|
17.5.2023 |
NL |
Publicatieblad van de Europese Unie |
L 132/77 |
UITVOERINGSBESLUIT (EU) 2023/975 VAN DE COMMISSIE
van 15 mei 2023
tot wijziging van Uitvoeringsbesluit (EU) 2019/417 van de Commissie tot vaststelling van richtsnoeren voor het beheer van het systeem van de Europese Unie voor snelle uitwisseling van informatie (Rapex) uit hoofde van artikel 12 van Richtlijn 2001/95/EG van het Europees Parlement en de Raad inzake algemene productveiligheid en het bijbehorende kennisgevingssysteem
(Kennisgeving geschied onder nummer C(2023) 2817)
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Richtlijn 2001/95/EG van het Europees Parlement en de Raad van 3 december 2001 inzake algemene productveiligheid (1), en met name artikel 11, lid 1, derde alinea, en punt 8 van bijlage II,
Gezien Verordening (EU) 2019/1020 van het Europees Parlement en de Raad van 20 juni 2019 betreffende markttoezicht en conformiteit van producten en tot wijziging van Richtlijn 2004/42/EG en de Verordeningen (EG) nr. 765/2008 en (EU) nr. 305/2011 (2), en met name artikel 20,
Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (3), en met name artikel 28, lid 1,
Gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (4), en met name artikel 26, lid 1,
Na raadpleging van het bij artikel 15, lid 1, van Richtlijn 2001/95/EG opgerichte comité,
Na raadpleging van de Europese Toezichthouder voor gegevensbescherming overeenkomstig artikel 42 van Verordening (EU) 2018/1725,
Overwegende hetgeen volgt:
|
(1) |
Uitvoeringsbesluit (EU) 2019/417 van de Commissie (5) stelt de richtsnoeren vast voor het beheer van het systeem van de Europese Unie voor snelle uitwisseling van informatie (Rapex) uit hoofde van artikel 12 van Richtlijn 2001/95/EG en het bijbehorende kennisgevingssysteem. |
|
(2) |
In artikel 28 van Verordening (EU) 2018/1725 is bepaald dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zij gezamenlijke verwerkingsverantwoordelijken zijn. De respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken kunnen door het EU-recht worden bepaald, met name wat betreft de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 15 en 16 van Verordening (EU) 2018/1725 bedoelde informatie te verstrekken. |
|
(3) |
In artikel 26 van Verordening (EU) 2016/679 is bepaald dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking van persoonsgegevens bepalen, zij als gezamenlijke verwerkingsverantwoordelijken worden beschouwd. De respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken kunnen door het EU-recht worden bepaald, met name wat betreft de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 van Verordening (EU) 2016/679 bedoelde informatie te verstrekken. |
|
(4) |
De Commissie en de nationale autoriteiten treden op als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van gegevens in het Safety Gate/Rapex-systeem. |
|
(5) |
De respectieve taken, verantwoordelijkheden en regelingen tussen de Commissie en de nationale autoriteiten als gezamenlijke verwerkingsverantwoordelijken uit hoofde van artikel 28 van Verordening (EU) 2018/1725 en artikel 26 van Verordening (EU) 2016/679 moeten worden vastgesteld. |
|
(6) |
Uitvoeringsbesluit (EU) 2019/417 moet daarom dienovereenkomstig worden gewijzigd, |
HEEFT HET VOLGENDE BESLUIT VASTGESTELD:
Artikel 1
Uitvoeringsbesluit (EU) 2019/417 wordt als volgt gewijzigd:
|
1) |
Artikel 1 wordt vervangen door: “Artikel 1 1. De richtsnoeren voor het beheer van het systeem van de Europese Unie voor snelle uitwisseling van informatie (Rapex) uit hoofde van artikel 12 van Richtlijn 2001/95/EG en het bijbehorende kennisgevingssysteem zijn opgenomen in bijlage I bij dit besluit. 2. De gezamenlijke verwerkingsverantwoordelijkheid van het systeem van de Europese Unie voor snelle uitwisseling van informatie (Rapex) is uiteengezet in bijlage II bij dit besluit.”. |
|
2) |
De bijlage wordt bijlage I. |
|
3) |
Bijlage II als opgenomen in de bijlage bij dit besluit wordt toegevoegd. |
Artikel 2
Dit besluit is gericht tot de lidstaten.
Gedaan te Brussel, 15 mei 2023.
Voor de Commissie
Didier REYNDERS
Lid van de Commissie
(1) PB L 11 van 15.1.2002, blz. 4.
(2) PB L 169 van 25.6.2019, blz. 1.
(3) PB L 295 van 21.11.2018, blz. 39.
(4) PB L 119 van 4.5.2016, blz. 1.
(5) Uitvoeringsbesluit (EU) 2019/417 van de Commissie van 8 november 2018 tot vaststelling van richtsnoeren voor het beheer van het systeem van de Europese Unie voor snelle uitwisseling van informatie (Rapex) uit hoofde van artikel 12 van Richtlijn 2001/95/EG inzake algemene productveiligheid en het bijbehorende kennisgevingssysteem (PB L 73 van 15.3.2019, blz. 121).
BIJLAGE
“BIJLAGE II
GEZAMENLIJKE VERWERKINGSVERANTWOORDELIJKHEID VAN HET SYSTEEM VAN DE EUROPESE UNIE VOOR SNELLE UITWISSELING VAN INFORMATIE (RAPEX) UIT HOOFDE VAN ARTIKEL 12 VAN RICHTLIJN 2001/95/EG VAN HET EUROPEES PARLEMENT EN DE RAAD (1) (DE RICHTLIJN INZAKE ALGEMENE PRODUCTVEILIGHEID)
1. Onderwerp en beschrijving van de verwerking
De Safety Gate/Rapex-toepassing is een kennisgevingssysteem voor snelle uitwisseling van informatie tussen de nationale autoriteiten van de lidstaten, de drie landen van de Europese Economische Ruimte/Europese Vrijhandelsassociatie (EER/EVA) (IJsland, Liechtenstein en Noorwegen) en de Commissie over maatregelen tegen gevaarlijke producten die op de markt van de Unie en/of de EER/EVA worden aangetroffen. Het doel van dit kennisgevingssysteem is:
|
— |
de levering van gevaarlijke producten aan consumenten op de interne markt te voorkomen; |
|
— |
zo nodig corrigerende maatregelen te nemen om dergelijke producten uit de handel te nemen of terug te roepen. |
De informatie-uitwisseling heeft betrekking op preventieve en beperkende maatregelen en acties met betrekking tot gevaarlijke producten voor consumenten en beroepsgebruikers, met uitzondering van levensmiddelen, diervoeders, geneesmiddelen en medische hulpmiddelen. Zowel door de nationale autoriteiten gelaste maatregelen als maatregelen die vrijwillig door marktdeelnemers worden genomen, vallen onder het Safety Gate/Rapex-systeem.
2. Toepassingsgebied van de gezamenlijke verwerkingsverantwoordelijkheid
De Commissie en de nationale autoriteiten treden op als gezamenlijke verwerkingsverantwoordelijken voor de verwerking van gegevens in het Safety Gate/Rapex-systeem. “Nationale autoriteiten” zijn alle autoriteiten van de lidstaten en autoriteiten van de EVA/EER-landen die zich bezighouden met productveiligheid en die deel uitmaken van het Safety Gate/Rapex-netwerk, zoals markttoezichtautoriteiten die controleren of producten voldoen aan de veiligheidsvereisten, en autoriteiten die toezicht houden op de buitengrenzen.
Voor de toepassing van artikel 26 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (2) en artikel 28 van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (3) vallen de volgende verwerkingsactiviteiten onder de verantwoordelijkheid van de Commissie als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens:
|
1) |
De Commissie kan informatie verwerken over maatregelen tegen producten die ernstige risico’s inhouden, die worden ingevoerd in of uitgevoerd uit de Unie en de Europese Economische Ruimte, om deze informatie door te geven aan de Rapex-contactpunten. |
|
2) |
De Commissie kan van derde landen, internationale organisaties, bedrijven of andere systemen voor snelle waarschuwing ontvangen informatie over producten van EU- en niet-EU-oorsprong die een risico vormen, verwerken om deze informatie aan de nationale autoriteiten door te geven. |
Het is de verantwoordelijkheid van de Commissie ervoor te zorgen dat de verplichtingen en voorwaarden van Verordening (EU) 2018/1725 met betrekking tot deze activiteiten worden nageleefd.
De volgende verwerkingsactiviteiten vallen onder de verantwoordelijkheid van de nationale autoriteiten, als gezamenlijke verwerkingsverantwoordelijken van persoonsgegevens:
|
1) |
De nationale autoriteiten kunnen informatie verwerken overeenkomstig de artikelen 11 en 12 van Richtlijn 2001/95/EG en artikel 20 van Verordening (EU) 2019/1020 van het Europees Parlement en de Raad (4) om de Commissie en andere lidstaten, en de EVA/EER-landen in kennis te stellen van dergelijke informatie. |
|
2) |
De nationale autoriteiten kunnen informatie verwerken na hun follow-upactiviteiten met betrekking tot Safety Gate/Rapex-kennisgevingen om de Commissie en andere lidstaten, en de EVA/EER-landen in kennis te stellen van dergelijke informatie. |
Het is de verantwoordelijkheid van de nationale autoriteiten ervoor te zorgen dat de verplichtingen en voorwaarden van Verordening (EU) 2016/679 met betrekking tot deze activiteiten worden nageleefd.
3. Verantwoordelijkheden, taken en relatie van de gezamenlijke verwerkingsverantwoordelijken ten opzichte van de betrokkenen
3.1. Categorieën betrokkenen en persoonsgegevens
De gezamenlijke verwerkingsverantwoordelijken verwerken gezamenlijk de volgende categorieën persoonsgegevens:
|
a) |
De contactgegevens van Safety Gate/Rapex-gebruikers. De volgende gegevens kunnen worden verwerkt:
|
|
b) |
De contactgegevens van de auteurs en validateurs van kennisgevingen en reacties die via Safety Gate/Rapex zijn ingediend. Deze auteurs en validateurs zijn onder meer:
De volgende gegevens kunnen worden verwerkt:
|
|
c) |
Daarnaast kunnen twee soorten persoonsgegevens incidenteel in het systeem worden opgenomen:
|
3.2. Informatieverstrekking aan betrokkenen
De Commissie verstrekt de in de artikelen 15 en 16 bedoelde informatie en alle mededelingen uit hoofde van de artikelen 17 tot en met 24 en artikel 35 van Verordening (EU) 2018/1725 in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal. De Commissie neemt ook passende maatregelen om de nationale autoriteiten bij te staan bij het verstrekken van de in de artikelen 13 en 14 bedoelde informatie en alle mededelingen uit hoofde van de artikelen 19 tot en met 26 en artikel 37 van Verordening (EU) 2016/679 in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, in duidelijke en eenvoudige taal met betrekking tot de volgende gegevens:
|
— |
gegevens met betrekking tot Safety Gate/Rapex-gebruikers; |
|
— |
gegevens met betrekking tot de auteurs en validateurs van kennisgevingen en reacties. |
Safety Gate/Rapex-gebruikers worden over hun rechten geïnformeerd via de privacyverklaring in Safety Gate/Rapex.
De nationale autoriteiten nemen passende maatregelen om alle in de artikelen 13 en 14 bedoelde informatie en alle mededelingen uit hoofde van de artikelen 19 tot en met 26 en artikel 37 van Verordening (EU) 2016/679 in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm te verstrekken, in duidelijke en eenvoudige taal met betrekking tot de volgende gegevens:
|
— |
informatie over rechtspersonen die een natuurlijke persoon identificeren; |
|
— |
namen en andere gegevens van personen die de tests op gevaarlijke producten hebben uitgevoerd en/of de testverslagen hebben geauthenticeerd. |
De informatie wordt schriftelijk, ook elektronisch, verstrekt.
De nationale autoriteiten gebruiken het door de Commissie verstrekte model voor een privacyverklaring bij het nakomen van hun verplichtingen ten aanzien van de betrokkenen.
3.3. Afhandeling van verzoeken van betrokkenen
De betrokkenen kunnen hun rechten uit hoofde van Verordening (EU) 2018/1725 respectievelijk Verordening (EU) 2016/679 uitoefenen met betrekking tot en jegens elk van de gezamenlijke verwerkingsverantwoordelijken.
De gezamenlijke verwerkingsverantwoordelijken behandelen de verzoeken van betrokkenen volgens de daartoe door de gezamenlijke verwerkingsverantwoordelijken vastgestelde procedure. De gedetailleerde procedure voor de uitoefening van de rechten van de betrokkenen wordt toegelicht in de privacyverklaring.
De gezamenlijke verwerkingsverantwoordelijken werken samen en verlenen elkaar op verzoek snelle en efficiënte bijstand bij de afhandeling van verzoeken van betrokkenen.
Indien een gezamenlijke verwerkingsverantwoordelijke een verzoek van een betrokkene ontvangt dat niet onder zijn verantwoordelijkheid valt, zendt hij het verzoek onverwijld, en uiterlijk binnen zeven kalenderdagen na ontvangst ervan, door naar de gezamenlijke verwerkingsverantwoordelijke die daadwerkelijk verantwoordelijk is voor dat verzoek. De verantwoordelijke gezamenlijke verwerkingsverantwoordelijke verstuurt binnen nog eens drie werkdagen een ontvangstbevestiging aan de betrokkene en stelt de gezamenlijke verwerkingsverantwoordelijke die het verzoek in eerste instantie heeft ontvangen, hier tegelijkertijd van in kennis.
In antwoord op een verzoek van een betrokkene om toegang tot persoonsgegevens mag geen enkele gezamenlijke verwerkingsverantwoordelijke gezamenlijk verwerkte persoonsgegevens openbaar maken of anderszins beschikbaar stellen zonder eerst de andere relevante gezamenlijke verwerkingsverantwoordelijke te hebben geraadpleegd.
4. Andere verantwoordelijkheden en taken van gezamenlijke verwerkingsverantwoordelijken
4.1. Beveiliging van de verwerking
Iedere gezamenlijke verwerkingsverantwoordelijke neemt passende technische en organisatorische maatregelen om:
|
a) |
de veiligheid, integriteit en vertrouwelijkheid van de gezamenlijk verwerkte persoonsgegevens te waarborgen en te beschermen, overeenkomstig Besluit (EU, Euratom) 2017/46 van de Commissie (5) en de desbetreffende rechtshandeling van de EU-lidstaat/het EVA/EER-land; |
|
b) |
persoonsgegevens in zijn bezit te beschermen tegen ongeoorloofde of onrechtmatige verwerking, verlies, gebruik, openbaarmaking, verkrijging of toegang; |
|
c) |
te voorkomen dat de persoonsgegevens openbaar worden gemaakt of inzage daarin wordt gegeven aan anderen dan de tevoren overeengekomen ontvangers of verwerkers. |
Iedere gezamenlijke verwerkingsverantwoordelijke neemt passende technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen op grond van artikel 33 van Verordening (EU) 2018/1725 respectievelijk artikel 32 van Verordening (EU) 2016/679.
De gezamenlijke verwerkingsverantwoordelijken verlenen elkaar snel en efficiënt bijstand in geval van beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens.
4.2. Beheer van beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens
De gezamenlijke verwerkingsverantwoordelijken behandelen beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens, overeenkomstig hun interne procedures en de toepasselijke wetgeving.
De gezamenlijke verwerkingsverantwoordelijken verlenen elkaar met name snelle en efficiënte bijstand als vereist om de opsporing en behandeling te vereenvoudigen van alle beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens, die verband houden met de gezamenlijke verwerking.
De gezamenlijke verwerkingsverantwoordelijken stellen elkaar in kennis van:
|
a) |
alle potentiële of feitelijke risico’s voor de beschikbaarheid, de vertrouwelijkheid en/of de integriteit van de persoonsgegevens die gezamenlijk worden verwerkt; |
|
b) |
alle beveiligingsincidenten die verband houden met de gezamenlijke verwerking; |
|
c) |
alle inbreuken in verband met persoonsgegevens (d.w.z. alle inbreuken op de beveiliging die leiden tot onbedoelde of onrechtmatige vernietiging, schade of wijziging van, alsmede tot ongeoorloofde openbaarmaking van of inzage in de persoonsgegevens die gezamenlijk worden verwerkt), de waarschijnlijke gevolgen van de inbreuken in verband met persoonsgegevens, de beoordeling van het risico voor de rechten en vrijheden van natuurlijke personen, alsmede alle maatregelen die zijn genomen om de inbreuken in verband met persoonsgegevens aan te pakken en het risico voor de rechten en vrijheden van natuurlijke personen te beperken; |
|
d) |
alle inbreuken op de technische en/of organisatorische waarborgen van de gezamenlijke verwerking. |
Elke gezamenlijke verwerkingsverantwoordelijke is verantwoordelijk voor alle beveiligingsincidenten, met inbegrip van inbreuken in verband met persoonsgegevens, die het gevolg zijn van de niet-nakoming van de verplichtingen van die gezamenlijke verwerkingsverantwoordelijke uit hoofde van respectievelijk dit besluit, Verordening (EU) 2018/1725 en Verordening (EU) 2016/679.
De gezamenlijke verwerkingsverantwoordelijken documenteren de beveiligingsincidenten (met inbegrip van inbreuken in verband met persoonsgegevens) en stellen elkaar onverwijld en uiterlijk 48 uur nadat zij kennis hebben gekregen van een beveiligingsincident (met inbegrip van een inbreuk in verband met persoonsgegevens), daarvan in kennis.
De voor een inbreuk in verband met persoonsgegevens verantwoordelijke gezamenlijke verwerkingsverantwoordelijke documenteert die inbreuk in verband met persoonsgegevens en stelt de Europese Toezichthouder voor gegevensbescherming of de bevoegde nationale toezichthoudende autoriteit daarvan in kennis. Hij doet dit onverwijld en, waar mogelijk, uiterlijk 72 uur nadat hij kennis heeft gekregen van de inbreuk in verband met persoonsgegevens, tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De verantwoordelijke gezamenlijke verwerkingsverantwoordelijke informeert de andere gezamenlijke verwerkingsverantwoordelijken van deze kennisgeving.
De voor de inbreuk in verband met persoonsgegevens verantwoordelijke gezamenlijke verwerkingsverantwoordelijke deelt die inbreuk in verband met persoonsgegevens aan de betrokkenen mee indien het waarschijnlijk is dat die inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De verantwoordelijke gezamenlijke verwerkingsverantwoordelijke stelt de andere gezamenlijke verwerkingsverantwoordelijken van deze mededeling in kennis.
4.3. Lokalisatie van persoonsgegevens
Persoonsgegevens die met het oog op het kennisgevingsproces via het Safety Gate/Rapex-systeem worden verzameld, worden opgeslagen en verzameld in de Safety Gate/Rapex-toepassing die door de Commissie wordt beheerd, om ervoor te zorgen dat de toegang tot de toepassing beperkt blijft tot duidelijk geïdentificeerde personen en dat de in de toepassing opgeslagen gegevens dus goed beschermd zijn.
Persoonsgegevens die met het oog op de verwerking worden verzameld, worden uitsluitend op het grondgebied van de EU/EER verwerkt en verlaten dat grondgebied niet, tenzij zij in overeenstemming zijn met artikel 45, 46 of 49 van Verordening (EU) 2016/679 of met artikel 47, 48 of 50 van Verordening (EU) 2018/1725.
Overeenkomstig artikel 12, lid 4, van Richtlijn 2001/95/EG staat de toegang tot Safety Gate/Rapex open voor kandidaat-lidstaten, derde landen of internationale organisaties, in het kader van een overeenkomst tussen de EU en die landen of internationale organisaties, overeenkomstig de in deze overeenkomsten vastgestelde regelingen. Geselecteerde informatie uit het Safety Gate/Rapex-systeem kan worden uitgewisseld. Deze informatie bevat geen persoonsgegevens.
4.4. Ontvangers
Toegang tot persoonsgegevens wordt alleen verleend aan bevoegd personeel en contractanten van de Commissie en nationale autoriteiten met het oog op het beheer en de werking van het Safety Gate/Rapex-systeem, waarmee de verwerking wordt vergemakkelijkt. Voor deze toegang gelden ID- en wachtwoordvereisten, als volgt:
|
— |
Safety Gate/Rapex staat alleen open voor de Commissie en voor gebruikers die specifiek zijn aangewezen door de autoriteiten van de EU-lidstaten en de EVA/EER-landen, alsook voor de autoriteiten van het Verenigd Koninkrijk met betrekking tot gebruikers in Noord-Ierland; |
|
— |
toegang tot de verzamelde persoonsgegevens op Safety Gate/Rapex wordt alleen verleend aan de aangewezen en gemachtigde gebruikers van de toepassing die een gebruikersidentificatie/wachtwoord hebben. Toegang tot de aanvraag en toekenning van een wachtwoord is alleen mogelijk als de bevoegde nationale autoriteit daarom verzoekt, onder het algemene toezicht van het Safety Gate/Rapex-team; |
|
— |
toegang tot de verzamelde persoonsgegevens wordt verleend aan de personeelsleden van de Commissie die verantwoordelijk zijn voor deze verwerking en voor bevoegd personeel volgens het “need-to-know”-beginsel. Deze personeelsleden zijn gehouden aan statutaire, en waar nodig, aanvullende regels inzake vertrouwelijkheid. |
De personen die toegang hebben tot de verzamelde persoonsgegevens zijn:
|
a) |
personeel en contractanten van de Commissie; |
|
b) |
aangewezen contactpunten en inspecteurs van de markttoezichtautoriteiten van de EU-lidstaten en de EVA/EER-landen, alsook van de autoriteiten van het Verenigd Koninkrijk met betrekking tot gebruikers in Noord-Ierland; |
|
c) |
geïdentificeerde inspecteurs van de autoriteiten die belast zijn met de controles aan de buitengrenzen van de EU-lidstaten en de EVA/EER-landen. |
De personen die toegang hebben tot alle verzamelde persoonsgegevens en die de mogelijkheid hebben deze op verzoek te wijzigen, zijn:
|
a) |
leden van het Safety Gate/Rapex-team van de Commissie; |
|
b) |
leden van de Safety Gate/Rapex-helpdesk van de Commissie. |
Een lijst van alle Safety Gate/Rapex-contactpunten (door de nationale autoriteiten in de EU/EER-landen aangewezen gebruikers) met hun contactgegevens (achternaam, voornaam, naam van de autoriteit, adres van de autoriteit, telefoon, fax, e-mail) is beschikbaar op de openbare Europa-website Safety Gate (6). Het gebruikersbeheer op nationaal niveau wordt gecontroleerd door de nationale Safety Gate/Rapex-contactpunten via de Safety Gate/Rapex-toepassing.
Alle gebruikers hebben toegang tot de inhoud van kennisgevingen met de status “EC gevalideerd”. Alleen nationale Safety Gate/Rapex-gebruikers hebben toegang tot het ontwerp van hun kennisgevingen (vóór indiening bij de EC). Personeelsleden van de Commissie en gemachtigde personen hebben toegang tot kennisgevingen met de status “door de EC ingediend”.
Elke gezamenlijke verwerkingsverantwoordelijke stelt alle andere gezamenlijke verwerkingsverantwoordelijken in kennis van alle doorgiften van persoonsgegevens aan ontvangers in derde landen of internationale organisaties.
5. Specifieke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken
De Commissie waarborgt en is verantwoordelijk voor de volgende handelingen:
|
a) |
beslissen over de middelen voor en de vereisten en doeleinden van de verwerking; |
|
b) |
registratie van de verwerking; |
|
c) |
vergemakkelijken van de uitoefening van de rechten van betrokkenen; |
|
d) |
behandelen van verzoeken van betrokkenen; |
|
e) |
waar nodig en evenredig, beslissen om de toepassing van de rechten van de betrokkenen te beperken of daarvan af te wijken; |
|
f) |
privacy door ontwerp en privacy door standaardinstellingen waarborgen; |
|
g) |
de rechtmatigheid, de noodzaak en de evenredigheid van het doorzenden en overdragen van persoonsgegevens vaststellen en beoordelen; |
|
h) |
waar nodig, voorafgaand overleg plegen met de Europese Toezichthouder voor gegevensbescherming; |
|
i) |
waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; |
|
j) |
op verzoek samenwerken met de Europese Toezichthouder voor gegevensbescherming bij de uitvoering van zijn taken. |
De nationale autoriteiten waarborgen en zijn verantwoordelijk voor de volgende handelingen:
|
a) |
registratie van de verwerking; |
|
b) |
ervoor zorgen dat de persoonsgegevens die worden verwerkt, toereikend, juist en ter zake dienend zijn en beperkt zijn tot wat noodzakelijk is voor het beoogde doel; |
|
c) |
zorgen voor een transparante informatieverstrekking aan en communicatie met de betrokkenen over hun rechten; |
|
d) |
vergemakkelijken van de uitoefening van de rechten van betrokkenen; |
|
e) |
alleen een beroep doen op verwerkers die voldoende garanties bieden om passende technische en organisatorische maatregelen te treffen op zodanige wijze dat de verwerking voldoet aan de vereisten van Verordening (EU) 2016/679 en de bescherming van de rechten van de betrokkene wordt gewaarborgd; |
|
f) |
de verwerking door de verwerker regelen door middel van een overeenkomst of rechtshandeling krachtens het Unierecht of het lidstatelijke recht overeenkomstig artikel 28 van Verordening (EU) 2016/679; |
|
g) |
waar nodig een voorafgaande raadpleging verrichten van de nationale toezichthoudende autoriteit; |
|
h) |
waarborgen dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden; |
|
i) |
op verzoek samenwerken met de nationale toezichthoudende autoriteit bij de uitvoering van hun taken. |
6. Duur van de verwerking
Gezamenlijke verwerkingsverantwoordelijken mogen persoonsgegevens niet langer bewaren of verwerken dan nodig is voor de uitvoering van de overeengekomen doeleinden en verplichtingen als vastgesteld in dit besluit, d.w.z. gedurende de tijd die nodig is om het doel van de verzameling of verdere verwerking te vervullen. Meer bepaald:
|
a) |
De contactgegevens van de gebruikers van de Safety Gate/Rapex-toepassing worden in het systeem bewaard zolang zij gebruikers zijn. Bij berichtgeving dat een bepaalde persoon niet langer een gebruiker van het systeem is, worden diens contactgegevens onmiddellijk uit de toepassing gewist. |
|
b) |
De contactgegevens van de inspecteurs van de markttoezichtautoriteiten van de lidstaten en de EVA/EER-landen, alsmede van de inspecteurs die belast zijn met de controle aan de buitengrenzen, die in kennisgevingen en reacties worden verstrekt, worden in het systeem bewaard gedurende een periode van vijf jaar na de validering van de kennisgeving of reactie. |
|
c) |
Persoonsgegevens van andere natuurlijke personen die mogelijk in het systeem zijn opgenomen, worden bewaard in een vorm die identificatie mogelijk maakt gedurende dertig jaar vanaf het moment van invoering van de informatie in Safety Gate/Rapex, wat overeenkomt met de geraamde maximale levenscyclus van productcategorieën zoals elektrische apparaten of motorvoertuigen. |
Legitieme verzoeken van betrokkenen om hun gegevens af te schermen, aan te passen of te wissen, worden door de Commissie binnen een maand na ontvangst van het verzoek ingewilligd.
7. Aansprakelijkheid voor niet-naleving
De Commissie is aansprakelijk voor niet-naleving overeenkomstig hoofdstuk VIII van Verordening (EU) 2018/1725.
De autoriteiten van de EU-lidstaten zijn aansprakelijk voor niet-naleving overeenkomstig hoofdstuk VIII van Verordening (EU) 2016/679.
8. Samenwerking tussen gezamenlijke verwerkingsverantwoordelijken
Elke gezamenlijke verwerkingsverantwoordelijke verleent de andere gezamenlijke verwerkingsverantwoordelijken op verzoek snelle en efficiënte bijstand bij de uitvoering van dit besluit, met inachtneming van alle toepasselijke voorschriften van Verordening (EU) 2018/1725 respectievelijk Verordening (EU) 2016/679 en andere toepasselijke gegevensbeschermingsregels.
9. Geschillenbeslechting
De gezamenlijke verwerkingsverantwoordelijken streven ernaar geschillen die voortvloeien uit of verband houden met de interpretatie of toepassing van dit besluit, in der minne te schikken.
Indien zich op enig moment een vraag, geschil of meningsverschil tussen de gezamenlijke verwerkingsverantwoordelijken met betrekking tot of in verband met dit besluit voordoet, stellen de gezamenlijke verwerkingsverantwoordelijken alles in het werk om dit door middel van overleg op te lossen.
Alle geschillen worden bij voorkeur op operationeel niveau beslecht zodra zij zich voordoen en bij voorkeur door de contactpunten die zijn bedoeld in punt 10 van deze bijlage en worden opgesomd op de openbare Europa-website Safety Gate.
Het overleg heeft tot doel de maatregelen die zijn genomen om het gerezen probleem op te lossen, te evalueren en, voor zover praktisch uitvoerbaar, erover tot overeenstemming te komen, en de gezamenlijke verwerkingsverantwoordelijken onderhandelen daartoe te goeder trouw met elkaar. Elke gezamenlijke verwerkingsverantwoordelijke reageert binnen zeven werkdagen na een verzoek om minnelijke schikking. De termijn voor het bereiken van een minnelijke schikking bedraagt dertig werkdagen vanaf de datum van het verzoek.
Indien het geschil niet in der minne kan worden beslecht, kan elke gezamenlijke verwerkingsverantwoordelijke zich op de volgende wijze aan bemiddeling en/of een gerechtelijke procedure onderwerpen:
|
a) |
in geval van bemiddeling wijzen de gezamenlijke verwerkingsverantwoordelijken gezamenlijk een door elk van hen aanvaardbare bemiddelaar aan, die de beslechting van het geschil binnen twee maanden na voorlegging van het geschil moet faciliteren; |
|
b) |
in geval van een gerechtelijke procedure wordt de zaak voorgelegd aan het Hof van Justitie van de Europese Unie overeenkomstig artikel 272 van het Verdrag betreffende de werking van de Europese Unie. |
10. Contactpunten voor samenwerking tussen de gezamenlijke verwerkingsverantwoordelijken
Elke gezamenlijke verwerkingsverantwoordelijke wijst één contactpunt aan, waarmee andere gezamenlijke verwerkingsverantwoordelijken contact opnemen met betrekking tot vragen, klachten en informatieverstrekking die binnen het toepassingsgebied van dit besluit vallen.
Een gedetailleerde lijst van alle door de Commissie en de nationale autoriteiten in de EU/EER-landen aangewezen contactpunten met hun contactgegevens (achternaam, voornaam, naam van de autoriteit, adres van de autoriteit, telefoon, fax, e-mail) is beschikbaar op de openbare Europa-website Safety Gate.
(1) Richtlijn 2001/95/EG van het Europees Parlement en de Raad van 3 december 2001 inzake algemene productveiligheid (PB L 11 van 15.1.2002, blz. 4).
(2) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).
(3) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).
(4) Verordening (EU) 2019/1020 van het Europees Parlement en de Raad van 20 juni 2019 betreffende markttoezicht en conformiteit van producten en tot wijziging van Richtlijn 2004/42/EG en de Verordeningen (EG) nr. 765/2008 en (EU) nr. 305/2011 (PB L 169 van 25.6.2019, blz. 1).
(5) Besluit (EU, Euratom) 2017/46 van de Commissie van 10 januari 2017 over de beveiliging van communicatie- en informatiesystemen binnen de Europese Commissie (PB L 6 van 11.1.2017, blz. 40).
(6) https://ec.europa.eu/safety/consumers/consumers_safety_gate/menu/documents/Safety_Gate_contacts.pdf