzake verwerking van persoonsgegevens
1. Persoonsgegevens:
a) |
worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”); |
b) |
worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 13 niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”); |
c) |
zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”); |
d) |
zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen worden getroffen om persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onnauwkeurig zijn, onverwijld te wissen of te rectificeren („juistheid”); |
e) |
worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, en zulks niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 13, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”); |
f) |
worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”). |
2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Artikel 5
Rechtmatigheid van de verwerking
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) |
de verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de instelling of het orgaan van Unie is verleend; |
b) |
de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; |
c) |
de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen; |
d) |
de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; |
e) |
de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. |
2. De rechtsgrond voor de in lid 1, onder a) en b), bedoelde verwerking wordt in het Unierecht vastgesteld.
Artikel 6
Verwerking voor een ander verenigbaar doel
Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 25, lid 1, bedoelde doelstellingen, houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a) |
ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; |
b) |
het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; |
c) |
de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, op grond van artikel 10, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, op grond van artikel 11; |
d) |
de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; |
e) |
het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering. |
Artikel 7
Voorwaarden voor toestemming
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Artikel 8
Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
1. Wanneer artikel 5, lid 1, onder d), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 13 jaar is. Wanneer het kind jonger is dan 13 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
2. Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.
3. Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.
Artikel 9
Doorzending van persoonsgegevens aan ontvangers die in de Unie zijn gevestigd en die geen instelling of orgaan van de Unie zijn
1. Onverminderd de artikelen 4 tot en met 6, en 10, worden persoonsgegevens uitsluitend doorgegeven aan ontvangers die in de Unie zijn gevestigd en die geen instellingen of organen van de Unie zijn, indien de ontvanger aantoont dat:
a) |
de gegevens nodig zijn voor de uitvoering van een taak die wordt verricht in het algemeen belang of ter uitoefening van het door de ontvanger beklede openbaar gezag, of |
b) |
de doorzending van de gegevens noodzakelijk is voor een specifiek doel in het openbaar belang, en de verwerkingsverantwoordelijke, indien er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene kunnen worden geschaad, na de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar te hebben afgewogen, aantoont dat de doorzending van persoonsgegevens voor dit specifieke doel evenredig is. |
2. Indien de verwerkingsverantwoordelijke het initiatief tot doorzending krachtens dit artikel neemt, toont hij aan dat de doorzending van persoonsgegevens noodzakelijk is voor en evenredig is aan de doeleinden van de doorzending, door toepassing van de criteria van lid 1, onder a) of b).
3. De instellingen en organen van de Unie brengen het recht op bescherming van persoonsgegevens in overeenstemming met het recht van toegang tot documenten overeenkomstig het recht van de Unie.
Artikel 10
Verwerking van bijzondere categorieën van persoonsgegevens
1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2. Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
a) |
de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in het Unierecht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; |
b) |
de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij het Unierecht dat passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt; |
c) |
de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven; |
d) |
de verwerking wordt verricht door een instantie zonder winstoogmerk die een entiteit vormt die geïntegreerd is in een instelling of orgaan van de Unie en die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van die instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; |
e) |
de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt; |
f) |
de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer het Hof van Justitie handelt in zijn hoedanigheid van rechtsprekende instantie; |
g) |
de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene; |
h) |
de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van het Unierecht of op grond van een overeenkomst met een gezondheidswerker en met inachtneming van de in lid 3 genoemde voorwaarden en waarborgen; |
i) |
de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van het Unierecht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of |
j) |
de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene. |
3. De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, onder h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels tot geheimhouding is gehouden.
Artikel 11
Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 5, lid 1, alleen worden verwerkt onder toezicht van het openbaar gezag of indien de verwerking is toegestaan bij Unierechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.
Artikel 12
Verwerking waarvoor identificatie niet is vereist
1. Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.
2. Wanneer de verwerkingsverantwoordelijke in de in lid 1 van dit artikel bedoelde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 17 tot en met 22 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.
Artikel 13
Waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.
HOOFDSTUK III
RECHTEN VAN DE BETROKKENE
AFDELING 1
transparantie en regelingen
Artikel 14
Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 15 en 16 bedoelde informatie en de in de artikelen 17 tot en met 24 en artikel 35 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 17 tot en met 24. In de in artikel 12, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 17 tot en met 24 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 17 tot en met 24 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene om een andere regeling verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 15 en 16 bedoelde informatie, het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 17 tot en met 24 en artikel 35 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. Onverminderd artikel 12 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 17 tot en met 23, om aanvullende gegevens vragen die nodig zijn ter bevestiging van de identiteit van de betrokkene.
7. De op grond van de artikelen 15 en 16 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8. Indien de Commissie op grond van artikel 12, lid 8, van Verordening (EU) 2016/679 gedelegeerde handelingen vaststelt om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen, verstrekken de instellingen en organen van de Unie, in voorkomend geval, de informatie op grond van de artikelen 15 en 16 van deze Verordening met gebruikmaking van dergelijke gestandaardiseerde iconen.
AFDELING 2
informatie en toegang tot persoonsgegevens
Artikel 15
Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
1. Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a) |
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke; |
b) |
de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking; |
d) |
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; |
e) |
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of aan een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd. |
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a) |
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
b) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid; |
c) |
wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; |
d) |
het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming; |
e) |
of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt; |
f) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
3. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
4. De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
Artikel 16
Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen
1. Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a) |
de identiteit en de contactgegevens van de verwerkingsverantwoordelijke; |
b) |
de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking; |
d) |
de betrokken categorieën van persoonsgegevens; |
e) |
in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens; |
f) |
in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd. |
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende aanvullende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a) |
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
b) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid; |
c) |
wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan; |
d) |
het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming; |
e) |
de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen; |
f) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
3. De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a) |
binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt; |
b) |
indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene, of |
c) |
indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt. |
4. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
5. De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:
a) |
de betrokkene reeds over de informatie beschikt; |
b) |
het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen; |
c) |
het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij het Unierecht, dat voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of |
d) |
de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van het Unierecht, waaronder een statutaire geheimhoudingsplicht. |
6. In de in lid 5, onder b), bedoelde gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de legitieme belangen van de betrokkene te beschermen, ook door het openbaar maken van de informatie.
Artikel 17
Recht van inzage van de betrokkene
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de volgende informatie te ontvangen:
a) |
de doeleinden van de verwerking; |
b) |
de betrokken categorieën van persoonsgegevens; |
c) |
de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties; |
d) |
indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
e) |
dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken; |
f) |
het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming; |
g) |
wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens; |
h) |
het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. |
2. Wanneer persoonsgegevens worden doorgegeven naar een derde land of aan een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen op grond van artikel 48 inzake de doorgifte.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie in een gangbare elektronische vorm verstrekt, tenzij de betrokkene om een andere regeling verzoekt.
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
AFDELING 3
rectificatie en wissing van gegevens
Artikel 18
Recht op rectificatie
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
Artikel 19
Recht op wissing van gegevens („recht om te worden vergeten”)
1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
a) |
de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt; |
b) |
de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), berust, in, en er is geen andere rechtsgrond voor de verwerking; |
c) |
de betrokkene maakt op grond van artikel 23, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking; |
d) |
de persoonsgegevens zijn onrechtmatig verwerkt; |
e) |
de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; |
f) |
de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1. |
2. Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en op grond van lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken, of andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:
a) |
voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie; |
b) |
voor het nakomen van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend; |
c) |
om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 10, lid 2, onder h) en i), en artikel 10, lid 3; |
d) |
met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen, of |
e) |
voor de instelling, uitoefening of onderbouwing van een rechtsvordering. |
Artikel 20
Recht op beperking van de verwerking
1. De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
a) |
de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid, met inbegrip van de volledigheid, van de persoonsgegevens te controleren; |
b) |
de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan; |
c) |
de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering; |
d) |
de betrokkene heeft op grond van artikel 23, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene. |
2. Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
3. Een betrokkene die op grond van lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
4. In geautomatiseerde bestanden wordt de beperking van de verwerking in beginsel met technische middelen tot stand gebracht. Het feit dat de verwerking van de persoonsgegevens wordt beperkt, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.
Artikel 21
Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of beperking van de verwerking
De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 18, artikel 19, lid 1, en artikel 20, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 22
Recht op overdraagbaarheid van gegevens
1. De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
a) |
de verwerking berust op toestemming op grond van artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), of op een overeenkomst op grond van artikel 5, lid 1, onder c), en |
b) |
de verwerking via geautomatiseerde procedés wordt verricht. |
2. Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid op grond van lid 1 heeft de betrokkene het recht om de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere, of naar andere verwerkingsverantwoordelijken dan instellingen of organen van de Unie, te laten doorzenden.
3. De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 19 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
4. Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen.
AFDELING 4
recht van bezwaar en geautomatiseerde individuele besluitvorming
Artikel 23
Recht van bezwaar
1. De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 5, lid 1, onder a), met inbegrip van profilering op basis van die bepaling. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
2. Het in lid 1 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.
3. Onverminderd de artikelen 36 en 37 mag de betrokkene in het kader van het gebruik van diensten van de informatiemaatschappij zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
4. Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, heeft de betrokkene het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.
Artikel 24
Geautomatiseerde individuele besluitvorming, waaronder profilering
1. De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
2. Lid 1 geldt niet indien het besluit:
a) |
noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke; |
b) |
is toegestaan door het Unierecht, dat ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of |
c) |
berust op de uitdrukkelijke toestemming van de betrokkene. |
3. In de in lid 2, onder a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.
4. De in lid 2 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 10, lid 2, onder a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
AFDELING 5
beperkingen
Artikel 25
Beperkingen
1. De toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, kan worden beperkt door middel van rechtshandelingen die zijn vastgesteld op grond van de Verdragen of, voor aangelegenheden betreffende de werking van de instellingen of organen van de Unie betreft, door interne voorschriften van deze instellingen of organen van de Unie, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a) |
de nationale veiligheid, de openbare veiligheid of de defensie van de lidstaten; |
b) |
de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; |
c) |
andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid; |
d) |
de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronischecommunicatienetwerken; |
e) |
de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures; |
f) |
de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen; |
g) |
een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c); |
h) |
de bescherming van de betrokkene of van de rechten en vrijheden van anderen; |
i) |
de inning van civielrechtelijke vorderingen. |
2. De in lid 1 bedoelde rechtshandelingen of interne voorschriften bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval:
a) |
de doeleinden van de verwerking of van de categorieën van verwerking; |
b) |
de categorieën van persoonsgegevens; |
c) |
het toepassingsgebied van de ingevoerde beperkingen; |
d) |
de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte; |
e) |
de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken; |
f) |
de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, en |
g) |
de risico’s voor de rechten en vrijheden van de betrokkenen. |
3. Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
4. Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20, 21, 22 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
5. De in de leden 1, 3, en 4, bedoelde interne voorschriften zijn duidelijke en precieze handelingen van algemene strekking, waarmee rechtsgevolgen jegens betrokkenen worden beoogd, zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie en worden bekendgemaakt in het Publicatieblad van de Europese Unie.
6. Wanneer op grond van lid 1 een beperking wordt opgelegd, wordt de betrokkene overeenkomstig het Unierecht in kennis gesteld van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn recht om bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen.
7. Indien een beroep wordt gedaan op een op grond van lid 1 opgelegde beperking om de betrokkene toegang te weigeren, deelt de Europese Toezichthouder voor gegevensbescherming, wanneer hij de klacht bestudeert, de betrokkene uitsluitend mee of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.
8. Het verstrekken van de informatie als bedoeld in de leden 6 en 7 van dit artikel en in artikel 45, lid 2, kan worden uitgesteld, achterwege gelaten of geweigerd indien het verstrekken van die informatie de gevolgen van de op grond van lid 1 van dit artikel opgelegde beperking teniet zou doen.
HOOFDSTUK IV
VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
AFDELING 1
algemene verplichtingen
Artikel 26
Verantwoordelijkheid van de verwerkingsverantwoordelijke
1. Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
3. Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.
Artikel 27
Gegevensbescherming door ontwerp en door standaardinstellingen
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een op grond van artikel 42 van Verordening (EU) 2016/679 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.
Artikel 28
Gezamenlijke verwerkingsverantwoordelijken
1. Indien twee of meerdere verwerkingsverantwoordelijken of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 15 en 16 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Artikel 29
Verwerker
1. Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
2. De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.
3. De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a) |
de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt; |
b) |
waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; |
c) |
alle op grond van artikel 33 vereiste maatregelen neemt; |
d) |
aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet; |
e) |
rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden; |
f) |
rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen op grond van de artikelen 33 tot en met 40; |
g) |
na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht; |
h) |
de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt. |
Waar het gaat om de eerste alinea, onder h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
4. Wanneer een verwerker een andere verwerker in dienst neemt om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijke recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
5. Wanneer een verwerker geen instelling of orgaan van de Unie is, kan de aansluiting daarvan bij een goedgekeurde gedragscode als bedoeld in artikel 40, lid 5, van Verordening (EU) 2016/679 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 van Verordening (EU) 2016/679 worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.
6. Onverminderd enige individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 3 en 4 van dit artikel bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 7 en 8 van dit artikel bedoelde standaardcontractbepalingen, ook indien zij deel uitmaken van de certificering die een verwerker, niet zijnde een instelling of orgaan van de Unie, op grond van artikel 42 van Verordening (EU) 2016/679 is verleend.
7. De Commissie kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure standaardcontractbepalingen vaststellen.
8. De Europese Toezichthouder voor gegevensbescherming kan voor de in de leden 3 en 4 genoemde aangelegenheden standaardcontractbepalingen opstellen.
9. De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.
10. Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 65 en 66 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 30
Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.
Artikel 31
Register van verwerkingsactiviteiten
1. Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a) |
de naam en de contactgegevens van de verwerkingsverantwoordelijke, de functionaris voor gegevensbescherming, en, in voorkomend geval, de verwerker en de gezamenlijke verwerkingsverantwoordelijke; |
b) |
de doeleinden van de verwerking; |
c) |
een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; |
d) |
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in lidstaten, derde landen of internationale organisaties; |
e) |
indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen; |
f) |
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; |
g) |
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33. |
2. Iedere verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verwerkingsverantwoordelijke heeft verricht, met daarin de volgende gegevens:
a) |
de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt, en van de functionaris voor gegevensbescherming; |
b) |
de categorieën van verwerkingen die ten behoeve van iedere verwerkingsverantwoordelijke zijn uitgevoerd; |
c) |
indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen; |
d) |
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33. |
3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.
4. De instellingen en organen van de Unie verstrekken de Europese Toezichthouder voor gegevensbescherming desgevraagd hun register.
5. Tenzij dat gezien de omvang van de instelling of het orgaan van de Unie niet noodzakelijk is, brengen de instellingen en organen van de Unie hun registers van verwerkingsactiviteiten in een centraal register onder. Zij maken het register openbaar toegankelijk.
Artikel 32
Samenwerking met de Europese Toezichthouder voor gegevensbescherming
De instellingen en organen van de Unie werken desgevraagd samen met de Europese Toezichthouder voor gegevensbescherming bij het vervullen van zijn taken.
AFDELING 2
persoonsgegevensbeveiliging
Artikel 33
Beveiliging van de verwerking
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a) |
de pseudonimisering en versleuteling van persoonsgegevens; |
b) |
het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen; |
c) |
het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen; |
d) |
een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking. |
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk is gehouden.
4. Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat aan de vereisten van lid 1 van dit artikel is voldaan.
Artikel 34
Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming
1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2. De verwerker informeert de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) |
de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; |
b) |
de naam en de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; |
d) |
de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. |
4. Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.
5. De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming in kennis van de inbreuk in verband met persoonsgegevens.
6. De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.
Artikel 35
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.
2. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 34, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.
3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een of meer van de volgende voorwaarden is voldaan:
a) |
de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; |
b) |
de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; |
c) |
de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. |
4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.
AFDELING 3
vertrouwelijkheid van elektronische communicatie
Artikel 36
Vertrouwelijkheid van elektronische communicatie
De instellingen en organen van de Unie waarborgen de vertrouwelijkheid van de elektronische communicatie, met name door hun elektronische communicatienetwerken te beveiligen.
Artikel 37
Bescherming van gegevens die worden overgedragen naar, opgeslagen zijn op en verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers
De instellingen en organen van de Unie beschermen de gegevens die worden overgedragen naar, opgeslagen zijn op, verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers die hun openbaar toegankelijke websites en mobiele toepassingen bezoeken, overeenkomstig artikel 5, lid 3, van Richtlijn 2002/58/EG.
Artikel 38
Gebruikerslijsten
1. Persoonsgegevens die in gebruikerslijsten zijn opgenomen en de toegang tot dergelijke lijsten worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst strikt noodzakelijk is.
2. De instellingen en organen van de Unie nemen alle nodige maatregelen om te voorkomen dat in die gebruikerslijsten opgenomen persoonsgegevens voor direct marketing worden gebruikt, ongeacht of die lijsten al dan niet publiek toegankelijk zijn.
AFDELING 4
gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Artikel 39
Gegevensbeschermingseffectbeoordeling
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.
2. De verwerkingsverantwoordelijke wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de functionaris voor gegevensbescherming in.
3. Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a) |
een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; |
b) |
grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 11, of |
c) |
stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. |
4. De Europese Toezichthouder voor gegevensbescherming stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling op grond van lid 1 verplicht is, en maakt deze lijst openbaar.
5. De Europese Toezichthouder voor gegevensbescherming kan ook een lijst opstellen en openbaar maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.
6. Alvorens hij de in de leden 4 en 5 van dit artikel bedoelde lijsten vaststelt, vraagt de Europese Toezichthouder voor gegevensbescherming aan het bij artikel 68 van Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming om die lijsten overeenkomstig artikel 70, lid 1, onder e), van die verordening te onderzoeken, met name wanneer zij betrekking hebben op verwerkingen door een verwerkingsverantwoordelijke die gezamenlijk optreedt met één of meer verwerkingsverantwoordelijken die geen instellingen of organen van de Unie zijn.
7. De beoordeling bevat ten minste:
a) |
een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden; |
b) |
een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden; |
c) |
een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen, en |
d) |
de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie. |
8. Bij het beoordelen van het effect van de door andere verwerkers dan instellingen en organen van de Unie verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 van Verordening (EU) 2016/679 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
9. De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging van verwerkingen.
10. Wanneer verwerking op grond van artikel 5, lid 1, onder a) of b), haar rechtsgrond heeft in een op grond van de Verdragen vastgestelde rechtshandeling waarbij de specifieke verwerking of het geheel van verwerkingen in kwestie wordt geregeld, en er reeds als onderdeel van een aan de vaststelling van deze rechtshandeling voorafgaande algemene effectbeoordeling een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 6 van dit artikel niet van toepassing, tenzij die rechtshandeling anders bepaalt.
11. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer er zich een verandering van het met de verwerkingen gepaard gaande risico voordoet.
Artikel 40
Voorafgaande raadpleging
1. De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voorafgaand aan de verwerking wanneer een gegevensbeschermingseffectbeoordeling uit hoofde van artikel 39 uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die gelet op de beschikbare technologie en uitvoeringskosten redelijk zijn. De verwerkingsverantwoordelijke wint het advies van de functionaris voor gegevensbescherming in over de noodzaak van voorafgaande raadpleging.
2. Wanneer de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, verstrekt hij binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag hij al zijn in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de Europese Toezichthouder voor gegevensbescherming de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging, van die verlenging in kennis, alsmede van de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de Europese Toezichthouder voor gegevensbescherming informatie heeft verkregen waarom hij met het oog op de raadpleging heeft verzocht.
3. Wanneer de verwerkingsverantwoordelijke de Europese Toezichthouder voor gegevensbescherming op grond van lid 1 raadpleegt, verstrekt hij hem informatie over:
a) |
indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerkers die bij de verwerking betrokken zijn; |
b) |
de doeleinden en de middelen van de voorgenomen verwerking; |
c) |
de maatregelen en waarborgen die ter bescherming van de rechten en vrijheden van betrokkenen op grond van deze verordening worden geboden; |
d) |
de contactgegevens van de functionaris voor gegevensbescherming; |
e) |
de gegevensbeschermingseffectbeoordeling waarin bij artikel 39 is voorzien, en |
f) |
alle andere informatie waar de Europese Toezichthouder voor gegevensbescherming om verzoekt. |
4. De Commissie kan door middel van een uitvoeringshandeling een lijst vaststellen van gevallen waarin de verwerkingsverantwoordelijke overleg dient te plegen met de Europese Toezichthouder voor gegevensbescherming en om diens voorafgaande toestemming dient te verzoeken wanneer hij met het oog op de vervulling van een taak van algemeen belang persoonsgegevens verwerkt, onder meer wanneer de verwerking van die gegevens verband houdt met sociale bescherming en volksgezondheid.
AFDELING 5
informatieverstrekking en legislatieve raadpleging
Artikel 41
Informatie en raadpleging
1. Wanneer de instellingen en organen van de Unie bestuurlijke maatregelen en interne regels opstellen door een instelling of orgaan van de Unie, alleen of samen met anderen, informeren zij de Europese Toezichthouder voor gegevensbescherming.
2. Wanneer de instellingen of organen van de Unie de in artikel 25 bedoelde interne voorschriften opstellen, raadplegen zij de Europese Toezichthouder voor gegevensbescherming.
Artikel 42
Legislatieve raadpleging
1. De Commissie raadpleegt, na het vaststellen van voorstellen voor rechtshandelingen van aanbevelingen of van voorstellen aan de Raad op grond van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen, de Europese Toezichthouder voor gegevensbescherming wanneer er gevolgen zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.
2. Indien een in lid 1 bedoelde handeling van bijzonder belang is voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies.
3. Het in de leden 1 en 2 bedoelde advies wordt schriftelijk verstrekt binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om de in de leden 1 en 2 bedoelde raadpleging. De Commissie kan die termijn in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bekorten.
4. Dit artikel is niet van toepassing wanneer de Commissie op grond van Verordening (EU) 2016/679 gehouden is het Europees Comité voor gegevensbescherming te raadplegen.
AFDELING 6
functionaris voor gegevensbescherming
Artikel 43
Aanwijzing van de functionaris voor gegevensbescherming
1. De instellingen en organen van de Unie wijzen elk een functionaris voor gegevensbescherming aan.
2. Instellingen en organen van de Unie kunnen een enkele functionaris voor gegevensbescherming aanwijzen die voor verschillende instellingen en/of organen optreedt, rekening houdend met hun organisatiestructuur en omvang.
3. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 45 bedoelde taken te vervullen.
4. De functionaris voor gegevensbescherming is een personeelslid van de instelling of het orgaan van de Unie. instellingen en organen van de Unie kunnen, rekening houdend met hun omvang en indien geen gebruik gemaakt is van de mogelijkheid krachtens lid 2, een functionaris voor gegevensbescherming aanwijzen die zijn taken op grond van een dienstverleningsovereenkomst verricht.
5. De instellingen en organen van de Unie maken de contactgegevens van de functionaris voor gegevensbescherming bekend en delen die mee aan de Europese Toezichthouder voor gegevensbescherming.
Artikel 44
Positie van de functionaris voor gegevensbescherming
1. De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2. De instellingen en organen van de Unie ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 45 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.
3. De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
4. Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
5. De functionaris voor gegevensbescherming en diens personeelsleden zijn met betrekking tot de uitvoering van hun taken overeenkomstig het Unierecht tot geheimhouding of vertrouwelijkheid gehouden.
6. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
7. De functionaris voor gegevensbescherming kan door de verwerkingsverantwoordelijke en de verwerker, het betrokken personeelscomité en elke natuurlijke persoon worden geraadpleegd over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening, zonder de officiële weg te volgen. Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert de bepalingen van deze verordening schendt, onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht.
8. De functionaris voor gegevensbescherming wordt aangewezen voor een periode van drie tot vijf jaar en kan opnieuw worden benoemd. Indien de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet en alleen met instemming van de Europese Toezichthouder voor gegevensbescherming, kan hij door de instelling of het orgaan van de Unie waardoor hij is aangewezen, worden ontslagen.
9. Nadat hij is aangewezen, wordt de functionaris voor gegevensbescherming door de instelling of het orgaan van de Unie waardoor hij is aangewezen, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.
Artikel 45
Taken van de functionaris voor gegevensbescherming
1. De functionaris voor gegevensbescherming vervult de volgende taken:
a) |
de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking verrichten, informeren en adviseren over hun verplichtingen op grond van deze verordening en andere Unierechtelijke gegevensbeschermingsbepalingen; |
b) |
op onafhankelijke wijze zorgen voor de interne toepassing van deze verordening en toezien op naleving van deze verordening, van andere toepasselijke Unierechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de ermee verband houdende audits; |
c) |
ervoor zorgen dat de betrokkenen in kennis worden gesteld van hun rechten en plichten op grond van deze verordening; |
d) |
desgevraagd advies verstrekken met betrekking tot de noodzaak van een melding of mededeling inzake een inbreuk in verband met persoonsgegevens op grond van de artikelen 34 en 35; |
e) |
desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering ervan op grond van artikel 39 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van een gegevensbeschermingseffectbeoordeling; |
f) |
desgevraagd advies verstrekken met betrekking tot de noodzaak van voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming op grond van artikel 40 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van voorafgaande raadpleging; |
g) |
ingaan op verzoeken van de Europese Toezichthouder voor gegevensbescherming; binnen het kader van diens bevoegdheden, samenwerken met de Europese Toezichthouder voor gegevensbescherming en deze raadplegen, op diens verzoek of op eigen initiatief; |
h) |
erop toezien dat de verwerkingen geen afbreuk doen aan de rechten en vrijheden van de betrokkenen. |
2. De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de verwerkingsverantwoordelijke en de verwerker en hun advies verstrekken over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming. Voorts kan hij, op eigen initiatief of op verzoek van de verwerkingsverantwoordelijke of de verwerker, van het betrokken personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij kennis heeft gekregen, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft, dan wel aan de verwerkingsverantwoordelijke of de verwerker.
3. Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door elke instelling of elk orgaan van de Unie vastgesteld. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.
HOOFDSTUK V
DOORGIFTEN VAN PERSOONSGEGEVENS AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES
Artikel 46
Algemeen beginsel inzake doorgiften
Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.
Artikel 47
Doorgiften op basis van adequaatheidsbesluiten
1. Doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 heeft besloten dat het derde land, een gebied of een of meer nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, en als de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering van onder de bevoegdheid van de verwerkingsverantwoordelijke vallende taken mogelijk te maken.
2. De instellingen of organen van de Unie stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarvoor zij van oordeel zijn dat een betrokken derde land, een betrokken gebied of één of meerdere betrokken nader bepaalde sectoren in een derde land, respectievelijk een betrokken internationale organisatie, geen adequaat beschermingsniveau in de zin van lid 1 waarborgt.
3. De instellingen of organen van de Unie nemen de nodige maatregelen om te voldoen aan de besluiten waarbij de Commissie op grond van artikel 45, lid 3 of lid 5, van Verordening (EU) 2016/679 of op grond van artikel 36, lid 3 of lid 5, van Richtlijn (EU) 2016/680 vaststelt dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau waarborgt dan wel niet langer waarborgt.
Artikel 48
Doorgiften op basis van passende waarborgen
1. Bij ontstentenis van een besluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680, mag een verwerkingsverantwoordelijke of een verwerker alleen persoonsgegevens aan een derde land of een internationale organisatie doorgeven als hij passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2. De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van de Europese Toezichthouder voor gegevensbescherming is vereist:
a) |
een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen; |
b) |
standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld; |
c) |
standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld en die door de Commissie op grond van de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd; |
d) |
bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen op grond van artikel 46, lid 2, onder b), e), en f), van Verordening (EU) 2016/679, wanneer de verwerker geen instelling of orgaan van de Unie is. |
3. Onder voorbehoud van de toestemming van de Europese Toezichthouder voor gegevensbescherming kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door met name:
a) |
contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of |
b) |
bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen. |
4. Toestemmingen die de Europese Toezichthouder voor gegevensbescherming op grond van artikel 9, lid 7, van Verordening (EG) nr. 45/2001 heeft verleend, blijven geldig totdat zij door de Europese Toezichthouder voor gegevensbescherming, indien nodig, worden gewijzigd, vervangen of ingetrokken.
5. De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.
Artikel 49
Niet bij Unierecht toegestane doorgiften of verstrekkingen
Elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie, onverminderd andere gronden voor doorgifte op grond van dit hoofdstuk.
Artikel 50
Afwijkingen voor specifieke situaties
1. Bij ontstentenis van een adequaatheidsbesluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 of van passende waarborgen op grond van artikel 48 van de onderhavige verordening, kan een doorgifte of reeks doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden als aan een van de volgende voorwaarden is voldaan:
a) |
de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen; |
b) |
de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; |
c) |
de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst; |
d) |
de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang; |
e) |
de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering; |
f) |
de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven, of |
g) |
de doorgifte geschiedt vanuit een register dat krachtens het Unierecht is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het gegeven geval aan de in het Unierecht neergelegde voorwaarden voor raadpleging wordt voldaan. |
2. Lid 1, onder a), b) en c), is niet van toepassing op activiteiten die door instellingen of organen van de Unie worden verricht in de uitoefening van hun overheidsgezag.
3. Het in lid 1, onder d), bedoelde algemeen belang moet zijn erkend in het Unierecht.
4. Een doorgifte op grond van lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen, tenzij dat volgens het Unierecht is toegestaan. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer zij de beoogde ontvangers van de gegevens zijn.
5. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.
6. De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.
Artikel 51
Internationale samenwerking voor de bescherming van persoonsgegevens
Ten aanzien van derde landen en internationale organisaties neemt de Europese Toezichthouder voor gegevensbescherming, in samenwerking met de Commissie en het Europees Comité voor gegevensbescherming, passende maatregelen om:
a) |
procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt; |
b) |
internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder meer door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan; |
c) |
belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; |
d) |
de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen. |
HOOFDSTUK VI
EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING
Artikel 52
Europese Toezichthouder voor gegevensbescherming
1. De Europese Toezichthouder voor gegevensbescherming wordt hierbij ingesteld.
2. De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op gegevensbescherming, bij de verwerking van persoonsgegevens, door instellingen en organen van de Unie in acht worden genomen.
3. De Europese Toezichthouder voor gegevensbescherming is met name belast met het toezien op en het verzekeren van de toepassing van deze verordening en van elk ander besluit van de Unie betreffende de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door een instelling of orgaan van de Unie, alsmede voor het verstrekken van advies aan de instellingen en organen van de Unie en aan de betrokkenen over alle aangelegenheden in verband met de verwerking van persoonsgegevens. Daartoe vervult de Europese Toezichthouder voor gegevensbescherming de bij artikel 57 opgedragen taken en oefent hij de bij artikel 58 verleende bevoegdheden uit.
4. Verordening (EG) nr. 1049/2001 is van toepassing op documenten in het bezit van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming stelt gedetailleerde voorschriften vast voor de toepassing van Verordening (EG) nr. 1049/2001 met betrekking tot die documenten.
Artikel 53
Benoeming van de Europese Toezichthouder voor gegevensbescherming
1. Het Europees Parlement en de Raad benoemen in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vijf jaar, op basis van een lijst van kandidaten die de Commissie na een openbare sollicitatieoproep opstelt. Deze sollicitatieoproep staat open voor alle belangstellenden in de gehele Unie. De door de Commissie opgestelde lijst van kandidaten is openbaar en bestaat uit ten minste drie kandidaten. De bevoegde commissie van het Europees Parlement kan op basis van de door de Commissie opgestelde lijst besluiten een hoorzitting te houden zodat zij een voorkeur kan uitspreken.
2. De in lid 1 bedoelde lijst van kandidaten wordt samengesteld uit personen die alle waarborgen voor onafhankelijkheid bieden en die duidelijk over deskundigheid op het gebied van gegevensbescherming en over de vereiste ervaring en bekwaamheid beschikken om het ambt van Europese Toezichthouder voor gegevensbescherming uit te oefenen.
3. De ambtstermijn van de Europese Toezichthouder voor gegevensbescherming kan eenmaal worden verlengd.
4. De ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming eindigt wanneer:
a) |
de Europese Toezichthouder voor gegevensbescherming wordt vervangen; |
b) |
de Europese Toezichthouder voor gegevensbescherming ontslag neemt; |
c) |
de Europese Toezichthouder voor gegevensbescherming wordt ontslagen of met pensioen moet gaan. |
5. De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie worden ontslagen, of kan zijn recht op pensioen of pensioenvervangende voordelen verliezen indien hij niet langer aan de voorwaarden voor de uitoefening van het ambt voldoet of op ernstige wijze is tekortgeschoten.
6. In geval van normale opvolging en vrijwillig ontslag blijft de Europese Toezichthouder voor gegevensbescherming in functie totdat in zijn vervanging is voorzien.
7. De artikelen 11 tot en met 14 en artikel 17 van het Protocol betreffende de voorrechten en immuniteiten van de Europese Unie gelden eveneens voor de Europese Toezichthouder voor gegevensbescherming.
Artikel 54
Statuut en algemene voorwaarden voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, personeel en financiële middelen
1. De Europese Toezichthouder voor gegevensbescherming wordt beschouwd als gelijkwaardig aan een rechter van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.
2. De Begrotingsautoriteit draagt er zorg voor dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn taken benodigde personele en financiële middelen beschikt.
3. De begroting van de Europese Toezichthouder voor gegevensbescherming valt onder een specifieke begrotingslijn van de afdeling met betrekking tot administratieve uitgaven van de algemene begroting van de Unie.
4. De Europese Toezichthouder voor gegevensbescherming wordt bijgestaan door een secretariaat. De Europese Toezichthouder voor gegevensbescherming benoemt de ambtenaren en andere personeelsleden van het secretariaat en is hun hiërarchische meerdere. Deze ambtenaren en personeelsleden staan uitsluitend onder zijn leiding. Hun aantal wordt ieder jaar in het kader van de begrotingsprocedure vastgesteld. Artikel 75, lid 2, van Verordening (EU) 2016/679 is van toepassing op de personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de bij het Unierecht aan het Europees Comité voor gegevensbescherming opgedragen taken.
5. De ambtenaren en de andere personeelsleden van het secretariaat van de Europese Toezichthouder voor gegevensbescherming zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Unie.
6. De zetel van de Europese Toezichthouder voor gegevensbescherming is in Brussel.
Artikel 55
Onafhankelijkheid
1. De Europese Toezichthouder voor gegevensbescherming treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die hem overeenkomstig deze verordening zijn toegewezen.
2. Bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden overeenkomstig deze verordening blijft de Europese Toezichthouder voor gegevensbescherming vrij van al dan niet rechtstreekse externe invloed en vraagt noch aanvaardt hij instructies van wie dan ook.
3. De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde, beroepswerkzaamheden.
4. Bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming integriteit en kiesheid.
Artikel 56
Beroepsgeheim
Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van hun officiële taken ter kennis is gekomen geldt voor de Europese Toezichthouder voor gegevensbescherming en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.
Artikel 57
Taken
1. Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht de Europese Toezichthouder voor gegevensbescherming de volgende taken:
a) |
hij ziet toe op en treedt handhavend op ten aanzien van de toepassing van deze verordening door instellingen en organen van de Unie, met uitzondering van de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt; |
b) |
hij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten; |
c) |
hij maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun verplichtingen uit hoofde van deze verordening; |
d) |
hij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe in voorkomend geval samen met de nationale toezichthoudende autoriteiten; |
e) |
hij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 67, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is; |
f) |
hij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die hij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt; |
g) |
hij verleent, op eigen initiatief of op verzoek, advies aan alle instellingen en organen van de Unie over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van de verwerking van persoonsgegevens; |
h) |
hij volgt de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën; |
i) |
hij stelt de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardcontractbepalingen vast; |
j) |
hij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling op grond van artikel 39, lid 4, en houdt deze lijst bij; |
k) |
hij neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming; |
l) |
hij verzorgt overeenkomstig artikel 75 van Verordening (EU) 2016/679 het secretariaat van het Europees Comité voor gegevensbescherming; |
m) |
hij verstrekt advies over de in artikel 40, lid 2, bedoelde verwerking; |
n) |
hij geeft toestemming voor de in artikel 48, lid 3, bedoelde contractuele en andere bepalingen; |
o) |
hij houdt interne registers bij van inbreuken op deze verordening en van overeenkomstig artikel 58, lid 2, getroffen maatregelen; |
p) |
hij verricht alle andere taken die verband houden met de bescherming van persoonsgegevens, en |
q) |
hij stelt zijn reglement van orde vast. |
2. De Europese Toezichthouder voor gegevensbescherming faciliteert de indiening van klachten als bedoeld in lid 1, onder e), door het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
3. De Europese Toezichthouder voor gegevensbescherming verricht zijn taken kosteloos voor de betrokkene.
4. Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege het repetitieve karakter ervan, kan de Europese Toezichthouder voor gegevensbescherming weigeren aan het verzoek gevolg te geven. Het is aan de Europese Toezichthouder voor gegevensbescherming om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
Artikel 58
Bevoegdheden
1. De Europese Toezichthouder voor gegevensbescherming beschikt over de onderzoeksbevoegdheid om:
a) |
de verwerkingsverantwoordelijke en de verwerker te gelasten alle voor de uitvoering van zijn taken vereiste informatie te verstrekken; |
b) |
onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles; |
c) |
de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening; |
d) |
van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van zijn taken; |
e) |
toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het Unierecht. |
2. De Europese Toezichthouder beschikt over de corrigerende bevoegdheid om:
a) |
de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt; |
b) |
de verwerkingsverantwoordelijke of de verwerker te berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt; |
c) |
zaken voor te leggen aan de betrokken gegevensverantwoordelijke of verwerker en zo nodig aan het Europees Parlement, de Raad en de Commissie; |
d) |
de verwerkingsverantwoordelijke of de verwerker te gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten op grond van deze verordening in te willigen; |
e) |
de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening; |
f) |
de verwerkingsverantwoordelijke te gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen; |
g) |
een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen; |
h) |
het rectificeren of wissen van persoonsgegevens of de beperking van de verwerking op grond van de artikelen 18, 19 en 20 te gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, op grond van artikel 19, lid 2, en artikel 21; |
i) |
ingeval een instelling of orgaan van de Unie niet voldoet aan een van de onder d) tot en met h) en j) van dit lid bedoelde maatregelen, naargelang de omstandigheden van elke zaak, een administratieve geldboete op te leggen op grond van artikel 66; |
j) |
de opschorting van gegevensstromen naar een ontvanger in een lidstaat of een derde land of naar een internationale organisatie te gelasten. |
3. De Europese Toezichthouder voor gegevensbescherming heeft de machtigings- en adviesbevoegdheid om:
a) |
betrokkenen te adviseren over de uitoefening van hun rechten; |
b) |
de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 40, en in overeenstemming met artikel 41, lid 2; |
c) |
op eigen initiatief dan wel op verzoek, aan instellingen en organen van de Unie en het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens; |
d) |
de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen; |
e) |
toestemming te verlenen voor de in artikel 48, lid 3, onder a), bedoelde contractbepalingen; |
f) |
toestemming te verlenen voor de in artikel 48, lid 3, onder b), bedoelde administratieve regelingen; |
g) |
toestemming te verlenen voor verwerkingen uit hoofde van op grond van artikel 40, lid 4, vastgestelde uitvoeringshandelingen. |
4. De Europese Toezichthouder voor gegevensbescherming heeft de bevoegdheid het Hof van Justitie van de Europese Unie te adiëren onder de in de Verdragen genoemde voorwaarden en te interveniëren in vorderingen die bij het Hof van Justitie van de Europese Unie aanhangig zijn gemaakt.
5. Op de uitoefening van de bevoegdheden die op grond van dit artikel aan de Europese Toezichthouder voor gegevensbescherming worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals vastgelegd in het Unierecht.
Artikel 59
Repliek door verwerkingsverantwoordelijken en verwerkers
Wanneer de Europese Toezichthouder voor gegevensbescherming de bevoegdheden uitoefent die hem uit hoofde van artikel 58, lid 2, onder a), b) en c), toekomen, deelt de betrokken verwerkingsverantwoordelijke of verwerker hem binnen een redelijke, door de Europese Toezichthouder voor gegevensbescherming te bepalen termijn, zijn standpunt mee, rekening houdend met de omstandigheden van elk geval. In zijn repliek beschrijft hij tevens de maatregelen die eventueel naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.
Artikel 60
Activiteitenverslag
1. De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.
2. De Europese Toezichthouder voor gegevensbescherming legt het in lid 1 bedoelde verslag voor aan de overige instellingen en organen van de Unie, die opmerkingen kunnen indienen met het oog op de eventuele bespreking van het verslag in het Europees Parlement.
HOOFDSTUK VII
SAMENWERKING EN CONSISTENTIE
Artikel 61
Samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten
De Europese Toezichthouder voor gegevensbescherming werkt samen met nationale toezichthoudende autoriteiten en met de gemeenschappelijke controleautoriteit opgericht krachtens artikel 25 van Besluit 2009/917/JBZ van de Raad (19) voor zover dat voor de uitoefening van hun onderscheiden taken nodig is, met name door met elkaar relevante informatie uit te wisselen, elkaar te verzoeken hun bevoegdheden uit te oefenen en te reageren op elkaars verzoeken.
Artikel 62
Gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten
1. Wanneer in een handeling van de Unie naar dit artikel wordt verwezen, werken de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, actief samen om te waarborgen dat er doeltreffend toezicht wordt gehouden op grootschalige IT-systemen en op instellingen, organen en instanties van de Unie.
2. Zij houden zich, voor zover noodzakelijk, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, bezig met het uitwisselen van relevante informatie, het verlenen van onderlinge bijstand bij audits en inspecties, het onderzoeken van moeilijkheden inzake de uitlegging of toepassing van de onderhavige verordening of andere toepasselijke handelingen van de Unie, het bestuderen van problemen bij de uitoefening van onafhankelijk toezicht of de uitoefening van de rechten van betrokkenen, het opstellen van geharmoniseerde voorstellen om problemen op te lossen en het onder de aandacht brengen van gegevensbeschermingsrechten.
3. Voor de in lid 2 vervatte doeleinden komen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten ten minste tweemaal per jaar bijeen in het kader van het Europees Comité voor gegevensbescherming. Daartoe kan het Europees Comité voor gegevensbescherming indien noodzakelijk verdere werkmethoden vaststellen.
4. Om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk activiteitenverslag over het gecoördineerde toezicht toe aan het Europees Parlement, de Raad en de Commissie.
HOOFDSTUK VIII
BEROEP, AANSPRAKELIJKHEID EN SANCTIES
Artikel 63
Recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming
1. Onverminderd een eventuele voorziening in rechte, een administratief beroep of een buitengerechtelijk beroep, heeft iedere betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.
2. De Europese Toezichthouder voor gegevensbescherming houdt de indiener van de klacht op de hoogte van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte op grond van artikel 64.
3. Indien de Europese Toezichthouder voor gegevensbescherming de klacht niet behandelt of de betrokkene niet binnen drie maanden informeert over de vooruitgang of het resultaat van de klacht, wordt de Europese Toezichthouder voor gegevensbescherming geacht een negatief besluit te hebben vastgesteld.
Artikel 64
Recht op een doeltreffende voorziening in rechte
1. Het Hof van Justitie is bevoegd kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.
2. Bij het Hof van Justitie kan tegen besluiten van de Europese Toezichthouder voor gegevensbescherming, met inbegrip van de besluiten op grond van artikel 63, lid 3, beroep worden ingesteld.
3. Het Hof van Justitie heeft volledige rechtsmacht om de in artikel 66 bedoelde administratieve geldboeten te herbeoordelen. Het kan deze geldboeten binnen de grenzen van artikel 66 annuleren, verlagen of verhogen.
Artikel 65
Recht op schadevergoeding
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de instelling of het orgaan van de Unie schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.
Artikel 66
Administratieve geldboeten
1. De Europese Toezichthouder voor gegevensbescherming kan administratieve geldboeten opleggen aan instellingen en organen van de Unie, afhankelijk van de omstandigheden van elk afzonderlijk geval, wanneer een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast op grond van artikel 58, lid 2, onder d) tot en met h) en j). Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a) |
de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade; |
b) |
de door de instelling of het orgaan van de Unie genomen maatregelen om de door betrokkenen geleden schade te beperken; |
c) |
de mate waarin de instelling of het orgaan van de Unie verantwoordelijk is, gezien de technische en organisatorische maatregelen die de instelling of het orgaan heeft uitgevoerd op grond van de artikelen 27 en 33; |
d) |
vergelijkbare eerdere inbreuken door de instelling of het orgaan van de Unie; |
e) |
de mate waarin er met de Europese Toezichthouder voor gegevensbescherming is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken; |
f) |
de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft; |
g) |
de wijze waarop de Europese Toezichthouder voor gegevensbescherming kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de instelling of het orgaan van de Unie de inbreuk heeft gemeld; |
h) |
de naleving van in artikel 58 genoemde maatregelen die eerder ten aanzien van de instelling of het orgaan van de Unie in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen. De procedures die leiden tot het opleggen van dergelijke geldboeten worden uitgevoerd binnen een redelijke termijn, rekening houdend met de omstandigheden van het geval alsook met de relevante maatregelen en procedures bedoeld in artikel 69. |
2. Inbreuken ten aanzien van de verplichtingen van de instelling of het orgaan van de Unie op grond van de artikelen 8, 12, 27 tot en met 33, 34, 35, 39, 40, 43, 44 en 45 zijn overeenkomstig lid 1 van dit lid onderworpen aan administratieve geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar.
3. Inbreuken op de navolgende bepalingen door de instelling of het orgaan van de Unie zijn overeenkomstig lid 1 onderworpen aan administratieve geldboeten tot 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar:
a) |
de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, op grond van de artikelen 4, 5, 7 en 10; |
b) |
de rechten van de betrokkenen op grond van de artikelen 14 tot en met 24; |
c) |
de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie op grond van de artikelen 46 tot en met 50. |
4. Indien een instelling of orgaan van de Unie met betrekking tot dezelfde, daarmee verband houdende of voortgaande verwerkingen een inbreuk pleegt op meerdere bepalingen van deze verordening of meermaals inbreuk pleegt op dezelfde bepaling van deze verordening, is de totale administratieve geldboete niet hoger dan die voor de zwaarste inbreuk.
5. Alvorens een besluit op grond van dit artikel te nemen, stelt de Europese Toezichthouder voor gegevensbescherming de instelling of het orgaan van de Unie ten aanzien waarvan hij een procedure volgt, in de gelegenheid om te worden gehoord over de punten van bezwaar van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming baseert zijn besluiten uitsluitend op punten van bezwaar waarover de betrokken partijen opmerkingen hebben kunnen maken. De klagers worden nauw bij de procedure betrokken.
6. Het recht van verdediging van de partijen wordt in de loop van de procedure ten volle geëerbiedigd. Zij hebben recht op toegang tot het bestand van de Europese Toezichthouder voor gegevensbescherming, onder voorbehoud van het gerechtvaardigde belang van andere personen of ondernemingen bij de bescherming van hun persoonsgegevens of bedrijfsgeheimen.
7. De bedragen die worden geïnd door het opleggen van de geldboeten van dit artikel, worden beschouwd als ontvangsten voor de algemene begroting van de Unie.
Artikel 67
Vertegenwoordiging van betrokkenen
De betrokkenen hebben het recht organen, organisaties of verenigingen zonder winstoogmerk die op geldige wijze overeenkomstig het recht van de Unie of van een lidstaat zijn opgericht, het algemene belang dienende statutaire doelstellingen hebben en actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen bij de Europese Toezichthouder voor gegevensbescherming, namens hem de in de artikelen 63 en 64 bedoelde rechten uit te oefenen en namens hem het in artikel 65 bedoelde recht op schadevergoeding uit te oefenen.
Artikel 68
Klachten van personeelsleden van de Unie
Eenieder die in dienst is van een instelling of orgaan van de Unie kan, ook zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen wegens een vermeende inbreuk op de in deze verordening vervatte bepalingen. Niemand mag nadeel ondervinden van het feit dat hij bij de Europese Toezichthouder voor gegevensbescherming een klacht heeft ingediend waarin op een dergelijke schending wordt gewezen.
Artikel 69
Sancties
Indien een ambtenaar of een ander personeelslid van de Unie de krachtens deze verordening op hem rustende verplichtingen opzettelijk of uit nalatigheid niet nakomt, kan hij aan een tucht- of andere maatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Personeelsstatuut.
HOOFDSTUK IX
VERWERKING VAN OPERATIONELE PERSOONSGEGEVENS DOOR INSTELLINGEN, ORGANEN EN INSTANTIES VAN DE UNIE BIJ DE UITOEFENING VAN ACTIVITEITEN DIE BINNEN HET TOEPASSINGSGEBIED VAN HOOFDSTUK 4 OF HOOFDSTUK 5 VAN TITEL V VAN HET DERDE DEEL VAN HET VWEU VALLEN
Artikel 70
Toepassingsgebied van het hoofdstuk
Dit hoofdstuk is uitsluitend van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, onverminderd specifieke gegevensbeschermingsregels die op die instelling, dat orgaan of die instantie van de Unie van toepassing zijn.
Artikel 71
Beginselen inzake verwerking van operationele persoonsgegevens
1. Operationele persoonsgegevens:
a) |
worden rechtmatig en behoorlijk verwerkt („rechtmatigheid en behoorlijkheid”); |
b) |
worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en worden niet op een met die doeleinden onverenigbare wijze verwerkt („doelbinding”); |
c) |
zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”); |
d) |
zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen moeten worden genomen om de operationele persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”); |
e) |
worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de operationele persoonsgegevens worden verwerkt noodzakelijk is („opslagbeperking”); |
f) |
worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”). |
2. Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een van de doeleinden die zijn vermeld in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, voor een ander doel dan dat waarvoor de operationele persoonsgegevens worden verzameld, is toegelaten voor zover:
a) |
de verwerkingsverantwoordelijke overeenkomstig het Unierecht gemachtigd is die operationele persoonsgegevens voor een dergelijk doel te verwerken, en |
b) |
de verwerking noodzakelijk is en in verhouding staat tot dat andere doel overeenkomstig het Unierecht. |
3. Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.
4. De verwerkingsverantwoordelijke is verantwoordelijk voor de leden 1, 2 en 3 en kan de naleving ervan aantonen.
Artikel 72
Rechtmatigheid van verwerking van operationele persoonsgegevens
1. Verwerking van operationele persoonsgegevens is alleen rechtmatig indien en voor zover verwerking noodzakelijk is voor de uitvoering van een taak door organen en instanties van de Unie bij het verrichten van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen en voor zover die verwerking gebaseerd is op Unierecht.
2. Bij specifieke rechtshandelingen van de Unie tot regeling van verwerking binnen het toepassingsgebied van dit hoofdstuk wordt ten minste voorzien in nadere bepaling van de doelstellingen van verwerking, de te verwerken operationele persoonsgegevens, de verwerkingsdoelen en de termijnen voor de opslag van de operationele persoonsgegevens of voor de periodieke toetsing van de noodzaak van verdere opslag van de operationele persoonsgegevens.
Artikel 73
Onderscheid tussen verschillende categorieën van betrokkenen
De verwerkingsverantwoordelijke maakt, indien dit van toepassing is en voor zover mogelijk, een duidelijk onderscheid tussen de operationele persoonsgegevens van verschillende categorieën betrokkenen, zoals de categorieën die vermeld zijn in de rechtshandelingen tot oprichting van organen en instanties van de Unie.
Artikel 74
Onderscheid tussen operationele persoonsgegevens en controle van de kwaliteit van operationele persoonsgegevens
1. De verwerkingsverantwoordelijke maakt, voor zover mogelijk, een onderscheid tussen operationele persoonsgegevens die op feiten zijn gebaseerd en operationele persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.
2. De verwerkingsverantwoordelijke neemt alle redelijke maatregelen om ervoor te zorgen dat operationele persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert de verwerkingsverantwoordelijke, voor zover dat praktisch haalbaar is en indien dat relevant is, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld, bijvoorbeeld door middel van overleg met de bevoegde autoriteiten waarvan de gegevens afkomstig zijn. Voor zover mogelijk voegt de verwerkingsverantwoordelijke bij de doorgifte van operationele persoonsgegevens te allen tijde de noodzakelijke informatie toe aan de hand waarvan de ontvanger kan beoordelen of de operationele persoonsgegevens juist, volledig en betrouwbaar zijn, en in hoeverre zij actueel zijn.
3. Indien blijkt dat onjuiste operationele persoonsgegevens zijn doorgezonden, of dat de operationele persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de betreffende operationele persoonsgegevens verbeterd of gewist, of wordt de verwerking ervan beperkt overeenkomstig artikel 82.
Artikel 75
Specifieke verwerkingsvoorwaarden
1. Wanneer het Unierecht dat op de doorzendende verwerkingsverantwoordelijke van toepassing is, voorziet in specifieke verwerkingsvoorwaarden, stelt de verwerkingsverantwoordelijke de ontvanger van de operationele persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis.
2. De verwerkingsverantwoordelijke eerbiedigt de specifieke verwerkingsvoorwaarden die door een doorzendende bevoegde autoriteit overeenkomstig artikel 9, leden 3 en 4, van Richtlijn (EU) 2016/680 worden voorgeschreven.
Artikel 76
Verwerking van bijzondere categorieën van operationele persoonsgegevens
1. Verwerking van operationele persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, operationele persoonsgegevens over gezondheid of over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is voor operationele doeleinden, binnen het mandaat van het orgaan of de instantie van de Unie en met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene. Discriminatie van natuurlijke personen op grond van dergelijke persoonsgegevens is verboden.
2. De functionaris voor gegevensbescherming wordt zonder onnodige vertraging in kennis gesteld van de toepassing van dit artikel.
Artikel 77
Geautomatiseerde individuele besluitvorming, waaronder profilering
1. Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn verboden, tenzij het betrokken besluit is toegestaan krachtens het Unierecht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, en ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.
2. De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten, vrijheden en de legitieme belangen van de betrokkene zijn getroffen.
3. Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.
Artikel 78
Communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1. De verwerkingsverantwoordelijke neemt redelijke maatregelen om de betrokkene de in artikel 79 bedoelde informatie te verstrekken, en doet iedere mededeling in verband met de artikelen 80 tot en met 84 en 92 betreffende verwerking aan de betrokkene in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige taal. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.
2. De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 79 tot en met 84.
3. De verwerkingsverantwoordelijke stelt de betrokkene zonder onnodige vertraging, en in elk geval uiterlijk drie maanden na ontvangst van diens verzoek, schriftelijk in kennis van het gevolg dat aan zijn verzoek is gegeven.
4. De verwerkingsverantwoordelijke verstrekt de informatie uit hoofde van artikel 79 en elke communicatie of maatregel op grond van de artikelen 80 tot en met 84 en artikel 92 kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
5. Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 80 tot en met 82 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.
Artikel 79
Aan de betrokkene ter beschikking te stellen of te verstrekken informatie
1. De verwerkingsverantwoordelijke stelt de betrokkene ten minste de volgende informatie ter beschikking:
a) |
de identiteit en contactgegevens van het orgaan of de instantie van de Unie; |
b) |
de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de doeleinden van de verwerking waarvoor de operationele persoonsgegevens zijn bestemd; |
d) |
het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens; |
e) |
het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om toegang tot en verbetering of wissing van hem betreffende operationele persoonsgegevens, en beperking van de verwerking van operationele persoonsgegevens betreffende de betrokkene. |
2. In aanvulling op de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene in de specifieke in het Unierecht voorziene gevallen de volgende verdere informatie om hem in staat te stellen zijn rechten uit te oefenen:
a) |
de rechtsgrond van de verwerking; |
b) |
de periode gedurende welke de operationele persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen; |
c) |
in voorkomend geval, de categorieën van ontvangers van de operationele persoonsgegevens, ook in derde landen of internationale organisaties; |
d) |
indien noodzakelijk, extra informatie, in het bijzonder wanneer de operationele persoonsgegevens zonder medeweten van de betrokkene worden verzameld. |
3. De verwerkingsverantwoordelijke kan de verstrekking van de informatie aan de betrokkene op grond van lid 2 uitstellen, beperken of achterwege laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid van lidstaten te beschermen; |
d) |
de nationale veiligheid van lidstaten te beschermen; |
e) |
de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen. |
Artikel 80
Recht van inzage van de betrokkene
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over de vraag of hem betreffende operationele persoonsgegevens al dan niet worden verwerkt en, wanneer dat het geval is, om inzage te verkrijgen in die operationele persoonsgegevens en in de volgende informatie:
a) |
de doeleinden van en de rechtsgrond voor de verwerking; |
b) |
de betrokken categorieën van operationele persoonsgegevens; |
c) |
de ontvangers of categorieën van ontvangers aan wie de operationele persoonsgegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties; |
d) |
indien mogelijk, de periode gedurende welke de operationele persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de gebruikte criteria om die termijn te bepalen; |
e) |
het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om rectificatie of wissing van hem betreffende operationele persoonsgegevens of beperking van de verwerking van hem betreffende operationele persoonsgegevens; |
f) |
het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens; |
g) |
melding van de operationele persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens. |
Artikel 81
Beperking van het recht op inzage
1. De verwerkingsverantwoordelijke kan het inzagerecht van de betrokkene geheel of gedeeltelijk beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid van lidstaten te beschermen; |
d) |
de nationale veiligheid van lidstaten te beschermen; |
e) |
de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen. |
2. In de in lid 1 bedoelde gevallen stelt de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie. De verwerkingsverantwoordelijke documenteert de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Deze informatie wordt desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.
Artikel 82
Recht op rectificatie of wissing van operationele persoonsgegevens en beperking van de verwerking
1. Iedere betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onnodige vertraging verbetering van hem betreffende onjuiste operationele persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking heeft de betrokkene het recht om onvolledige operationele persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.
2. De verwerkingsverantwoordelijke wist zonder onnodige vertraging operationele persoonsgegevens, en de betrokkene heeft het recht om van de verwerkingsverantwoordelijke te verkrijgen dat hem betreffende operationele persoonsgegevens zonder onnodige vertraging worden gewist, wanneer de verwerking een schending vormt van artikelen 71, artikel 72, lid 1, of artikel 76, of wanneer operationele persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.
3. In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:
a) |
de juistheid van de persoonsgegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, of |
b) |
de persoonsgegevens als bewijsmateriaal moeten worden bewaard. |
Wanneer de verwerking op grond van de eerste alinea, onder a), wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de beperking van de verwerking op te heffen.
Aan beperkingen onderworpen gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet zijn gewist.
4. De verwerkingsverantwoordelijke stelt de betrokkene schriftelijk in kennis van een eventuele weigering tot verbetering of wissing van operationele persoonsgegevens of een beperking van de verwerking, en van de redenen voor die weigering. De verwerkingsverantwoordelijke kan de verstrekking van die informatie geheel of gedeeltelijk beperken, voor zover een dergelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:
a) |
belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen; |
b) |
nadelige gevolgen voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen; |
c) |
de openbare veiligheid van lidstaten te beschermen; |
d) |
de nationale veiligheid van lidstaten te beschermen; |
e) |
de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen. |
De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie.
5. De verwerkingsverantwoordelijke deelt de verbetering van de onjuiste operationele persoonsgegevens mee aan de bevoegde autoriteit waarvan de onjuiste operationele persoonsgegevens afkomstig zijn.
6. Wanneer operationele persoonsgegevens zijn verbeterd of gewist, of wanneer de verwerking ervan is beperkt, op grond van de leden 1, 2 of 3, stelt de verwerkingsverantwoordelijke de ontvangers daarvan in kennis, en deelt hij hun mee dat zij de operationele persoonsgegevens dienen te rectificeren of te wissen dan wel de verwerking van de operationele persoonsgegevens onder hun verantwoordelijkheid dienen te beperken.
Artikel 83
Recht van toegang bij strafrechtelijke onderzoeken en procedures
Wanneer operationele persoonsgegevens afkomstig zijn van een bevoegde autoriteit, controleren de organen en instanties van de Unie, alvorens een besluit te nemen over het recht van toegang van een betrokkene, bij de betrokken bevoegde autoriteit of die persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures in de lidstaat van die bevoegde autoriteit werden verwerkt. Wanneer dat het geval is, wordt een besluit inzake het recht van toegang genomen in overleg en nauwe samenwerking met de betrokken bevoegde autoriteit.
Artikel 84
Uitoefening van rechten door de betrokkene en controle door de Europese Toezichthouder voor gegevensbescherming
1. In de gevallen bedoeld in artikel 79, lid 3, artikel 81 en artikel 82, lid 4, kunnen de rechten van de betrokkene ook worden uitgeoefend via de Europese Toezichthouder voor gegevensbescherming.
2. De verwerkingsverantwoordelijke stelt de betrokkene in kennis van de mogelijkheid om op grond van lid 1 zijn rechten uit te oefenen via de Europese Toezichthouder voor gegevensbescherming.
3. Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de Europese Toezichthouder voor gegevensbescherming de betrokkene er ten minste van in kennis dat hij alle noodzakelijke controles of een evaluatie heeft uitgevoerd. De Europese Toezichthouder voor gegevensbescherming stelt de betrokkene ook in kennis van zijn recht om beroep in te stellen bij het Hof van Justitie.
Artikel 85
Gegevensbescherming door ontwerp en door standaardinstellingen
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, die aan de verwerking zijn verbonden, gaat de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, over tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke, en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen operationele persoonsgegevens worden verwerkt die toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot het doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde operationele persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid ervan. Deze maatregelen zorgen er met name voor dat operationele persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Artikel 86
Gezamenlijke verwerkingsverantwoordelijken
1. Indien twee of meerdere verwerkingsverantwoordelijken, of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikel 79 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2. Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkene is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3. Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.
Artikel 87
Verwerker
1. Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening en van de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
2. De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.
3. De verwerking door een verwerker wordt geregeld in een overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort operationele persoonsgegevens en de categorieën betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a) |
uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt; |
b) |
waarborgt dat de tot het verwerken van de operationele persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; |
c) |
de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren; |
d) |
na afloop van de verwerkingsdiensten, naargelang van de keuze van de verwerkingsverantwoordelijke, alle operationele persoonsgegevens wist of deze aan de verwerkingsverantwoordelijke terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de operationele persoonsgegevens volgens het Unierecht of het lidstatelijke recht verplicht is; |
e) |
de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen; |
f) |
aan de in lid 2 en in dit lid bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet. |
4. De in lid 3 bedoelde overeenkomst of andere rechtshandeling is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.
5. Indien een verwerker in strijd met deze verordening of de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke handelt door de doeleinden en middelen van de verwerking te bepalen, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 88
Bijhouden van logbestanden
1. De verwerkingsverantwoordelijke houdt logbestanden bij voor de volgende verwerkingen in geautomatiseerde verwerkingssystemen: de verzameling, wijziging, inzage, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing van operationele persoonsgegevens. De logbestanden van raadpleging en bekendmaking maken het mogelijk de redenen voor en de datum en het tijdstip van die handelingen te achterhalen, alsook de identiteit van de persoon die operationele persoonsgegevens heeft geraadpleegd of bekendgemaakt, en voor zover mogelijk de identiteit van de ontvangers van die operationele persoonsgegevens.
2. De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de operationele persoonsgegevens en voor strafrechtelijke procedures. Tenzij die logbestanden nodig zijn voor een lopende controle, worden ze na drie jaar verwijderd.
3. De verwerkingsverantwoordelijke stelt de logbestanden op verzoek ter beschikking van zijn functionaris voor gegevensbescherming en van de Europese Toezichthouder voor gegevensbescherming.
Artikel 89
Gegevensbeschermingseffectbeoordeling
1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van operationele persoonsgegevens.
2. De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico’s, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de operationele persoonsgegevens te beschermen en aan te tonen dat aan de gegevensbeschermingsvoorschriften is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.
Artikel 90
Voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming
1. De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:
a) |
uit een gegevensbeschermingseffectbeoordeling krachtens artikel 89 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, of |
b) |
de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt. |
2. De Europese Toezichthouder voor gegevensbescherming kan een lijst opstellen van de verwerkingen waarvoor op grond van lid 1 voorafgaande raadpleging moet plaatsvinden.
3. De verwerkingsverantwoordelijke verstrekt de Europese Toezichthouder voor gegevensbescherming de in artikel 89 vermelde gegevensbeschermingseffectbeoordeling en, desgevraagd, alle andere informatie op grond waarvan de Europese Toezichthouder voor gegevensbescherming de conformiteit van de verwerking en met name de risico’s voor de bescherming van de operationele persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
4. Indien de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening of de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, met name indien de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de Europese Toezichthouder voor gegevensbescherming binnen een maximumtermijn van zes weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De Europese Toezichthouder voor gegevensbescherming stelt de verwerkingsverantwoordelijke binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.
Artikel 91
Beveiliging van de verwerking van operationele persoonsgegevens
1. De verwerkingsverantwoordelijke en de verwerker treffen, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen om een op de risico’s afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van bijzondere categorieën van operationele persoonsgegevens.
2. Ten aanzien van geautomatiseerde verwerking treffen de verwerkingsverantwoordelijke en de verwerker, na een beoordeling van de risico’s, maatregelen om:
a) |
te verhinderen dat onbevoegden toegang krijgen tot gegevensverwerkingsapparatuur („controle op de toegang tot de apparatuur”); |
b) |
te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of meenemen („controle op de gegevensdragers”); |
c) |
te voorkomen dat onbevoegden operationele persoonsgegevens invoeren of opgeslagen operationele persoonsgegevens lezen, wijzigen of verwijderen („opslagcontrole”); |
d) |
te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”); |
e) |
ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de operationele persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”); |
f) |
ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen operationele persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissie („transmissiecontrole”); |
g) |
ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke operationele persoonsgegevens wanneer en door wie in geautomatiseerde gegevensverwerkingssystemen zijn ingevoerd („invoercontrole”); |
h) |
te verhinderen dat onbevoegden operationele persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van operationele persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”); |
i) |
ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”); |
j) |
ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen operationele persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”). |
Artikel 92
Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming
1. Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2. In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a) |
de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk, de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en bestanden van operationele persoonsgegevens in kwestie; |
b) |
de naam en de contactgegevens van de functionaris voor gegevensbescherming; |
c) |
de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; |
d) |
de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. |
3. Indien en voor zover het niet mogelijk is om alle in lid 2 bedoelde informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.
4. De verwerkingsverantwoordelijke documenteert alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten in verband met de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.
5. Wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op operationele persoonsgegevens die zijn doorgezonden door of aan de bevoegde autoriteiten, deelt de verwerkingsverantwoordelijke de in lid 2 bedoelde informatie zonder onnodige vertraging aan de bevoegde autoriteiten mee.
Artikel 93
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.
2. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 92, lid 2, onder b), c) en d), bedoelde gegevens en aanbevelingen.
3. De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:
a) |
de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de operationele persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de operationele persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling; |
b) |
de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; |
c) |
de mededeling zou een onevenredige inspanning vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een vergelijkbare maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. |
4. Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.
5. De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 79.
Artikel 94
Doorgifte van operationele persoonsgegevens aan derde landen en internationale organisaties
1. Met inachtneming van de beperkingen en voorwaarden die zijn neergelegd in de rechtshandelingen tot oprichting van het orgaan of de instantie van de Unie, mag de verwerkingsverantwoordelijke operationele persoonsgegevens doorgeven aan een autoriteit van een derde land of aan een internationale organisatie voor zover die doorgifte noodzakelijk is voor de verrichting van de taken van de verwerkingsverantwoordelijke en enkel wanneer aan de voorwaarden van dit artikel is voldaan, te weten:
a) |
de Commissie heeft overeenkomstig artikel 36, lid 3, van Richtlijn (EU) 2016/680 een adequaatheidsbesluit genomen waarbij wordt vastgesteld dat het derde land, een gebied of een verwerkingssector in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau verzekert („adequaatheidsbesluit”); |
b) |
bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) is er een internationale overeenkomst gesloten tussen de Unie en dat derde land of die internationale organisatie op grond van artikel 218 VWEU waarin passende waarborgen zijn opgenomen ter bescherming van de privacy en de grondrechten en fundamentele vrijheden van natuurlijke personen; |
c) |
bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) of een internationale overeenkomst krachtens punt b), is er vóór de datum van toepassing van de rechtshandeling tot oprichting van het betrokken orgaan of de betrokken instantie van de Unie tussen dat orgaan of die instantie van de Unie en het derde land in kwestie een samenwerkingsovereenkomst gesloten op grond waarvan operationele persoonsgegevens mogen worden uitgewisseld. |
2. In de rechtshandelingen tot oprichting van de organen en instanties van de Unie kunnen meer specifieke bepalingen worden gehandhaafd of ingevoerd inzake de voorwaarden voor internationale doorgifte van operationele persoonsgegevens, in het bijzonder inzake de doorgifte middels passende waarborgen en uitzonderingen voor specifieke situaties.
3. De verwerkingsverantwoordelijke publiceert op zijn website een lijst van onder a) bedoelde adequaatheidsbesluiten, overeenkomsten, administratieve regelingen en andere instrumenten met betrekking tot de doorgifte van operationele persoonsgegevens in overeenstemming met lid 1, en houdt deze lijst bij.
4. De verwerkingsverantwoordelijke houdt een gedetailleerde administratie bij van alle op grond van dit artikel gemaakte overdrachten.
Artikel 95
Geheim van gerechtelijke onderzoeken en strafrechtelijke procedures
De rechtshandelingen tot oprichting van de organen of instanties van de Unie die van toepassing zijn wanneer deze activiteiten verrichten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, kunnen de Europese Toezichthouder voor gegevensbescherming ertoe verplichten om, ter uitvoering van zijn toezichthoudende taken, zo veel mogelijk rekening te houden met het geheim van gerechtelijke onderzoeken en strafrechtelijke procedures, overeenkomstig het Unierecht of het lidstatelijke recht.
HOOFDSTUK X
UITVOERINGSHANDELINGEN
Artikel 96
Comitéprocedure
1. De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2. Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
HOOFDSTUK XI
TOETSING
Artikel 97
Toetsingsclausule
Uiterlijk op 30 april 2022 en vervolgens om de vijf jaar dient de Commissie bij het Europees Parlement en de Raad een verslag over de toepassing van deze verordening in, zo nodig vergezeld van passende wetgevingsvoorstellen.
Artikel 98
Toetsing van rechtshandelingen van de Unie
1. Uiterlijk op 30 april 2022 evalueert de Commissie rechtshandelingen die op basis van de Verdragen zijn vastgesteld tot regeling van de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, teneinde:
a) |
te beoordelen of zij in overeenstemming zijn met Richtlijn (EU) 2016/680 en hoofdstuk IX van deze verordening; |
b) |
vast te stellen of er discrepanties zijn die een belemmering kunnen vormen voor de uitwisseling van operationele persoonsgegevens tussen instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten op die gebieden en bevoegde autoriteiten, en |
c) |
vast te stellen of er discrepanties zijn die tot juridische versnippering van de gegevensbeschermingswetgeving in de Unie kunnen leiden. |
2. Op basis van deze toetsing kan de Commissie, om te zorgen voor een eenvormige en consequente bescherming van natuurlijke personen in verband met verwerking, passende wetgevingsvoorstellen indienen om met name hoofdstuk IX van deze verordening toe te passen op Europol en het Europees Openbaar Ministerie en om hoofdstuk IX van deze verordening indien nodig aan te passen.
HOOFDSTUK XII
SLOTBEPALINGEN
Artikel 99
Intrekking van Verordening (EG) nr. 45/2001 en van Besluit nr. 1247/2002/EG
Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG worden ingetrokken met ingang van 11 december 2018. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit worden beschouwd als verwijzingen naar deze verordening.
Artikel 100
Overgangsmaatregelen
1. Deze verordening doet geen afbreuk aan Besluit 2014/886/EU van het Europees Parlement en de Raad (20) en de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder.
2. De adjunct-toezichthouder wordt beschouwd als gelijkwaardig aan de griffier van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.
3. Artikel 53, leden 4, 5 en 7, en de artikelen 55 en 56 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn.
4. Tot het verstrijken van de ambtstermijn van de huidige adjunct-toezichthouder ondersteunt de adjunct-toezichthouder de Europese Toezichthouder voor gegevensbescherming bij diens taken en vervangt hij de Europese Toezichthouder voor gegevensbescherming wanneer deze afwezig is of verhinderd is om voornoemde taken te vervullen.
Artikel 101
Inwerkingtreding en toepassing
1. Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2. Deze verordening is echter van toepassing op de verwerking van persoonsgegevens door Eurojust met ingang van 12 december 2019.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Straatsburg, 23 oktober 2018.
Voor het Europees Parlement
De voorzitter
A. TAJANI
Voor de Raad
De voorzitter
K. EDTSTADLER
(1) PB C 288 van 31.8.2017, blz. 107.
(2) Standpunt van het Europees Parlement van 13 september 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 11 oktober 2018.
(3) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(4) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(5) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).
(6) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).
(7) Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70).
(8) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (Richtlijn privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
(9) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
(10) PB L 56 van 4.3.1968, blz. 1.
(11) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(12) Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).
(13) Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie van 1 juli 2002 betreffende het statuut en de algemene voorwaarden voor de uitoefening van de functie van Europees Europese Toezichthouder voor gegevensbescherming (PB L 183 van 12.7.2002, blz. 1).
(14) PB C 164 van 24.5.2017, blz. 2.
(15) Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).
(16) Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie („het EOM”) (PB L 283 van 31.10.2017, blz. 1).
(17) Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).
(18) Richtlijn 2008/63/EG van de Commissie van 20 juni 2008 betreffende de mededinging op de markten van telecommunicatie-eindapparatuur (PB L 162 van 21.6.2008, blz. 20).
(19) Besluit 2009/917/JBZ van de Raad van 30 november 2009 inzake het gebruik van informatica op douanegebied (PB L 323 van 10.12.2009, blz. 20).
(20) Besluit 2014/886/EU van het Europees Parlement en de Raad van 4 december 2014 tot benoeming van de Europese toezichthouder voor gegevensbescherming en van de adjunct-toezichthouder (PB L 351 van 9.12.2014, blz. 9).