Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Gemeenschap en betreffende het vrije verkeer van die gegevens (door de Commissie ingediend)

TOELICHTING

De communautaire instellingen en organen, en de Commissie in het bijzonder, verwerken in het kader van hun activiteiten regelmatig persoonsgegevens. In het kader van het gemeenschappelijk landbouwbeleid, voor het beheer van het douanestelsel en van de structuurfondsen, alsmede op andere communautaire beleidsgebieden wisselt de Commissie persoonsgegevens uit met de lidstaten. Om de gegevensbescherming sluitend te maken, heeft de Commissie in 1990, toen zij het voorstel voor Richtlijn 95/46/EG indiende, verklaard dat zijzelf de principes ervan eveneens in acht zou nemen.

Bij de vaststelling van de richtlijn hebben de Commissie en de Raad zich in een publieke verklaring ertoe verbonden de regels van de richtlijn in acht te nemen en hebben zij de overige communautaire instellingen en organen opgeroepen hetzelfde te doen.

Tijdens de intergouvernementele conferentie over de herziening van de Verdragen werd het vraagstuk van de toepassing van de regels inzake de bescherming van persoonsgegevens op de communautaire instellingen door de Nederlandse en de Griekse regering aan de orde gesteld. Op grond van die besprekingen voegt het Verdrag van Amsterdam in het Verdrag tot oprichting van de Europese Gemeenschap een specifieke bepaling terzake in. In de definitieve nummering gaat het om artikel 286, dat als volgt luidt:

1. Met ingang van 1 januari 1999 zijn de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de verwerking en het vrije verkeer van persoonsgegevens van toepassing op de instellingen en organen die bij of op grond van dit Verdrag zijn opgericht.

2. Vóór de in lid 1 genoemde datum stelt de Raad volgens de procedure van artikel 251 een onafhankelijk controleorgaan in dat belast is met het toezicht op de toepassing van die besluiten van de Gemeenschap op de communautaire instellingen en organen, en neemt hij zo nodig andere bepalingen terzake aan

Artikel 286 schrijft met andere woorden voor dat de communautaire instellingen en organen met ingang van 1 januari 1999 de communautaire regels inzake de bescherming van persoonsgegevens, die in hoofdzaak vervat zijn in Richtlijn 95/46/EG, moeten toepassen en dat een onafhankelijk controleorgaan toezicht moet houden op de naleving van die regels. Dit voorstel voor een verordening beoogt dit tweeledige doel te bereiken.

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Gemeenschap en betreffende het vrije verkeer van die gegevens

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gezien het voorstel van de Commissie [1],

[1] PB C .

Gezien het advies van het Economisch en Sociaal Comité [2],

[2] PB C .

Overeenkomstig de procedure van artikel 251 van het Verdrag [3],

[3] PB C .

Overwegende hetgeen volgt:

1) In artikel 286 van het Verdrag is bepaald dat de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de verwerking en het vrije verkeer van persoonsgegevens op de communautaire instellingen en organen van toepassing moeten zijn.

2) Een volledig systeem voor de bescherming van persoonsgegevens vergt niet alleen de vaststelling van rechten voor de betrokkenen en van plichten voor de verwerkers van persoonsgegevens, maar ook passende sancties voor overtreders en toezicht door een onafhankelijk controleorgaan.

3) In artikel 286, lid 2, van het Verdrag is bepaald dat er een onafhankelijk controleorgaan moet worden ingesteld dat met het toezicht op de toepassing van die besluiten van de Gemeenschap op de communautaire instellingen en organen wordt belast.

4) Krachtens artikel 286, lid 2, van het Verdrag dienen zo nodig andere bepalingen terzake te worden vastgesteld.

5) Er is een verordening nodig om aan natuurlijke personen wettelijk afdwingbare rechten toe te kennen, om de verplichtingen van de voor de verwerking verantwoordelijken binnen de communautaire instellingen en organen met betrekking tot de verwerking van gegevens vast te stellen en om een onafhankelijk controleorgaan op te richten dat met het externe toezicht op gegevensverwerking door de Gemeenschap wordt belast.

6) De gegevensbeschermingsbeginselen dienen voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon te gelden. Om te bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door degene die voor de verwerking verantwoordelijk is, of door ieder ander worden gebruikt om de eerstgenoemde persoon te identificeren. De beschermingsbeginselen zijn niet van toepassing op gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is.

7) Bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [4] wordt de lidstaten de verplichting opgelegd om in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer, te beschermen, teneinde het vrije verkeer van persoonsgegevens in de Gemeenschap te waarborgen.

[4] PB L 281 van 23.11.1995, blz. 31.

8) Bij Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector [5] wordt Richtlijn 95/46/EG verbijzonderd en aangevuld met betrekking tot de verwerking van persoonsgegevens in de telecommunicatiesector.

[5] PB L 24 van 30.1.1998, blz. 1.

9) Voorts strekken verscheidene andere communautaire maatregelen, waaronder die betreffende de wederzijdse bijstand tussen de nationale autoriteiten en de Commissie, eveneens ertoe in de desbetreffende sectoren waarop die maatregelen betrekking hebben, Richtlijn 95/46/EG te verbijzonderen en aan te vullen.

10) Er dient zorg te worden gedragen voor een in de gehele Gemeenschap coherente en homogene toepassing van de regels inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

11) Doel is zorg te dragen voor zowel doeltreffende naleving van de regels inzake de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen als het vrije verkeer van persoonsgegevens tussen de lidstaten en de communautaire instellingen en organen of tussen die instellingen en organen onderling, voor met de uitoefening van hun respectieve bevoegdheden verband houdende doeleinden.

12) Zulks kan het best worden bereikt door vaststelling van maatregelen die voor de communautaire instellingen en organen bindend zijn. Die maatregelen dienen van toepassing te zijn op elke verwerking van persoonsgegevens door communautaire instellingen of organen in het raam van de daaraan bij of krachtens de Verdragen tot oprichting van de Europese Gemeenschappen en het Verdrag betreffende de Europese Unie toegekende bevoegdheden.

13) Deze maatregelen moeten identiek zijn aan de bepalingen die zijn vastgesteld in verband met de harmonisatie van de nationale wettelijke bepalingen of in verband met de tenuitvoerlegging van andere onderdelen van communautair beleid. Het kan evenwel noodzakelijk zijn die bepalingen te verbijzonderen en aan te vullen waar het bescherming betreft bij de verwerking van persoonsgegevens door de communautaire instellingen of organen.

14) Dit geldt voor de rechten van de natuurlijke personen wier gegevens worden verwerkt, voor de verplichtingen van de communautaire instellingen of organen die de gegevens verwerken, en voor de aan het onafhankelijke, met het toezicht op de correcte toepassing van deze verordening belaste controleorgaan toe te kennen bevoegdheden.

15) De verwerking van persoonsgegevens voor de vervulling van de taken die door de communautaire instellingen of organen in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens.

16) Het kan ter voorkoming van onbevoegd gebruik noodzakelijk zijn om toezicht uit te oefenen op de computernetwerken die onder zeggenschap van de communautaire instellingen of organen worden geëxploiteerd. De Europese Toezichthouder voor gegevensbescherming dient te bepalen of en onder welke voorwaarden dit mogelijk is.

17) Verordening (EG) nr. 322/97 van de Raad van 17 februari 1997 betreffende de communautaire statistiek [6] is krachtens haar artikel 21 onverminderd Richtlijn 95/46/EG van toepassing.

[6] PB L 52 van 22.2.1997, blz. 1.

18) Het is om redenen van doorzichtigheid noodzakelijk nadere informatie over de toepassing van deze verordening openbaar te maken, met inbegrip van een lijst van de aan deze verordening onderworpen communautaire instellingen of organen.

19) De bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens heeft advies uitgebracht,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK IALGEMENE BEPALINGEN

Artikel 1

Voorwerp van de verordening

1. De instellingen en organen die bij of krachtens de Verdragen tot oprichting van de Europese Gemeenschappen zijn of worden ingesteld, hierna "communautaire instellingen of organen" genoemd, beschermen met betrekking tot de verwerking van persoonsgegevens, overeenkomstig de bepalingen van deze verordening, de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer.

2. Het bij deze verordening ingestelde onafhankelijke controleorgaan, hierna "de Europese Toezichthouder voor gegevensbescherming" genoemd, houdt toezicht op de toepassing van de bepalingen van deze verordening op alle door een communautaire instelling of een communautair orgaan verrichte verwerkingen.

Artikel 2

Definities

Voor de doeleinden van deze verordening wordt verstaan onder:

(a) "persoonsgegevens", iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die voor zijn, respectievelijk haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit kenmerkend zijn;

(b) "verwerking van persoonsgegevens", hierna "verwerking" genoemd, elke bewerking, respectievelijk elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorgifte, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, wissen of vernietigen van gegevens;

(c) "bestand van persoonsgegevens", hierna "bestand" genoemd, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(d) "voor de verwerking verantwoordelijke", de communautaire instelling of het communautaire orgaan, het directoraat-generaal, de eenheid of enig ander organisatieonderdeel die, respectievelijk dat, alleen of tezamen met andere(n), het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking bij een bijzonder communautair besluit worden vastgesteld, kan bij dat communautair besluit de voor de verwerking verantwoordelijke worden aangewezen of de specifieke criteria voor diens benoeming worden vastgesteld;

(e) "verwerker", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(f) "derde", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;

(g) "ontvanger", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens in het raam van een bijzondere onderzoekopdracht kunnen worden medegedeeld, worden evenwel niet als ontvangers beschouwd;

(h) "toestemming van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem, respectievelijk haar betreffende persoonsgegevens worden verwerkt.

Artikel 3

Werkingssfeer

1. De bepalingen van deze verordening zijn van toepassing op de verwerking van persoonsgegevens door alle communautaire instellingen of organen.

2. De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.

HOOFDSTUK II

ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS

AFDELING 1

BEGINSELEN BETREFFENDE DE KWALITEIT VAN DE GEGEVENS

Artikel 4

1. De persoonsgegevens:

(a) moeten eerlijk en rechtmatig worden verwerkt;

(b) moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de voor de verwerking verantwoordelijke passende garanties biedt, met name om te waarborgen dat de gegevens uitsluitend voor die doeleinden zullen worden verwerkt;

(c) moeten, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn;

(d) moeten nauwkeurig zijn en zo nodig worden bijgewerkt; alle redelijke maatregelen moeten worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te corrigeren;

(e) mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. De communautaire instelling of het communautaire orgaan voorziet in passende waarborgen voor persoonsgegevens die langer dan hierboven bepaald voor historische, statistische of wetenschappelijke doeleinden worden bewaard, met name wat het anoniem maken ervan betreft.

2. Op de voor de verwerking verantwoordelijke rust de plicht ervoor zorg te dragen dat lid 1 wordt nageleefd.

AFDELING 2

BEGINSELEN BETREFFENDE DE TOELAATBAARHEID VAN GEGEVENSVERWERKING

Artikel 5

Gewettigde verwerking

Verwerking van persoonsgegevens mag slechts geschieden indien:

(a) het noodzakelijk is voor de vervulling, op grond van een wet, van een taak van algemeen belang of voor de rechtmatige uitoefening van het aan de communautaire instelling of aan het communautaire orgaan of aan de derde aan wie de gegevens worden bekendgemaakt, opgedragen openbaar gezag, of

(b) het noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen, of

(c) het noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of

(d) de betrokkene daarvoor zijn, respectievelijk haar ondubbelzinnige toestemming heeft gegeven, of

(e) het noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene.

Artikel 6

Verdere verwerking voor verenigbare doeleinden

1. Persoonsgegevens mogen voor andere doeleinden dan die waarvoor zij zijn verzameld, slechts worden verwerkt indien de wijziging van het doel door de interne regels van de communautaire instelling of van het communautaire orgaan uitdrukkelijk wordt toegestaan.

2. Om de naleving van financiële en budgettaire voorschriften te waarborgen mogen voor andere doeleinden verzamelde persoonsgegevens worden verwerkt.

3. Uitsluitend met het oog op de beveiliging van en het toezicht op de verwerkingssystemen of -verrichtingen verzamelde persoonsgegevens mogen, met uitzondering van de in artikel 18, lid 1, punt a), genoemde doeleinden, voor geen enkel ander doel worden gebruikt.

Artikel 7

Doorgifte van gegevens binnen of tussen communautaire instellingen of organen

1. Persoonsgegevens mogen binnen of tussen, communautaire instellingen of organen slechts worden doorgegeven indien die gegevens voor de rechtmatige uitoefening onder de bevoegdheid van de ontvanger begrepen taken noodzakelijk zijn.

2. De voor de verwerking verantwoordelijke en de ontvanger dragen de verantwoordelijkheid voor de rechtmatigheid van de doorgifte.

De voor de verwerking verantwoordelijke gaat slechts de bevoegdheid van de ontvanger en de gegrondheid van het verzoek na. Bij twijfel over de gegrondheid gaat de voor de verwerking verantwoordelijke evenwel tevens na of de doorgifte noodzakelijk is.

De ontvanger draagt ervoor zorg dat de noodzaak van de doorgifte nadien kan worden geverifieerd.

Artikel 8

Doorgifte aan zich in de lidstaten bevindende personen en organen, niet zijnde communautaire instellingen of organen

1. Persoonsgegevens worden slechts aan zich in de lidstaten van de Europese Unie bevindende personen en organen doorgegeven indien de ontvanger de noodzaak heeft vastgesteld de gegevens medegedeeld te krijgen en er geen reden is om aan te nemen dat de rechtmatige belangen van de betrokkene worden geschaad.

2. De ontvanger verwerkt de persoonsgegevens uitsluitend voor de doeleinden waarvoor deze werden doorgegeven.

Artikel 9

Doorgifte van persoonsgegevens aan personen en organen, niet zijnde communautaire instellingen of organen, noch onderworpen aan Richtlijn 95/46/EG

1. Persoonsgegevens worden slechts doorgegeven aan personen of organen, niet zijnde communautaire instellingen of organen, noch krachtens artikel 4 van Richtlijn 95/46/EG onderworpen aan nationale wetgeving inzake bescherming van persoonsgegevens, indien in het land van de ontvanger of in de ontvangende internationale organisatie een passend beschermingsniveau wordt gewaarborgd, de gegevens strikt binnen het raam van de, onder de bevoegdheid van de voor de verwerking verantwoordelijke vallende taken worden doorgegeven en aan de in artikel 4, lid 1, onder b), van de onderhavige verordening genoemde voorwaarden wordt voldaan.

2. Of het door het betrokken land of door de betrokken internationale organisatie geboden beschermingsniveau passend is, wordt beoordeeld in het licht van alle omstandigheden rond een doorgifte van gegevens of van een geheel van gegevens; in het bijzonder wordt aandacht geschonken aan de aard van de gegevens, aan het doel en de duur van de voorgenomen verwerking(en), aan het land of de internationale organisatie waarvoor de gegevens uiteindelijk zijn bestemd, aan de zowel algemene als sectorale rechtsregels die in het betrokken land of bij de betrokken internationale organisatie gelden en aan de voorschriften inzake beroepsethiek en geheimhouding die in het betrokken land of bij de betrokken internationale organisatie worden nageleefd.

3. De communautaire instellingen of organen stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarin zij van oordeel zijn dat het betrokken land, respectievelijk de betrokken internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt.

4. Wanneer de Commissie bijgestaan door het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde Comité, tot de bevinding komt hetzij dat een land of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 van het onderhavige artikel waarborgt, hetzij dat zulks niet het geval is, nemen de communautaire instellingen of organen de nodige maatregelen om aan het besluit van de Commissie te voldoen. Dat besluit wordt overeenkomstig de in artikel 4 van Besluit 1999/468/EG van de Raad [7] neergelegde beheersprocedure en onverminderd artikel 8 van dat Besluit vastgesteld. De in artikel 4, lid 3, van Besluit 1999/468/EG bedoelde termijn bedraagt drie maanden.

[7] PB L 184 van 17.71999, blz. 23.

5. In afwijking van lid 1 kan de communautaire instelling of het communautaire orgaan persoonsgegevens doorgeven indien:

(a) de betrokkene daarvoor zijn, respectievelijk haar ondubbelzinnige toestemming heeft gegeven of

(b) de doorgifte voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen noodzakelijk is, of

(c) de doorgifte voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de voor de verwerking verantwoordelijke en een derde noodzakelijk is, of

(d) de doorgifte op grond van zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte noodzakelijk of wettelijk verplicht is, of

(e) de doorgifte ter vrijwaring van het vitale belang van de betrokkene noodzakelijk is, of

(f) de doorgifte vanuit een register geschiedt dat krachtens de communautaire wetgeving is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, voorzover in het gegeven geval aan de in de communautaire wetgeving vervatte voorwaarden voor raadpleging wordt voldaan.

6. De communautaire instellingen of organen stellen de Europese Toezichthouder voor gegevensbescherming in kennis van alle (categorieën) gevallen waarin zij lid 5 hebben toegepast.

AFDELING 3

VERWERKING VAN BIJZONDERE CATEGORIEËN GEGEVENS

Artikel 10

1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksuele leven betreffen, is verboden.

2. Lid 1 is niet van toepassing wanneer:

(a) de betrokkene uitdrukkelijk in een dergelijke verwerking heeft toegestemd, tenzij in de interne regels van de communautaire instelling of van het communautair orgaan is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt, of

(b) de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de specifieke rechten van de voor de verwerking verantwoordelijke op het gebied van arbeidsrechtelijke verhoudingen, voorzover zulks bij de communautaire wetgeving of bij voorschriften voor de uitvoering van die wetgeving wordt toegestaan, of voorzover de Europese Toezichthouder voor gegevensbescherming daarmee heeft ingestemd, en adequate garanties worden geboden, of

(c) de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een ander indien de betrokkene lichamelijk of juridisch niet in staat is zijn, respectievelijk haar toestemming te geven, of

(d) de verwerking betrekking heeft op duidelijk door de betrokkene openbaar gemaakte gegevens of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of.

(e) de verwerking wordt uitgevoerd in het raam van de gerechtvaardigde activiteiten en met passende garanties van een organisatie zonder winstoogmerk, die een in een communautaire instelling of in een communautair orgaan geïntegreerde eniteit vormt en niet onderworpen is aan nationale wetgeving inzake de bescherming van persoonsgegevens krachtens artikel 4 van Richtlijn 95/46/EG, en waarvan de doelstelling op politiek, levensbeschouwelijk, godsdienstig of op vakbondsgebied is gelegen, mits de verwerking uitsluitend betrekking heeft op de leden van deze organisatie of op de personen die in verband met haar doelstellingen regelmatig contact met haar onderhouden, en de gegevens niet zonder toestemming van de betrokkenen aan derden worden bekendgemaakt.

3. Lid 1 is niet van toepassing wanneer verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde, medische diagnose, beoordeling van de medische geschiktheid met het oog op aanwerving, zorgverstrekking, behandeling of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een aan het beroepsgeheim onderworpen gezondheidswerker of door een ander voor wie een gelijkwaardige geheimhoudingsplicht geldt.

4. Mits passende waarborgen worden geboden, kunnen om redenen van zwaarwegend algemeen belang bij besluit van de Europese Toezichthouder voor gegevensbescherming nog andere afwijkingen naast die van lid 2 worden vastgesteld.

5. Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen slechts worden uitgevoerd indien de gemeenschapswetgeving of andere, op basis van het Verdrag betreffende de Europese Unie vastgestelde rechtsinstrumenten het toestaan en in passende bijzondere waarborgen voorzien, of indien de Europese Toezichthouder voor gegevensbescherming daarin toestemt.

6. De Europese Toezichthouder voor gegevensbescherming bepaalt de voorwaarden waaronder een persoonsnummer of een ander algemene toepassing vindend identificatiemiddel in een communautaire instelling of in een communautair orgaan mag worden verwerkt.

AFDELING 4

AAN DE BETROKKENE TE VERSTREKKEN INFORMATIE

Artikel 11

Informatie in geval van gegevensvergaring bij de betrokkene

1. De voor de verwerking verantwoordelijke verstrekt de betrokkene, bij wie de betrokkene zelf betreffende gegevens worden vergaard, ten minste de navolgende informatie, tenzij de betrokkene daarover reeds beschikt:

(a) de identiteit van de voor de verwerking verantwoordelijke;

(b) de doeleinden van de verwerking waarvoor de gegevens zijn bestemd;

(c) de gegevensontvangers of categorieën gegevensontvangers;

(d) of antwoorden op de vragen verplicht of vrijwillig is en de eventuele gevolgen van niet-beantwoording;

(e) het bestaan van het recht op toegang tot de eigen persoonsgegevens en op rectificatie van die gegevens;

(f) verdere informatie zoals:

- de rechtsgrondslag van de verwerking waarvoor de gegevens zijn bestemd,

- de termijn gedurende welke de gegevens worden bewaard,

- het recht om te allen tijde tot de Europese Toezichthouder voor gegevensbescherming toegang te hebben,

voorzover die informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen.

2. In afwijking van lid 1 mag verstrekking van informatie of van een deel ervan worden uitgesteld zolang dit noodzakelijk is om het rechtmatige doel van een statistische enquête te bereiken, gezien de aard of het onderwerp van die enquête. De informatie wordt verstrekt zodra de reden waarom zij werd achtergehouden, niet meer bestaat, tenzij dit kennelijk onredelijk of ondoenbaar is. In die gevallen wordt de informatie verstrekt zodra die omstandigheden in een latere fase hebben opgehouden te bestaan.

Artikel 12

Informatie in geval van niet bij de betrokkene verkregen gegevens

1. Indien de gegevens niet bij de betrokkene zijn verkregen, verstrekt voor de verwerking verantwoordelijke, op het tijdstip van registratie van de persoonsgegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, de betrokkene uiterlijk op het tijdstip van de eerste verstrekking van de gegevens ten minste de volgende informatie, tenzij de betrokkene deze reeds bezit:

(a) de identiteit van de voor de verwerking verantwoordelijke;

(b) de doeleinden van de verwerking;

(c) de betrokken gegevenscategorieën;

(d) de gegevensontvangers of de categorieën gegevensontvangers;

(e) het bestaan van het recht op toegang tot de eigen persoonsgegevens en op rectificatie van die gegevens;

(f) verdere informatie zoals:

- de rechtsgrondslag van de verwerking waarvoor de gegevens zijn bestemd,

- de termijn gedurende welke de gegevens worden bewaard,

- het recht om te allen tijde tot de Europese Toezichthouder voor gegevensbescherming toegang te hebben,

- de oorsprong van de gegevens, behalve wanneer de voor de verwerking verantwoordelijke deze informatie wegens beroepsgeheim niet kan vrijgeven,

voorzover die informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen.

2. Lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, de verstrekking van dergelijke informatie onmogelijk blijkt of onevenredig veel moeite kost of indien registratie of vrijgave uitdrukkelijk door het Gemeenschapsrecht is voorgeschreven. In die gevallen draagt de communautaire instelling of het communautaire orgaan zorg voor passende waarborgen.

AFDELING 5

RECHT VAN DE BETROKKENE OP TOEGANG TOT DE GEGEVENS

Artikel 13

Recht van toegang

Elke betrokkene heeft het recht te allen tijde, zonder bovenmatige vertraging en kosteloos, van de voor de verwerking verantwoordelijke:

(a) uitsluitsel te verkrijgen over het al dan niet plaatsgrijpen van een de betrokkene betreffende gegevensverwerking;

(b) informatie te verkrijgen over de doeleinden van de verwerking, over de categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt;

(c) verstrekking, in begrijpelijke vorm, van de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft;

(d) kennis van de logica te verkrijgen die aan elk de betrokkene betreffend geautomatiseerd besluit ten grondslag ligt.

Artikel 14

Rectificatie

Op verzoek van de betrokkene rectificeert de voor de verwerking verantwoordelijke onverwijld onnauwkeurige of onvolledige persoonsgegevens.

Artikel 15

Afscherming

1. Persoonsgegevens worden afgeschermd indien:

(a) de nauwkeurigheid ervan door de betrokkene wordt betwist en noch de nauwkeurigheid, noch de onnauwkeurigheid ervan kan worden aangetoond;

(b) de voor de verwerking verantwoordelijke die gegevens niet langer voor de uitoefening van zijn, respectievelijk haar taken, nodig heeft, maar die gegevens nog moeten worden bewaard om als bewijsmateriaal te dienen;

(c) de verwerking ervan onwettig was en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan afscherming ervan verzoekt.

2. In geautomatiseerde gegevensbestanden wordt voor afscherming in beginsel met technische middelen zorg gedragen. Het feit dat de persoonsgegevens worden afgeschermd, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik kan worden gemaakt.

3. Afgeschermde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt indien zij noodzakelijk zijn om de bewijslast af te wentelen, indien de betrokkene erin heeft toegestemd of om redenen in verband met het rechtmatige belang van een derde.

Artikel 16

Gegevenswissing

1. Persoonsgegevens worden gewist indien de verwerking ervan onwettig was, met name wanneer inbreuk wordt gemaakt op het bepaalde in de afdelingen 1, 2 en 3.

2. Persoonsgegevens worden gewist indien de voor de verwerking verantwoordelijke die gegevens niet langer voor de uitoefening van zijn, respectievelijk haar taken nodig heeft en er geen reden is om aan te nemen dat de belangen van de betrokkene door wissing ervan zouden kunnen worden geschaad.

Artikel 17

Kennisgeving aan derden

De voor de verwerking verantwoordelijke stelt derden aan wie de gegevens zijn verstrekt, van elke rectificatie, wissing of afscherming in kennis, tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost.

AFDELING 6

UITZONDERINGEN EN BEPERKINGEN

Artikel 18

1. De communautaire instellingen of organen kunnen de toepassing van artikel 4, lid 1, artikel 11, artikel 12, lid 1, artikel 13, artikel 33 en artikel 34, lid 1, beperken indien die beperking een noodzakelijke maatregel vormt ter vrijwaring van:

(a) het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten;

(b) een belangrijk economisch of financieel belang van een lidstaat of van de Europese Unie, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

(c) de bescherming van de betrokkene of van de rechten en vrijheden van anderen;

(d) een taak op het gebied van toezicht, inspectie of regelgeving, verbonden, zelfs incidenteel, met de uitoefening van het openbaar gezag in de, in de punten a) en b) bedoelde gevallen.

2. De artikelen 13 tot en met 16 zijn niet van toepassing wanneer de gegevens louter met het oog op wetenschappelijk onderzoek worden verwerkt of in de vorm van persoonlijke gegevens worden bewaard voor een duur die de tijd gemoeid met uitsluitend opstellen van statistieken niet overtreft, mits er duidelijk geen gevaar bestaat dat inbreuk wordt gepleegd op de persoonlijke levenssfeer van de betrokkene en de voor de verwerking verantwoordelijke passende wettelijke garanties biedt, met name dat de gegevens niet worden gebruikt om maatregelen of besluiten ten aanzien van een bepaalde persoon te treffen.

3. Indien een beperking als bedoeld in lid 1 wordt toegepast, wordt de betrokkene in kennis gesteld van de hoofdredenen waarop de toepassing van de beperking berust en van zijn, respectievelijk haar recht om zich tot de Europese Toezichthouder voor gegevensbescherming te wenden.

4. Zodra de reden waarom de beperkingen als bedoeld in lid 1 worden toegepast, ophoudt te bestaan, worden de bepalingen waarnaar in lid 1 wordt verwezen, weer onverkort toegepast.

AFDELING 7

BEZWAREN EN KLACHTEN

Artikel 19

Het recht van de betrokkene om bezwaar te maken

De betrokkene heeft het recht, om zwaarwegende en gerechtvaardigde redenen die met zijn, respectievelijk haar bijzondere situatie verband houden, te allen tijde ertegen bezwaar te maken dat hem, respectievelijk haar betreffende gegevens worden verwerkt, behalve in de in artikel 5, punten b), c) en d), genoemde gevallen. In het geval van gerechtvaardigd bezwaar mag de verwerking door de voor de verwerking verantwoordelijke niet langer deze gegevens betreffen.

Artikel 20

Het recht van de betrokkene om klachten in te dienen

De betrokkene heeft het recht te allen tijde bij de Europese Toezichthouder voor gegevensbescherming klachten in te dienen.

Artikel 21

Geautomatiseerde individuele besluiten

Niemand mag worden onderworpen aan een besluit waaraan voor hem, respectievelijk haar betreffende rechtsgevolgen zijn verbonden of dat hem, respectievelijk haar in aanmerkelijke mate treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn, respectievelijk haar persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk wordt toegestaan door een wettelijke bepaling welke tevens maatregelen ter vrijwaring van de rechtmatige belangen van de betrokkene behelst.

AFDELING 8

VERTROUWELIJKHEID EN BEVEILIGING VAN DE VERWERKING

Artikel 22

Vertrouwelijkheid van de verwerking

Eenieder die onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker handelt, onder wie de verwerker zelf, en toegang heeft tot persoonsgegevens, mag deze slechts op instructies van de voor de verwerking verantwoordelijke verwerken, tenzij de nationale wetgeving hem, respectievelijk haar daartoe verplicht.

Artikel 23

Beveiliging van de verwerking

1. Rekening houdend met de stand van de techniek en met de kosten van de tenuitvoerlegging ervan, dient de voor de verwerking verantwoordelijke de noodzakelijke technische en organisatorische maatregelen ten uitvoer te leggen om, gelet op de risico's die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen.

2. Wanneer persoonsgegevens handmatig worden verwerkt, worden met name passende maatregelen genomen ter voorkoming van enigerlei niet-geautoriseerde toegang, verspreiding, wijziging of vernietiging of van enigerlei per ongeluk gebeurd verlies.

3. Wanneer persoonsgegevens met geautomatiseerde middelen worden verwerkt, worden met name maatregelen genomen om:

(a) te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevens verwerkende computersystemen;

(b) onbevoegde inzage, verveelvoudiging, wijziging of verwijdering van opslagmedia te voorkomen;

(c) onbevoegde invoer in het geheugen alsmede onbevoegde verspreiding, wijziging of wissing van opgeslagen persoonsgegevens te voorkomen;

(d) te voorkomen dat onbevoegden met behulp van datatransmissieapparatuur de gegevensverwerkingssystemen gebruiken;

(e) ervoor zorg te dragen dat bevoegde gebruikers van een gegevensverwerkingssysteem geen toegang tot andere persoonsgegevens kunnen krijgen dan die waarvoor hun recht van toegang geldt;

(f) te registreren welke persoonsgegevens op welk tijdstip en aan wie zijn medegedeeld;

(g) ervoor zorg te dragen dat het achteraf mogelijk is na te gaan en te controleren wanneer en door wie bepaalde persoonsgegevens zijn verwerkt;

(h) ervoor zorg te dragen dat persoonsgegevens die ten behoeve van derden worden verwerkt, uitsluitend op de door de opdrachtgevende communautaire instelling of door het opdrachtgevende communautaire orgaan voorgeschreven wijze kunnen worden verwerkt;

(i) ervoor zorg te dragen dat de gegevens tijdens de mededeling van persoonsgegevens en tijdens het transport van opslagmedia niet onrechtmatig kunnen worden ingezien, gekopieerd of gewist;

(j) de organisatiestructuur binnen een instelling of orgaan zodanig op te zetten dat deze aan de bijzondere vereisten inzake gegevensbescherming beantwoordt.

Artikel 24

Verwerking van persoonsgegevens ten behoeve van voor de verwerking verantwoordelijken

1. De voor de verwerking verantwoordelijke kiest, in geval van verwerking te zijnen, respectievelijk te haren behoeve, een verwerker die ten aanzien van de in artikel 23 vereiste technische en organisatorische beveiligingsmaatregelen voldoende waarborgen biedt en ziet toe op de naleving van die maatregelen.

2. De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat:

a) de verwerker slechts op instructies van de voor de verwerking verantwoordelijke handelt,

b) de in artikel 23 bedoelde verplichtingen eveneens op de verwerker rusten.

3. Met het oog op de bewaring van bewijsmateriaal, worden die onderdelen van de overeenkomst of van de rechtshandeling die de bescherming van de gegevens betreffen en de vereisten inzake de in artikel 23 bedoelde maatregelen schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.

AFDELING 9

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 25

Aanstelling en taken van de functionaris voor gegevensbescherming

1. Elke communautaire instelling en elk communautair orgaan stelt ten minste één persoon met een passende rang aan tot functionaris voor gegevensbescherming, die verantwoordelijk is voor de volgende taken:

a) ervoor zorg te dragen dat de voor de verwerking verantwoordelijken en de betrokkenen van hun rechten en plichten in kennis worden gesteld;

b) met de Europese Toezichthouder voor gegevensbescherming op diens verzoek of op zijn, respectievelijk haar eigen initiatief samen te werken;

c) op onafhankelijke wijze zorg te dragen voor de interne toepassing van de bepalingen van deze verordening en van alle andere voorschriften die voor de uitvoering van die bepalingen zijn vastgesteld;

d) een register van de verwerkingen die door de voor verwerking verantwoordelijke zijn verricht, bij te houden, waarin de in artikel 26, lid 2, bedoelde gegevens zijn opgenomen;

e) de Europese Toezichthouder voor gegevensbescherming kennis te geven van de verwerkingen die waarschijnlijk bijzondere risico's in de zin van artikel 28 inhouden,

en die daarmee ervoor zorg draagt dat schending van de rechten en vrijheden van de betrokkenen door de verwerkingen onwaarschijnlijk is.

2. De functionaris voor gegevensbescherming moet over de voor de uitvoering van zijn, respectievelijk haar taken vereiste personele en materiële middelen beschikken.

3 Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door de communautaire instelling of door het communautaire orgaan op grondslag van de in bijlage I vervatte/vastgestelde richtsnoeren. De uitvoeringsvoorschriften hebben met name betrekking op kwalificaties, benoeming, onslag, onafhankelijkheid, taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

Artikel 26

Informatie van de functionaris voor gegevensbescherming

1. Alvorens een verwerking of een reeks verwerkingen met een enkel doel of met verscheidene samenhangende doeleinden uit te voeren, stelt de voor de verwerking verantwoordelijke voorafgaandelijk de functionaris voor gegevensbescherming daarvan in kennis.

2. De inkennisstelling behelst ten minste de informatie die in bijlage II is bedoeld.

3. Van elke wijziging in de informatie wordt onverwijld aan de functionaris voor gegevensbescherming kennis gegeven.

Artikel 27

Registers

Elke functionaris voor gegevensbescherming houdt een register van de overeenkomstig artikel 26 gemelde verwerkingen bij.

De registers bevatten ten minste de in artikel 26, lid 2, bedoelde informatie.

De registers mogen door eenieder worden geraadpleegd.

AFDELING 10

VOORAFGAAND ONDERZOEK DOOR DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING

Artikel 28

1. De Europese Toezichthouder voor gegevensbescherming bepaalt welke verwerkingen door de aard, de reikwijdte of het doel ervan waarschijnlijk bijzondere risico's voor de rechten en vrijheden van de betrokkenen inhouden, zoals dat van uitsluiting van personen van een recht, van een uitkering of van een contract, of door het specifiek gebruik van nieuwe technologieën.

Deze verwerkingen omvatten:

- sommige verwerkingen betreffende de in artikel 10 genoemde bijzondere categorieën gegevens;

- verwerkingen die ten doel hebben de persoonlijke eigenschappen van de betrokkenen, zoals bekwaamheid, rendement of gedrag, te beoordelen.

Deze verwerkingen worden voorafgaandelijk aan controle onderworpen.

2. De voorafgaande controle geschiedt door de Europese Toezichthouder voor gegevensbescherming na ontvangst van een kennisgeving van de functionaris voor gegevensbescherming die in geval van twijfel de Europese Toezichthouder voor gegevensbescherming raadpleegt.

3. De Europese Toezichthouder voor gegevensbescherming brengt binnen twee maanden na ontvangst van de kennisgeving advies uit. Indien binnen die termijn geen advies is uitgebracht, wordt dit als een gunstig advies beschouwd.

4. De Europese Toezichthouder voor gegevensbescherming houdt een register van de verwerkingen bij waarvan hem, respectievelijk haar op grond van lid 2 kennis is gegeven. Het register bevat de in artikel 26, lid 2, bedoelde informatie. Het register mag door eenieder worden geraadpleegd.

5. Geautomatiseerde communicatiemiddelen tussen de communautaire instellingen of organen, zoals "on-line"-toegang tot databanken of een "interlinking", mogen slechts na onderzoek door de Europese Toezichthouder voor gegevensbescherming worden ingevoerd.

In het kader van dat onderzoek bepaalt de Europese Toezichthouder voor gegevensbescherming of geautomatiseerde communicatie met de rechtmatige belangen van de betrokkenen verenigbaar en voor de uitoefening van de taken van de betrokken communautaire instellingen of organen noodzakelijk is.

HOOFDSTUK III

BEROEPSMOGELIJKHEDEN EN SANCTIES

Artikel 29

Beroepsmogelijkheden

1. Elke betrokkene kan, onverminderd de mogelijkheden voor beroep op de rechter, een klacht indienen bij de Europese Toezichthouder voor gegevensbescherming indien de betrokkene van oordeel is dat zijn, respectievelijk haar rechten door de verwerking van zijn, respectievelijk haar persoonsgegevens door een communautaire instelling of door een communautair orgaan zijn geschonden.

2. Het Hof van Justitie van de Europese Gemeenschappen en het Gerecht van eerste aanleg van de Europese Gemeenschappen zijn bevoegd om uitspraak te doen in alle geschillen over de bepalingen van deze verordening, vorderingen tot schadevergoeding daaronder begrepen.

Artikel 30

Sancties

De ambtenaar of een ander personeelslid van de Europese Gemeenschappen die, opzettelijk of uit nalatigheid, de bij of krachtens deze verordening op hem, respectievelijk op haar rustende verplichtingen niet nakomt, kan aan een tuchtmaatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Gemeenschappen of van de arbeidsvoorwaarden die op hem, respectievelijk op haar van toepassing zijn.

HOOFDSTUK IV

BESCHERMING VAN PERSOONSGEGEVENS EN VAN DE PERSOONLIJKE LEVENSSFEER IN HET RAAM VAN INTERNE TELECOMMUNICATIENETWERKEN

Artikel 31

Werkingssfeer

Naast de overige bepalingen van deze verordening, is dit hoofdstuk van toepassing op de verwerking van persoonsgegevens in verband met het gebruik van telecommunicatienetwerken en van eindapparatuur die onder de verantwoordelijkheid van een communautaire instelling of van een communautair orgaan worden geëxploiteerd.

Voor de doeleinden van dit hoofdstuk wordt onder "gebruiker" verstaan, elke natuurlijke persoon die gebruik maakt van een onder de verantwoordelijkheid van een communautaire instelling of van een communautair orgaan geëxploiteerd telecommunicatienetwerk.

Artikel 32

Beveiliging

1. De communautaire instellingen en organen nemen passende technische en organisatorische maatregelen om het veilige gebruik van de telecommunicatienetwerken en van eindapparatuur te waarborgen, indien nodig in samenwerking met de aanbieders van publiek toegankelijke telecommunicatiediensten en/of met die van openbare telecommunicatienetwerken. Die maatregelen moeten, rekening houdend met de stand van de techniek en de kosten van tenuitvoerlegging ervan, een beveiligingsniveau waarborgen dat in verhouding staat tot het aanwezige risico.

2. Indien er enig bijzonder risico bestaat dat de beveiliging van het netwerk en van de eindapparatuur wordt doorbroken, dient de betrokken communautaire instelling of het betrokken communautaire orgaan de gebruikers over dergelijke risico's en over mogelijke middelen om die risico's tegen te gaan of over alternatieve communicatiemiddelen in te lichten.

Artikel 33

Vertrouwelijk karakter op de oproepen

1. De communautaire instellingen en organen waarborgen het vertrouwelijke karakter van oproepen via telecommunicatienetwerken en via eindapparatuur.

Het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van gesprekken door anderen dan de gebruikers, indien de betrokken gebruikers daarmee niet hebben ingestemd, is verboden.

2. Lid 1 laat de overeenkomstig de interne regels van de communautaire instellingen of organen toegestane opname van oproepen waarvan het doel erin bestaat bewijzen te verstrekken van rechts- of procedurele handelingen die voor de officiële taken van de betrokken communautaire instellingen of organen, relevant zijn, onverlet, mits de Europese Toezichthouder voor gegevensbescherming toestemming heeft verleend.

Artikel 34

Verkeers- en rekeninggegevens

1. Verkeersgegevens met betrekking tot gebruikers, die worden verwerkt en opgeslagen om oproepen en andere verbindingen via het telecommunicatiesysteem tot stand te brengen, worden bij beëindiging van de oproep of andere verbinding gewist of anoniem gemaakt, onverminderd het bepaalde in de leden 2, 3 en 4.

2. Ten behoeve van het telecommunicatiebegrotings- en verkeersbeheer, met inbegrip van verificatie van bevoegd gebruik van het telecommunicatiesysteem, mogen verkeersgegevens zoals aangegeven in een door de Europese Toezichthouder voor gegevensbescherming goedgekeurde lijst, worden verwerkt.

3. Verwerking van verkeers- en rekeninggegevens blijft beperkt tot hetgeen voor de doeleinden van die activiteiten noodzakelijk is en mag slechts worden verricht door personen die zich met facturering en met verkeers- en begrotingsbeheer bezighouden.

4. Gebruikers van telecommunicatienetwerken hebben het recht om niet-gespecificeerde rekeningen te ontvangen.

Artikel 35

Gebruikerslijsten

1. Persoonsgegevens die in gedrukte of in elektronische gebruikerslijsten zijn opgenomen, worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst noodzakelijk is.

2. De communautaire instellingen en organen nemen alle nodige maatregelen om te voorkomen dat in deze lijsten opgenomen persoonsgegevens, ongeacht of deze al dan niet publiek toegankelijk zijn, voor "direct marketing" worden gebruikt.

Artikel 36

Weergave en beperking van de identificatie van het oproepende en het opgeroepen nummer

1. Wanneer weergave van de identificatie van het oproepende nummer wordt geboden, moet de oproepende gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos die weergave weg te laten.

2. Wanneer weergave van de identificatie van het oproepende nummer wordt geboden, moet de opgeroepen gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos de weergave van de identificatie van het oproepende nummer van inkomende oproepen te voorkomen.

3. Wanneer weergave van de identificatie van het opgeroepen nummer wordt geboden, moet de opgeroepen gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos de weergave van de identificatie van het opgeroepen nummer naar de oproepende partij weg te laten.

4. Wanneer weergave van de identificatie van het oproepende en/of van het opgeroepen nummer wordt geboden, worden de gebruikers door de communautaire instellingen en organen daarover en over de in de leden 1, 2 en 3, vermelde mogelijkheden ingelicht.

Artikel 37

Uitzonderingen

De communautaire instellingen en organen dragen ervoor zorg dat er transparante procedures zijn die de wijze regelen waarop zij het weglaten van de weergave van de identificatie van het oproepende nummer ongedaan kunnen maken:

(a) op verzoek van een gebruiker die opsporing van kwaadwillige of van hinderlijke oproepen verlangt, op tijdelijke basis;

(b) voor organisaties die noodoproepen behandelen, met het oog op de beantwoording daarvan, per afzonderlijke lijn.

HOOFDSTUK V

TOEZICHT UITOEFENENDE AUTORITEIT: DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING

Artikel 38

Toezicht uitoefenende autoriteit: de Europese Toezichthouder voor gegevensbescherming

1. Er wordt een toezicht uitoefenende autoriteit ingesteld, de "Europese Toezichthouder voor gegevensbescherming" genaamd.

2. De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op de toepassing van de bepalingen van deze verordening en van elk ander communautair besluit betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door een communautaire instelling of door een communautair orgaan.

Artikel 39

Benoeming

1. Op voorstel van de Commissie benoemen het Europees Parlement, de Raad en de Commissie in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vier jaar.

2. De Europese Toezichthouder voor gegevensbescherming wordt gekozen uit personen die in hun respectieve land tot de onafhankelijke autoriteiten die op de verwerking van persoonsgegevens toezicht uitoefenen, behoren of hebben behoord, of die voor dit ambt bijzondere bekwaamheden bezitten.

3. De Europese Toezichthouder voor gegevensbescherming is herbenoembaar.

4. De Europese Toezichthouder voor gegevensbescherming blijft in functie totdat in zijn, respectievelijk in haar vervanging is voorzien.

5. Behoudens in geval van normale vervanging of van overlijden eindigt de ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming wanneer hij, respectievelijk zij ontslag neemt of overeenkomstig lid 6 van zijn, respectievelijk haar ambt ontheven wordt verklaard.

6. De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie van de Europese Gemeenschappen uit zijn, respectievelijk haar ambt ontheven worden verklaard, indien hij, respectievelijk zij niet meer aan de eisen voor de uitoefening van dat ambt voldoet of op ernstige wijze is tekortgeschoten.

7. Onverminderd de bepalingen in dit hoofdstuk gelden de op de rechters van het Hof van Justitie van de Europese Gemeenschappen van toepassing zijnde bepalingen van het Protocol betreffende de voorrechten en immuniteiten van de Europese Gemeenschappen, eveneens voor de Europese Toezichthouder voor gegevensbescherming.

Artikel 40

Voorwaarden voor de uitoefening van het ambt

1. Het Europees Parlement, de Raad en de Commissie stellen in onderlinge overeenstemming de voorwaarden voor de uitoefening van het ambt van Europese Toezichthouder voor gegevensbescherming vast, en met name zijn, respectievelijk haar salaris, toelagen en elk in de plaats van een bezoldiging komend voordeel.

2. Het Europees Parlement draagt ervoor zorg dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn, respectievelijk haar taken benodigde personele en materiële middelen beschikt.

3. De te verstrekken personele en materiële middelen worden in een afzonderlijk hoofdstuk van de begroting van het Europees Parlement verbijzonderd.

4. De Europese Toezichthouder voor gegevensbescherming benoemt zijn, respectievelijk haar personeelsleden en is hun hiërarchische meerdere. Deze personeelsleden staan uitsluitend onder zijn, respectievelijk haar leiding.

5. De ambtenaren en de andere personeelsleden zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Europese Gemeenschappen.

6. Ten aanzien van vraagstukken betreffende zijn, respectievelijk haar personeel wordt de Europese Toezichthouder voor gegevensbescherming gelijkgesteld met de instellingen in de zin van artikel 1 van het Statuut van de ambtenaren van de Europese Gemeenschappen.

Artikel 41

Onafhankelijkheid

1. De Europese Toezichthouder voor gegevensbescherming handelt in de uitoefening van zijn, respectievelijk haar taken volkomen onafhankelijk.

2. Bij de vervulling van zijn/haar taken vraagt noch aanvaardt de Europese Toezichthouder voor gegevensbescherming van wie dan ook instructies.

3. De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn, respectievelijk haar taken en verricht gedurende zijn, respectievelijk haar ambtstermijn geen andere beroepswerkzaamheden al dan niet tegen beloning.

4. Na beëindiging van zijn, respectievelijk haar ambt betracht de Europese Toezichthouder voor gegevensbescherming bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

Artikel 42

Beroepsgeheim

De Europese Toezichthouder voor gegevensbescherming en zijn, respectievelijk haar personeel zijn zowel bij de uitoefening van hun ambt als na de beëindiging ervan aan het beroepsgeheim onderworpen wat de vertrouwelijke gegevens betreft die hun bij de vervulling van hun officiële taken ter kennis zijn gekomen.

Artikel 43

Taken

De Europese Toezichthouder voor gegevensbescherming

(a) neemt klachten in ontvangst en onderzoekt deze;

(b) houdt toezicht op alle verwerkingen waarmee persoonsgegevens zijn gemoeid, door iedere communautaire instelling of door elk communautair orgaan, met uitzondering van het Hof van Justitie en van het Gerecht van eerste aanleg bij de uitoefening van hun gerechtelijke taak;

(c) adviseert alle communautaire instellingen of organen in verband met alle aangelegenheden betreffende het gebruik van persoonsgegevens, met name alvorens zij interne voorschriften betreffende de bescherming van individuele rechten en vrijheden met het oog de verwerking van persoonsgegevens opstellen;

(d) volgt de ontwikkeling van de informatie- en communicatietechnologieën voorzover deze de bescherming van persoonsgegevens beïnvloeden;

(e) werkt, voorzover als voor de uitoefening van zijn, respectievelijk haar taken nodig is, samen met de nationale controle-instanties, met name door uitwisseling van alle nuttige informatie of door een autoriteit van een lidstaat te verzoeken haar bevoegdheden uit te oefenen;

(f) neemt deel aan de werkzaamheden van de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens;

(g) houdt van de verwerkingen waarvan hem, respectievelijk haar kennis is gegeven, een register bij;

(h) voert met betrekking tot de verwerkingen waarvan hem, respectievelijk haar kennis is gegeven, een voorafgaand onderzoek uit.

Artikel 44

Raadpleging

1. De communautaire instellingen en de communautaire organen lichten de Europese Toezichthouder voor gegevensbescherming in wanneer zij in verband met de verwerking van persoonsgegevens, waarbij een communautaire instelling of een communautair orgaan, alleen of samen met andere(n), is betrokken, ontwerp-maatregelen opstellen.

2. De Europese Toezichthouder voor gegevensbescherming wordt door de Commissie ingelicht over alle ontwerp-voorstellen voor communautaire wet- en regelgeving die een verwerking van persoonsgegevens meebrengen.

3. De Europese Toezichthouder voor gegevensbescherming kan door elke communautaire instelling en door elk communautair orgaan over alle verrichtingen in verband met de verwerking van persoonsgegevens worden geraadpleegd.

Artikel 45

Toegankelijkheid

1. Eenieder die in dienst is van een communautaire instelling of van een communautair orgaan kan, zonder de officiële kanalen te volgen, zich met betrekking tot een aangelegenheid die zijn, respectievelijk haar taken betreft, tot de Europese Toezichthouder voor gegevensbescherming wenden.

2. Niemand mag nadeel ondervinden van het feit een beroep op de Europese Toezichthouder voor gegevensbescherming te hebben gedaan of bij deze een klacht te hebben ingediend, waarbij, respectievelijk waarin op een schending van de bepalingen betreffende de verwerking van persoonsgegevens wordt gewezen.

Artikel 46

Bevoegdheden

1. De Europese Toezichthouder voor gegevensbescherming:

(a) verricht op eigen initiatief of aan de hand van klachten of van op hem, respectievelijk haar gedaan beroep onderzoek;

(b) ontvangt onverwijld alle inlichtingen betreffende zijn, respectievelijk haar onderzoek;

(c) krijgt te allen tijde toegang tot alle officiële gebouwen en terreinen.

Alle voor de verwerking verantwoordelijken verlenen de Europese Toezichthouder voor gegevensbescherming bijstand bij de uitoefening van zijn, respectievelijk haar taken.

2. De Europese Toezichthouder voor gegevensbescherming heeft met name de bevoegdheid om:

(a) de rectificatie, afscherming, wissing of vernietiging van alle, in strijd met de bepalingen betreffende de verwerking van persoonsgegevens verwerkte gegevens te gelasten;

(b) een tijdelijk of definitief verwerkingsverbod op te leggen;

(c) tot de voor de verwerking verantwoordelijke een waarschuwing of berisping te richten;

(d) de zaak aan de betrokken communautaire instelling of het betrokken communautaire orgaan en zo nodig aan het Europees Parlement, de Raad en de Commissie te rapporteren;

(e) tussen te komen in vorderingen die bij het Hof van Justitie en het Gerecht van eerste aanleg aanhangig zijn gemaakt;

(f) de betrokkenen te adviseren en op hun verzoek in procedures voor het Gerecht van eerste aanleg als deskundige bij te staan.

3. Indien de Europese Toezichthouder voor gegevensbescherming schending van de bepalingen betreffende de verwerking van persoonsgegevens of enige andere onregelmatigheid bij de verwerking vaststelt, legt hij, respectievelijk zij de aangelegenheid voor bij de betrokken communautaire instelling of het betrokken communautaire orgaan en doet hij, respectievelijk zij, voorzover nodig, voorstellen om de bewuste onregelmatigheden te verhelpen en om de bescherming van de betrokkenen te verbeteren.

4. De betrokken communautaire instelling of het betrokken communautaire orgaan deelt de Europese Toezichthouder voor gegevensbescherming binnen een door hem, respectievelijk haar te bepalen termijn het standpunt van die instelling, respectievelijk van dat orgaan mede. In het antwoord worden tevens de maatregelen beschreven die naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.

5. In geval van een klacht of beroep licht de Europese Toezichthouder voor gegevensbescherming de betrokkenen in over het resultaat van zijn, respectievelijk haar onderzoek.

6. Indien de betrokkene toegang is geweigerd, licht de Europese Toezichthouder voor gegevensbescherming hem, respectievelijk haar slechts erover in of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.

Indien de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de toepassing van de beperking op het in artikel 13, punt a), bedoelde recht op bevestiging van een verwerking door verstrekking van die informatie wordt ontkracht, wordt de betrokkene door de Europese Toezichthouder voor gegevensbescherming niet over het resultaat van zijn, respectievelijk haar onderzoek ingelicht.

7. Bij het Hof van Justitie of bij het Gerecht van eerste aanleg kan tegen beslissingen van de Europese Toezichthouder voor gegevensbescherming worden aangetekend.

Artikel 47

Activiteitenverslag

1. De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement een verslag over zijn, respectievelijk haar werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.

2. Het verslag wordt de overige instellingen en organen van de Europese Unie toegezonden en door het Europees Parlement tezamen met hun antwoorden besproken.

HOOFDSTUK VI

SLOTBEPALINGEN

Artikel 48

Overgangstermijn

De communautaire instellingen en de communautaire organen dragen ervoor zorg dat op de datum van de inwerkingtreding van deze verordening reeds lopende verwerkingen binnen een jaar na die datum met deze verordening in overeenstemming worden gebracht.

Artikel 49

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Gemeenschappen.Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, op

Voor het Europees Parlement Voor de Raad

De Voorzitter De Voorzitter

Bijlage I

1. De functionaris voor gegevensbescherming wordt gekozen op grond van zijn, respectievelijk haar gezag, deskundigheid inzake gegevensbescherming en persoonlijke betrouwbaarheid.

2. De benoeming van de functionaris voor gegevensbescherming mag geen aanleiding geven tot een belangenconflict met andere officiële taken, met name ten aanzien van de toepassing van de bepalingen van deze verordening.

3. De functionaris voor gegevensbescherming wordt voor een termijn van ten minste twee jaar benoemd. Hij, respectievelijk zij kan worden herbenoemd. De functionaris voor gegevensbescherming kan slechts met instemming van de Europese Toezichthouder voor gegevensbescherming worden ontslagen indien hij, respectievelijk zij niet langer voor de uitoefening van zijn, respectievelijk haar functie vereiste voorwaarden voldoet.

4. Met betrekking tot de uitoefening van zijn, respectievelijk haar functie mag de functionaris voor gegevensbescherming geen enkele instructie krijgen.

5. Na zijn, respectievelijk haar benoeming wordt de functionaris voor gegevensbescherming door de instelling, door het orgaan (of de persoon) die hem, respectievelijk haar heeft benoemd, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.

6. De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen en aan de communautaire instelling die, respectievelijk het communautaire orgaan dat hem, respectievelijk haar heeft benoemd, alsmede de betrokken voor de verwerking verantwoordelijke over aangelegenheden betreffende de toepassing van voorschriften inzake gegevensbescherming adviseren. Voorts onderzoekt hij, respectievelijk zij op eigen initiatief op of verzoek van de communautaire instelling die, respectievelijk van het communautaire orgaan dat hem, respectievelijk haar heeft benoemd, op verzoek van de voor de verwerking verantwoordelijke, van het betrokken personeelscomité of van de betrokkene aangelegenheden en gebeurtenissen die met zijn, respectievelijk haar taken rechtstreeks verband houden en die onder zijn, respectievelijk haar aandacht worden gebracht.

7. De functionaris voor gegevensbescherming kan door de communautaire instelling die, respectievelijk door het communautaire orgaan dat hem, respectievelijk haar heeft benoemd, door de betrokken voor de verwerking verantwoordelijke, door het betrokken personeelscomité en door elke particulier over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening worden geraadpleegd.

8. Niemand mag nadeel ondervinden van het feit dat hij, respectievelijk zij een aangelegenheid die op een schending van deze verordening lijkt te wijzen, onder de aandacht van de functionaris voor gegevensbescherming heeft gebracht.

9. Elke betrokken voor de verwerking verantwoordelijke moet de functionaris voor gegevensbescherming bij de uitoefening van zijn, respectievelijk haar functie bijstaan en deze in antwoord op zijn, respectievelijk haar vragen informatie verstrekken. Bij de uitoefening van zijn, respectievelijk haar functie heeft de functionaris voor gegevensbescherming te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers, en mag hij, respectievelijk zij alle nodige inlichtingen inwinnen.

10. In de vereiste mate wordt de functionaris voor gegevensbescherming vrijgesteld van andere taken. De functionaris voor gegevensbescherming en zijn, respectievelijk haar personeel, op wie artikel 287 van het Verdrag van toepassing is, mogen inlichtingen of bescheiden die zij in het kader van de uitoefening van hun taken verkrijgen, niet openbaar maken.

Bijlage II

1. Naam en adres van de voor verwerking verantwoordelijke.

2. Namen van de personen en/of de organisatieonderdelen van een instelling of een orgaan die met de verwerking van persoonsgegevens voor een bepaald doel belast zijn.

3. Doeleinde(n) van de verwerking.

4. Beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben.

5. De rechtsgrondslag van de verwerking waarvoor de gegevens worden bestemd.

6. De ontvangers of categorieën ontvangers aan wie de gegevens bekend kunnen worden gemaakt.

7. De termijnen waarbinnen de verschillende categorieën gegevens worden afgeschermd en gewist.

8. De voorgenomen gegevensdoorgiften naar derde landen.

9. Een algemene beschrijving om op voorhand te kunnen beoordelen of de overeenkomstig artikel 23 genomen maatregelen om de beveiliging van de verwerking te waarborgen, geëigend zijn.

ARTIKELSGEWIJZE TOELICHTING

Krachtens het nieuwe artikel 286 van het EG-Verdrag zijn de communautaire instellingen en organen ertoe gehouden de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de verwerking en het vrije verkeer van persoonsgegevens toe te passen. Deze verplichting beperkt in aanzienlijke mate de vrije keuze van de Commissie met betrekking tot de inhoud en de werkingssfeer van de materiële regels inzake gegevensbescherming die in deze verordening zijn neergelegd. Artikel 286 van het EG-Verdrag verplicht de Commissie er met andere woorden toe, de door Richtlijn 95/46/EG gestelde grenzen in acht te nemen. Dat is de belangrijkste reden waarom deze verordening zo nauw aansluit bij de formulering en opbouw van Richtlijn 95/46/EG. De andere reden is de noodzaak van een gelijklopende interpretatie van richtlijn en verordening.

De formulering van de verordening is echter niet volledig identiek met die van de richtlijn. De richtlijn stelt een kader vast, dat nader moet worden ingevuld, ofwel - voor de lidstaten - door het nationale recht, ofwel - voor de communautaire instellingen en organen - door deze verordening. De voorschriften van deze verordening zijn derhalve nauwkeuriger en meer in detail uitgewerkt dan die van de richtlijn. Voor bepaalde vraagstukken biedt de richtlijn de mogelijkheid te kiezen tussen verschillende alternatieven. Dit is een reden temeer waarom de bewoordingen van de verordening verschillen van die van de richtlijn. Daarenboven regelt de verordening de instelling van het in artikel 286 van het EG-Verdrag bedoelde onafhankelijke controleorgaan, hetgeen meer gedetailleerde bepalingen vereist dan degene die opgenomen zijn in de richtlijn, die de invulling overlaat aan het nationale recht van de lidstaten.

De toelichting heeft in hoofdzaak betrekking op die bepalingen van de verordening die niet identiek zijn met de tegenhangers ervan in de richtlijn.

Hoofdstuk I: Algemene bepalingen

Artikel 1: Voorwerp van de verordening

Artikel 1 betreft het onderwerp van de verordening. De verleende bescherming strekt zich niet alleen uit tot verwerkingen van gegevens betreffende de personeelsleden van de instellingen of betreffende alle personen die voor rekening van de instellingen werken, maar ook tot verwerkingen van gegevens betreffende alle natuurlijke personen die vreemd zijn aan de instellingen: bijvoorbeeld leveranciers of begunstigden van communautaire fondsen. Persoonsgegevens die door de lidstaten aan de Commissie worden doorgegeven met het oog op het beheer van of de controle op de uitkering van communautaire subsidies zijn in het bijzonder beschermd uit hoofde van deze verordening.

Op te merken valt dat het doel van de verordening verschilt van dat van de richtlijn.

De richtlijn, die gebaseerd is op artikel 95 van het EG-Verdrag, beoogt de verwezenlijking van de interne markt en de bescherming van personen met elkaar te verzoenen, wat tot uiting komt in beide leden van artikel 1: het eerste lid legt de lidstaten de verplichting op de bescherming van de rechten en vrijheden van personen in verband met de verwerking van persoonsgegevens overeenkomstig de richtlijn te waarborgen, en het tweede lid trekt daaruit de conclusies op het gebied van het vrije verkeer van persoonsgegevens binnen de interne markt. Met andere woorden het eerste lid verwijst naar het gehanteerde middel, namelijk de harmonisatie van nationale wettelijke bepalingen, en het tweede naar het nagestreefde doel, namelijk het vrije verkeer van persoonsgegevens.

Deze redenering behoort in artikel 1 van deze verordening niet te worden overgenomen.

De verordening heeft ten doel uitwerking te geven aan de voor de communautaire instellingen en organen geldende verplichting de fundamentele rechten en vrijheden van personen, inzonderheid van het recht op persoonlijke levenssfeer, bij de verwerking van hun persoonsgegevens in acht te nemen.

Deze verordening heeft derhalve uiteraard tot gevolg dat persoonsgegevens die aan de communautaire instellingen en organen worden doorgegeven met het oog op de uitvoering van de taken van deze laatste, onder zodanige voorwaarden moeten worden verwerkt dat fundamentele rechten en vrijheden van de betrokkenen in acht worden genomen. Deze verwerkingsvoorwaarden moeten zelf geharmoniseerd zijn met die welke in de richtlijn zijn voorgeschreven.

Toch is het niet nodig in deze verordening opnieuw een soortgelijke bepaling als die van artikel 1, lid 2, van de richtlijn op te nemen; het verkeer van gegevens, inzonderheid van persoonsgegevens, tussen de lidstaten en de communautaire instellingen en organen, en tussen de instellingen en organen onderling, valt immers onder de desbetreffende bepalingen van het Verdrag (zoals artikel 284 van het EG-Verdrag) of van het afgeleide recht.

Overigens spreekt het vanzelf dat deze verordening geen afbreuk doet aan de rechten die mogelijk door andere communautaire of nationale bepalingen worden gewaarborgd. Dat geldt met name ook voor de regels die door het Statuut van de ambtenaren van de Europese Gemeenschappen worden opgelegd.

Artikel 2: Definities

Dit artikel neemt de definities van artikel 2 van de richtlijn over.

De definitie van "voor de verwerking verantwoordelijke" is evenwel aangepast aan de specifieke communautaire context. Het betreft uitsluitend feitelijke verduidelijkingen, waarbij wordt aangegeven dat de verantwoordelijke naar gelang van de omstandigheden een instelling, een orgaan of een administratieve dienst, bijvoorbeeld een directoraat-generaal, kan zijn. De criteria om te bepalen wie feitelijk als de voor de verwerking van bepaalde gegevens verantwoordelijke moet worden beschouwd, zijn evenwel overgenomen uit de richtlijn.

Artikel 3: Werkingssfeer

Lid 1: Instellingen en organen waarop de verordening van toepassing is

Het is de bedoeling dat de verordening van toepassing is op de verwerking van persoonsgegevens door alle communautaire instellingen en organen. Vallen bijgevolg binnen de werkingssfeer van de verordening, alle verwerkingen door:

- de in artikel 7 van het EG-Verdrag opgesomde instellingen: het Europees Parlement, de Raad, de Commissie, het Hof van Justitie en de Rekenkamer;

- de organen die zijn opgericht bij de Verdragen tot oprichting van de Europese Gemeenschap, de EGKS en Euratom: de Europese Centrale Bank, de Europese Investeringsbank, de Europese Ombudsman, het Economisch en Sociaal Comité en het Comité van de Regio's;

- de organen die zijn opgericht op basis van besluiten van afgeleid Gemeenschapsrecht, bijvoorbeeld op basis van artikel 308 van het EG-Verdrag, zoals het Europees Centrum voor de ontwikkeling van de beroepsopleiding, de Europese Stichting tot verbetering van de levens- en arbeidsomstandigheden, het Europees Milieuagentschap, de Europese Stichting voor opleiding, het Europees Waarnemingscentrum voor drugs en drugsverslaving, het Europees Bureau voor de geneesmiddelenbeoordeling, het Bureau voor harmonisatie binnen de interne markt (merken, tekeningen en modellen), het Europees Agentschap voor de veiligheid en de gezondheid op het werk, het Communautair Bureau voor plantenrassen en het Vertaalbureau voor de organen van de Europese Unie.

De verordening is van toepassing op verwerkingen ten behoeve van alle activiteiten van de communautaire instellingen en organen. Er wordt geen onderscheid gemaakt tussen deze activiteiten: het kan gaan om activiteiten die worden uitgeoefend op basis van het EG-Verdrag, het EGKS-Verdrag of het Euratomverdrag, of zelfs om activiteiten die worden uitgeoefend op basis van Titel VI van het Verdrag betreffende de Europese Unie.

Buiten de werkingssfeer van deze verordening vallen daarentegen verwerkingen van persoonsgegevens door de organen die zijn opgericht in het kader van Titel VI van het EU-Verdrag, zoals Europol.

Lid 2: Verwerkingen die onder de verordening vallen

In dit lid is de tekst van artikel 3, lid 1, van de richtlijn overgenomen: de verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de niet-geautomatiseerde verwerking van gegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Hoofdstuk II: Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens

Afdeling I: Beginselen betreffende de kwaliteit van de gegevens

Artikel 4

Dit artikel neemt de bepalingen van artikel 6 van de richtlijn over.

Met name worden onder b) en c) de afwijkingen overgenomen die het latere gebruik van de gegevens voor historische, statistische of wetenschappelijke doeleinden mogelijk maken, afwijkingen die evenwel gepaard moeten gaan met passende garanties.

Volgens de tekst moeten de passende garanties worden geboden door de instelling die of het orgaan dat de desbetreffende historische, statistische of wetenschappelijke doeleinden nastreeft.

De verdere verwerking van gegevens voor andere doeleinden dan die waarvoor ze oorspronkelijk werden verzameld, kan expliciet worden toegestaan door wettelijke bepalingen, zoals artikel 16 van Verordening (EG) nr. 322/97 van de Raad van 17 februari 1997 betreffende de communautaire statistiek, dat het gebruik van administratieve gegevens toestaat teneinde de last voor de respondenten te beperken.

Afdeling II: Beginselen betreffende de toelaatbaarheid van gegevensverwerking

Artikel 5: Gewettigde verwerking

In dit artikel is, naar analogie van artikel 7 van de richtlijn, een exhaustieve lijst opgenomen van voorwaarden die verwerkingen kunnen rechtvaardigen.

Er hebben ten opzichte van de richtlijn echter drie wijzigingen plaatsgevonden:

- de presentatie van de lijst is anders;

- de lijst is korter;

- de formulering van een van de voorwaarden is aangepast.

- Andere presentatie van de lijst: de voorwaarden zijn gerangschikt in orde van belangrijkheid, met voorop de voorwaarden waarvan redelijkerwijs verwacht mag worden dat zij het belangrijkst zijn voor overheidsinstanties zoals de communautaire instellingen en organen. Zo is het logisch dat als eerste de uitoefening van de taken waarmee deze instellingen en organen belast zijn, wordt genoemd. Voorts zouden de instemming of de vitale belangen van de betrokkene, zelfs wanneer die noodzakelijk zijn voor bepaalde activiteiten van de instellingen of organen, bijvoorbeeld in verband met het beheer van hun medische diensten, in de praktijk niet de vaakst gehanteerde rechtvaardigingsgronden voor verwerkingen mogen zijn.

- Kortere lijst: punt f) van artikel 7 van de richtlijn is in de verordening niet overgenomen. Dit punt, volgens hetwelk de rechtmatigheid van de verwerking gebaseerd kan worden op het rechtmatige belang van de voor de verwerking verantwoordelijke of van een derde, mits het belang van de betrokkene wiens gegevens worden verwerkt, niet prevaleert, vindt geen toepassing in het kader van de activiteiten van de overheidssector. De ruime toepassingsmogelijkheden ervan moeten daarentegen uitsluitend gelden voor de activiteiten van de particuliere sector.

- Aanpassing van de formulering van punt a): dit punt stemt overeen met punt e) van artikel 7 van de richtlijn, maar dan aangepast aan de communautaire context: het is aan de communautaire instellingen en organen dat de uitoefening van het openbaar gezag is opgedragen, op grond waarvan in voorkomend geval verwerkingen van gegevens kunnen worden verricht. Punt a) omvat tevens de verwerking van persoonsgegevens die noodzakelijk is voor het dagelijks beheer van de instellingen en organen, bijvoorbeeld de verwerking van persoonsgegevens van ambtenaren.

Artikel 6: Verdere verwerking voor verenigbare doeleinden

Dit artikel betreft de verwerking van gegevens voor andere doeleinden, die echter wel verenigbaar zijn met de doeleinden waarvoor de gegevens zijn verzameld.

Lid 1 schrijft voor dat verdere verwerking voor verenigbare doeleinden moet worden toegestaan door het huishoudelijk reglement van de betrokken instelling of het betrokken orgaan.

De leden 2 en 3 behandelen twee situaties van verdere verwerking. Lid 2 staat verdere verwerking toe om de naleving van financiële en budgettaire voorschriften te waarborgen. Lid 3 verbiedt verdere verwerking van persoonsgegevens die zijn verzameld met het oog op de beveiliging van en het toezicht op de verwerkingssystemen of -verrichtingen.

Artikel 6 is van toepassing onverminderd artikel 18, dat de voorwaarden vaststelt waaronder verdere verwerking voor onverenigbare doeleinden toelaatbaar kan worden geacht.

Artikelen 7, 8 en 9: Doorgifte van persoonsgegevens

De artikelen 7, 8 en 9 maken een onderscheid tussen drie verschillende situaties.

Artikel 7 behandelt de doorgifte van persoonsgegevens door communautaire instellingen of organen aan andere communautaire instellingen of organen, alsmede doorgiften binnen de instellingen en organen. In dit geval worden de persoonsgegevens doorgegeven aan een ontvanger die eveneens aan deze verordening onderworpen is.

Artikel 8 behandelt de doorgifte van persoonsgegevens door communautaire instellingen of organen aan ontvangers die onder de toepassing van Richtlijn 95/46/EG vallen.

De artikelen 7 en 8 zijn van toepassing onverminderd het bepaalde in de artikelen 4, 5 en 6. Zij bieden bijkomende garanties en stellen, in het geval van artikel 7, de verantwoordelijkheid van de voor de verwerking verantwoordelijke en de ontvanger vast.

Artikel 9: Doorgifte van persoonsgegevens aan een ontvanger die geen passend beschermingsniveau waarborgt

Artikel 9 heeft dezelfde strekking als de artikelen 25 en 26 van de richtlijn en behandelt de doorgifte van persoonsgegevens aan een ontvanger die niet aan de verordening en evenmin aan Richtlijn 95/46/EG onderworpen is. In de meeste gevallen betreft het hier de overdracht van persoonsgegevens naar derde landen. De procedurevoorschriften van artikel 9 zijn zoveel mogelijk in overeenstemming met die van de richtlijn opgesteld.

Afdeling III: Verwerkingen van bijzondere gegevens

Artikel 10

Dit artikel heeft dezelfde structuur als artikel 8 van de richtlijn. Die behelst:

- enerzijds, in lid 1, een verbod op verwerkingen van gevoelige gegevens, waarbij als gevoelige gegevens worden beschouwd: gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsmede gegevens die de gezondheid of het seksuele leven betreffen;

- anderzijds een reeks afwijkingen die aan specifieke behoeften beantwoorden, gepaard met passende waarborgen.

Op te merken valt dat het Statuut van de ambtenaren van de Europese Gemeenschappen reeds bepalingen bevat die een verbod inhouden om in het persoonlijke dossier van de ambtenaar bepaalde gevoelige gegevens op te nemen. Artikel 26 noemt de politieke, levensbeschouwelijke of godsdienstige opvattingen van een ambtenaar. De overige categorieën gegevens die door de richtlijn als gevoelig worden beschouwd, komen niet aan de orde in het statuut dat te zijner tijd ook overeenkomstig deze verordening zal moeten worden aangepast.

De in artikel 8, lid 5, van de richtlijn genoemde afwijkingen inzake strafrechtelijke veroordelingen kunnen slechts een partiële toepassing vinden bij de communautaire instellingen en organen.

De leden 4 tot en met 6 verlenen aan de communautaire controle-instantie de bevoegdheid om te beslissen over bijkomende afwijkingen (lid 4), om toestemming te verlenen voor de verwerking van gegevens in verband met overtredingen, strafrechtelijke veroordelingen en veiligheidsmaatregelen (lid 5) en om de voorwaarden te bepalen waaronder een persoonsnummer of een ander identificatiegegeven binnen een communautaire instelling of een communautair orgaan mag worden verwerkt (lid 6).

Een voorbeeld van verwerking van persoonsgegevens die door de Europese controleambtenaar voor gegevensbescherming kan worden toegestaan, is de verwerking die onbevoegd gebruik van computernetwerken moet voorkomen, bijvoorbeeld omdat zij worden gebruikt voor de verspreiding van racistisch materiaal of van pornografie.

De discretionaire bevoegdheid die in leden 4 tot en met 6 aan de Europese controleambtenaar voor gegevensbescherming wordt verleend, mag niet worden gebruikt op een manier die in strijd is met de afwijkingen die in de communautaire wetgeving of in andere rechtsinstrumenten zijn bepaald.

Ten slotte wordt voorgesteld in deze verordening geen gebruik te maken van de mogelijkheid die de richtlijn via artikel 8, lid 5, tweede alinea, aan de lidstaten laat, om de regeling voor strafrechtelijke veroordelingen uit te breiden tot administratieve sancties of burgerrechtelijke uitspraken.

Afdeling IV: de betrokkene te verstrekken informatie

Artikel 11: Informatie in geval van gegevensvergaring bij de betrokkene

Artikel 11, lid 1, sluit nauw aan bij artikel 10 van de richtlijn.

Er moeten evenwel twee opmerkingen worden gemaakt:

- betreffende degene die de informatie moet verstrekken: de verwijzing naar de vertegenwoordiger van de voor de verwerking verantwoordelijke in artikel 10 van de richtlijn heeft betrekking op de situatie waarin de verantwoordelijke niet in de Gemeenschap maar in een derde land is gevestigd. Die verwijzing is zinloos wanneer het gaat om communautaire instellingen en organen en is dus niet overgenomen in deze verordening;

- betreffende de lijst van de inlichtingen die aan de betrokkene moeten worden verstrekt: zoals in artikel 10 van de richtlijn wordt in artikel 11 van de verordening een lijst van inlichtingen vastgesteld. Voorgesteld wordt de minimumlijst die door de richtlijn is voorgeschreven verder aan te vullen.

Artikel 10 van de richtlijn specificeert niet uitdrukkelijk op welk moment de betrokkene moet worden geïnformeerd. In het algemeen is dat het moment waarop de persoonsgegevens worden verzameld. Volgens artikel 11, lid 2, is een latere informatieverstrekking mogelijk indien dit noodzakelijk is om de specifieke reden die in deze bepaling is genoemd.

Artikel 12: Informatie in geval van niet bij de betrokkene verkregen gegevens

De bij artikel 11 gemaakte opmerkingen gelden ook voor artikel 12. De in artikel 11 van de richtlijn genoemde uitzonderingen op de informatieplicht zijn overgenomen, met dien verstande dat de wet die als grondslag voor een dergelijke uitzondering dient, moet worden begrepen als een communautair rechtsbesluit.

Afdeling V: Recht van de betrokkene op toegang tot de gegevens

Met het oog op een grotere duidelijkheid is de inhoud van artikel 12 van de richtlijn verdeeld over de artikelen 13 tot en met 17.

Voorts is de formulering in sommige opzichten verduidelijkt.

Artikel 13: Recht van toegang

Dit artikel stemt overeen met artikel 12, onder a), van de richtlijn.

Een wijziging is aangebracht met betrekking tot de kosten waarvan de terugbetaling eventueel kan worden gevorderd door degene die zijn recht van toegang uitoefent. Artikel 12 van de richtlijn bepaalt dat deze kosten niet bovenmatig mogen zijn. In de verordening wordt daarentegen voorgesteld dat de toegang geheel kosteloos zou zijn.

Voorts wordt voorgesteld geen gebruik te maken van de mogelijkheid die door de richtlijn wordt geboden om de verplichting van de voor de verwerking verantwoordelijke om aan de betrokkene mededeling te doen van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, te beperken tot geautomatiseerde besluiten.

Artikel 14: Rectificatie

Dit artikel betreft, evenals de artikelen 15 en 16, een van de drie maatregelen die door de voor de verwerking verantwoordelijke moeten worden genomen indien blijkt dat de verwerking van gegevens niet in overeenstemming is met de verordening. Deze drie artikelen van de verordening hebben dezelfde inhoud als artikel 12, onder b), van de richtlijn, met toevoeging van een aantal verduidelijkingen.

Artikel 15: Afscherming

Dit artikel bevat verscheidene verduidelijkingen betreffende met name de gevallen waarin:

- van deze technische ingreep moet gebruik worden gemaakt: betwisting van de nauwkeurigheid van de verwerkte gegevens voor het beoogde doel, bewaring van de gegevens als bewijs, verzoek van de betrokkene om bewaring in plaats van wissing;

- de gegevens die worden afgeschermd, opnieuw mogen worden gebruikt.

Artikel 16: gegevenswissing

Lid 1 schrijft het wissen voor van persoonsgegevens die op onwettige wijze zijn verwerkt, met name omdat inbreuk is gemaakt op de voorschriften inzake kwaliteit van de gegevens, toelaatbaarheid van de verwerking en verwerking van gevoelige gegevens.

Lid 2 herhaalt het beginsel dat persoonsgegevens slechts zolang mogen worden bewaard als noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld.

Artikel 17: Kennisgeving aan derden

In dit artikel is de inhoud van artikel 12, onder c), van de richtlijn overgenomen.

Afdeling VI: Uitzonderingen en beperkingen

Artikel 18

In dit artikel is gedeeltelijk de inhoud van artikel 13 van de richtlijn overgenomen, dat aan de lidstaten bepaalde keuzemogelijkheden biedt. Indien daarvan gebruik wordt gemaakt, moet evenwel aan bepaalde voorwaarden worden voldaan:

- betreffende de rechten van de betrokkenen en de verplichtingen van de voor de verwerking verantwoordelijke, waarvan de werkingssfeer kan worden beperkt: in tegenstelling tot artikel 13 van de richtlijn maakt dit artikel uitzonderingen mogelijk op de verstrekking van informatie aan de betrokkenen (artikelen 11 en 12) en op het recht van toegang (artikel 13). De voorwaarden waaronder kan worden afgeweken van de kwaliteit van de gegevens, voorzover het om een verenigbaar doel gaat, zijn reeds aan de orde gekomen in artikel 6 van de verordening betreffende de wijziging van het doel. Voorts is het niet wenselijk in artikel 18 van de verordening te verwijzen naar de artikelen 14 tot en met 16. De uitoefening van de in die artikelen genoemde rechten veronderstelt dat het recht van toegang is verleend; zonder toegang kunnen zij niet functioneren; indien toegang is verleend, is een inperking van die rechten niet meer te rechtvaardigen;

- betreffende de redenen op grond waarvan de rechten van de betrokkenen kunnen worden beperkt: de redenen betreffende de veiligheid van de staat, de landsverdediging en de openbare veiligheid, die in artikel 13, lid 1, onder a), b) en c), van de richtlijn worden vermeld, zijn niet overgenomen daar zij niet van toepassing kunnen zijn op de communautaire instellingen en organen;

- betreffende de te bieden garanties: artikel 13 van de richtlijn staat geen algemene afwijking toe, maar enkel uitzonderingen en beperkingen die geval per geval worden bekeken. Daarom zijn in de leden 3 en 4 van dit artikel diverse garanties opgenomen ter bescherming van de betrokkenen aan wie in een concreet geval het recht van toegang zou worden geweigerd: het recht om in kennis te worden gesteld van de hoofdredenen voor de weigering en van de mogelijkheid om zich tot de controle-instantie te wenden en het recht om achteraf de desbetreffende informatie te verkrijgen.

Afdeling VII: Bezwaren en klachten

Artikel 19: Het recht van de betrokkene om bezwaar te maken

In dit artikel is de inhoud van artikel 14, onder a), van de richtlijn overgenomen, dat de lidstaten een zekere vrijheid laat met betrekking tot de werkingssfeer van dit recht. In deze verordening zijn derhalve nadere preciseringen nodig.

Overigens valt op te merken dat artikel 14, onder b), van de richtlijn betreffende het recht van verzet in verband met direct marketing niet van belang is voor de activiteiten van de communautaire instellingen en organen.

Evenzo is, in verband met de werkingssfeer van het recht van verzet zoals beschreven in artikel 14, onder a), van de richtlijn, de verwijzing in artikel 14, onder a), naar verwerkingen op grond van artikel 7, onder f), van de richtlijn niet relevant voor de communautaire instellingen en organen, aangezien, zoals gezegd, artikel 7, onder f), zelf niet van toepassing is in de specifieke communautaire context.

Artikel 20: Het recht van de betrokkene om klachten in te dienen

Het recht om klachten in te dienen is de logische tegenhanger van de bevoegdheid van de Europese controleambtenaar voor gegevensbescherming om overeenkomstig artikel 28, lid 4, van de richtlijn kennis te nemen van verzoeken.

Artikel 21: Geautomatiseerde individuele besluiten

In dit artikel is de inhoud van artikel 15 van de richtlijn overgenomen.

Het spreekt vanzelf dat sommige van de in artikel 15, lid 1, van de richtlijn opgesomde voorbeelden betreffende de evaluatie van bepaalde aspecten van de persoonlijkheid (met name de kredietwaardigheid van de betrokkene) geen betekenis hebben in de specifieke context van de verordening en niet zijn overgenomen.

Afdeling VIII: Vertrouwelijkheid en beveiliging van de verwerking

Artikel 22: Vertrouwelijkheid van de verwerking

In dit artikel is de inhoud van artikel 16 van de richtlijn overgenomen.

Het werd niet dienstig geacht de in de richtlijn opgenomen mogelijkheid van een afwijking in verband met wettelijke verplichtingen over te nemen. Een dergelijke precisering zou artikel 6 inzake de wijziging van het doel overlappen.

Artikel 23: Beveiliging van de verwerking

In dit artikel is de inhoud van artikel 17, lid 1, van de richtlijn overgenomen en verder uitgewerkt.

Lid 1 van dit artikel stemt overeen met artikel 17, lid 1, tweede alinea, van de richtlijn.

Lid 2 betreft de te nemen beveiligingsmaatregelen met betrekking tot gegevens die manueel worden verwerkt.

Lid 3 is een uitwerking van artikel 17, lid 1, eerste alinea, van de richtlijn, waarvan de formulering zeer algemeen is. Daarbij wordt uitgegaan van diverse aanbevelingen die recentelijk door de Raad van Europa zijn aangenomen in verband met gegevensbescherming en van de tekst van de Uitvoeringsovereenkomst van het Schengenakkoord (artikel 118).

Het is duidelijk dat de te nemen beveiligingsmaatregelen in de praktijk deel zullen uitmaken van de ruimere maatregelen die de communautaire instellingen en organen reeds hebben genomen op het gebied van de beveiliging van informatiesystemen (zoals bijvoorbeeld het besluit van de Commissie van 23 november 1995 ter bescherming van de integriteit, het vertrouwelijke karakter en de beschikbaarheid van informatiesystemen).

Artikel 24: Verwerking van persoonsgegevens ten behoeve van voor de verwerking verantwoordelijken

In dit artikel is de inhoud van artikel 17, leden 2 tot en met 4, van de richtlijn overgenomen.

Afdeling IX: Functionaris voor gegevensbescherming

Artikel 25: Aanstelling en taken van de functionaris voor gegevensbescherming

Dit artikel bepaalt dat elke instelling en elk orgaan een functionaris voor gegevensbescherming benoemt, die ermee belast is om op onafhankelijke wijze toezicht te houden op de toepassing van de gegevensbescherming in de betrokken instelling of het betrokken orgaan.

De benoeming van functionarissen voor gegevensbescherming wordt in artikel 18, lid 2, van de richtlijn vermeld als een mogelijkheid voor de lidstaten. Volgens dit artikel maakt die benoeming een vereenvoudigde aanmelding of zelfs een vrijstelling van de verplichting tot aanmelding van verwerkingen bij de controle-instantie mogelijk.

De richtlijn sluit daarmee aan bij een in bepaalde lidstaten gangbare praktijk die waarborgen biedt voor een doeltreffende gegevensbescherming.

Enkele opmerkingen kunnen worden gemaakt in verband met de benoeming van de functionaris, de taken die hij moet vervullen, de garanties die de uitoefening van zijn functie vereist en de betrekkingen die hij met de controle-instantie onderhoudt.

- Benoeming van de functionaris voor gegevensbescherming: elke instelling en elk orgaan is verplicht minstens één functionaris aan te wijzen. Sommige instellingen - zoals de Commissie - zullen wegens de omvang van de verwerkingen van persoonsgegevens binnen de instelling waarschijnlijk meerdere functionarissen aanwijzen.

- Taken van de functionaris: zijn hoofdtaak wordt beschreven in lid 1 van dit artikel. De tekst sluit nauw aan bij die van de richtlijn: hij moet toezien op de interne toepassing van de regels inzake gegevensbescherming en een register bijhouden van alle verwerkingen die door de instelling of het orgaan worden verricht. In dit artikel wordt de nadruk gelegd op de rol die de functionaris speelt bij de verstrekking van informatie aan de betrokkenen en aan de voor de verwerking verantwoordelijken over hun rechten en plichten op het stuk van gegevensbescherming. Die informatie is de eerste noodzakelijke voorwaarde voor een correcte toepassing van de door de richtlijn geboden bescherming. Daarom is hierop extra de nadruk gelegd in het eerste streepje van lid 1, al voegt dit in wezen niets toe aan de algemenere tekst van de richtlijn. Overigens zijn aan de functionaris diverse meer specifieke taken opgedragen om hem te helpen zijn functie naar behoren te vervullen: hij kan voorstellen doen ter verbetering van de gegevensbescherming binnen de instelling of het orgaan, hij kan worden geraadpleegd door de autoriteit die hem heeft benoemd, door de voor de verwerking verantwoordelijken of door het personeelscomité. Daarenboven is de functionaris voor gegevensbescherming verplicht om samen te werken met de Europese controleambtenaar voor gegevensbescherming (tweede streepje). De onder het vijfde streepje genoemde verplichting is bedoeld ter vergemakkelijking van de identificatie van verwerkingsactiviteiten die specifieke risico's opleveren, door middel van voorafgaande controle door de Europese controleambtenaar voor gegevensbescherming.

- Garanties die de uitoefening van het ambt van functionaris voor gegevensbescherming vereist: de voorgeschreven garanties hebben alle ten doel de basisvoorwaarde die de rechtspositie van de functionaris moet kenmerken en die uit de richtlijn is overgenomen, namelijk zijn onafhankelijkheid, zoveel mogelijk te onderbouwen.

Artikelen 26 en 27: Informatie van de functionaris voor gegevensbescherming

Ter bevordering van de doorzichtigheid bepaalt artikel 27, naar analogie van de richtlijn, dat de functionaris een openbaar register bijhoudt van alle verwerkingen die binnen de instelling of het orgaan worden verricht.

Om hem/haar in staat te stellen deze taak tot een goed einde te brengen, wordt het de voor de verwerking verantwoordelijken toegestaan deze verwerkingen bij de functionaris aan te melden voordat zij plaatsvinden.

De lijst van de aan de functionaris te verstrekken inlichtingen is overgenomen uit artikel 19, lid 1, van de richtlijn, waarnaar artikel 21, lid 2, van de richtlijn verwijst.

De lijst van de richtlijn is een minimumlijst. Om de doorzichtigheid met betrekking tot de verwerkingen die door de instellingen en organen worden verricht, te bevorderen, wordt voorgesteld aan deze lijst inlichtingen toe te voegen betreffende de juridische grondslag van de verwerking (bijvoorbeeld de bepalingen van het Gemeenschapsrecht die de verwerking noodzakelijk maken) en de bewaringsduur van de gegevens. Er zij nogmaals op gewezen dat vertegenwoordiging van de voor de verwerking verantwoordelijke zoals bedoeld in artikel 19, lid 1, van de richtlijn niet aan de orde is bij communautaire instellingen en organen.

Afdeling X: Voorafgaand onderzoek door de Europese Toezichthouder voor gegevensbescherming

Artikel 28: Voorafgaand onderzoek door de Europese controleambtenaar voor gegevensbescherming

Dit artikel is de tegenhanger van artikel 20 van de richtlijn.

De richtlijn is gebaseerd op een selectieve controle op de rechtmatigheid van verwerkingen, gelet op het risico dat zij voor de rechten van personen kunnen vormen:

- de aanmelding van de verwerkingen bij de controle-instantie kan in het algemeen worden vereenvoudigd of er kan onder bepaalde voorwaarden zelfs vrijstelling van deze verplichting worden verleend, met name indien een functionaris voor gegevensbescherming is benoemd;

- de aanmelding blijft noodzakelijk en moet zelfs de vorm van een voorafgaande controle aannemen voor bepaalde verwerkingen die specifieke risico's inhouden.

In deze verordening worden de nodige conclusies getrokken uit het feit dat bij de communautaire instellingen en organen een functionaris voor gegevensbescherming wordt aangewezen, en wordt de verplichting tot aanmelding bij de communautaire controle-instantie beperkt tot verwerkingen die specifieke risico's inhouden.

Op basis van de door artikel 20, lid 2, van de richtlijn geboden mogelijkheid moeten risicodragende verwerkingen door de functionaris voor gegevensbescherming van elke instelling of elk orgaan bij de controle-instantie worden aangemeld.

Artikel 20, lid 1, van de richtlijn bepaalt dat het aan de lidstaten is om te bepalen welke verwerkingen mogelijk specifieke risico's inhouden. In overweging 53 van de richtlijn wordt bepaald dat dergelijke bepalingen in de nationale wetgeving kunnen worden opgenomen indien de lidstaten dat wensen, waarbij aan de controle-instanties tevens de mogelijkheid wordt gelaten zelf hun eigen opvatting van het begrip "verwerkingen die specifieke risico's inhouden" te ontwikkelen. In dit artikel wordt voor deze tweede oplossing gekozen en wordt aan de controle-instantie de bevoegdheid verleend te bepalen welke verwerkingen specifieke risico's inhouden. In de tekst van het artikel zelf worden evenwel reeds enkele voorbeelden gegeven die zijn overgenomen uit overweging 53 van de richtlijn.

Naar analogie van overweging 54 van de richtlijn bepaalt lid 3 van dit artikel dat de controle-instantie waar een verwerking die specifieke risico's inhoudt wordt aangemeld, advies moet uitbrengen over de rechtmatigheid van de voorgenomen verwerking. Het staat aan de instelling die of het orgaan dat de verwerking heeft aangemeld om daaruit praktische conclusies te trekken.

Hoofdstuk III: Beroepsmogelijkheden en sancties

Artikelen 29 en 30

Het betreft bepalingen die uitvoering geven aan respectievelijk de artikelen 22, 23 en 24 van de richtlijn. In een rechtsgemeenschap is het van belang dat particulieren de rechten die hun zijn toegekend ook kunnen doen gelden indien de inbreuk op die rechten uitgaat van een communautaire instelling of een communautair orgaan. Overeenkomstig de Verdragsbepalingen betreffende de niet-contractuele aansprakelijkheid van de Gemeenschap moet de Gemeenschap de schade vergoeden die door haar instellingen of door haar personeelsleden in de uitoefening van hun functies is veroorzaakt en is het Hof van Justitie bevoegd om kennis te nemen van geschillen over de vergoeding van dergelijke schade.

Hoofdstuk IV: Bescherming van persoonsgegevens en persoonlijke levenssfeer in het kader van interne telecommunicatienetwerken

In dit hoofdstuk zijn de bepalingen van Richtlijn 97/66/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector overgenomen voorzover deze in aanmerking komen voor toepassing op de communautaire instellingen en organen. De meeste bepalingen moesten worden aangepast aan de specifieke omstandigheden van de communautaire instellingen en organen.

Artikel 31: Werkingssfeer

De werkingssfeer van dit hoofdstuk is beperkt tot die telecommunicatienetwerken die onder de verantwoordelijkheid van een communautaire instelling of een communautair orgaan worden geëxploiteerd. De artikelen 31 tot en met 37 zijn slechts van toepassing indien de communautaire instellingen en organen daadwerkelijk in staat zijn de exploitatievoorwaarden van de desbetreffende telecommunicatienetwerken te bepalen.

Artikel 32: Beveiliging

In deze bepaling is de inhoud van artikel 4 van Richtlijn 97/66/EG overgenomen.

Indien een telecommunicatienetwerk of -lijn verbonden is met een publiek toegankelijk netwerk of indien dat netwerk of die lijn gehuurd wordt van of geëxploiteerd wordt in samenwerking met een aanbieder van een publiek toegankelijk netwerk, kan het noodzakelijk zijn dat de communautaire instelling of het communautaire orgaan met de betrokken aanbieder van het netwerk of de dienst samenwerkt om een afdoende beveiligingsniveau te garanderen.

Artikel 33: Vertrouwelijk karakterop de groepen

In deze bepaling is de inhoud van artikel 5 van Richtlijn 97/66/EG overgenomen.

Met het oog op de in artikel 34 genoemde doelstellingen kan het in bepaalde gevallen noodzakelijk zijn toezicht te houden op het gebruik van een bepaald telecommunicatienetwerk. Voorbeelden zijn de opslag van bepaalde gegevens betreffende telefoonoproepen met het oog op de facturering van telefoonkosten of het toezicht op het gebruik van de Internetfaciliteiten die aan ambtenaren van communautaire instellingen en organen worden aangeboden. In overeenstemming met de algemene beginselen die aan deze verordening ten grondslag liggen, moet het onderscheppen of controleren zo beperkt mogelijk worden gehouden.

Artikel 34: Verkeers- en rekeninggegevens

In deze bepaling is de inhoud van artikel 6 van Richtlijn 97/66/EG overgenomen.

Artikel 34 geeft de grenzen aan voor de verwerking van persoonsgegevens met het oog op facturering en verkeersbeheer.

Artikel 35: Gebruikerslijsten

In deze bepaling is de inhoud van artikel 11 van Richtlijn 97/66/EG overgenomen.

Omdat zulks voor de goede werking van de communautaire instellingen en organen noodzakelijk is, is aan de gebruikers, d.w.z. normaalgesproken ambtenaren, niet het recht verleend om uit de gebruikerslijsten te worden weggelaten. De persoonsgegevens die in dergelijke lijsten worden opgenomen, moeten evenwel beperkt blijven tot hetgeen noodzakelijk voor de specifieke doeleinden van de lijst. Dit houdt in dat de ambtenaar voor bepaalde gegevens de keuze moet hebben over het al dan niet opnemen van deze gegevens. Zo kan bijvoorbeeld worden geëist dat niet alle officiële bij de geboorte verkregen namen in een lijst worden vermeld, maar alleen de eerste naam waarmee een ambtenaar bij zijn collega's bekend is, uiteraard op voorwaarde dat het geen pseudoniem is.

Artikel 36: Weergave van het oproepende en het opgeroepen nummer

In deze bepaling is de inhoud van artikel 8 van Richtlijn 97/66/EG overgenomen. Artikel 8, lid 3, van deze richtlijn wordt hier echter niet herhaald omdat geacht wordt dat het weigeren van inkomende oproepen van collega's in het kader van de communautaire instellingen en organen geen geschikt middel is.

Artikel 37: Uitzonderingen

In deze bepaling is de inhoud van artikel 9 van Richtlijn 97/66/EG overgenomen.

Hoofdstuk V: Toezichtuitoefenende autoriteit

Artikelen 38-47

De controle-instantie is opgericht overeenkomstig artikel 28 van de richtlijn, dat duidelijke aanwijzingen geeft over de onafhankelijkheid van de op nationaal niveau opgerichte controle-instanties, alsmede over de bevoegdheden waarover deze beschikken. Overwegende dat de betrokken bepaling verplichtingen oplegt aan de lidstaten, brengt artikel 286 van het Verdrag mee dat dezelfde verplichtingen ook moeten worden opgelegd aan de communautaire instellingen en organen.

Artikel 39: Benoeming van de Europese controleambtenaar voor gegevensbescherming

De concrete bepalingen betreffende de wijze waarop de controle-instantie wordt aangewezen, zijn opgesteld naar analogie van de bepalingen betreffende de Europese ombudsman (artikel 195 van het Verdrag). Naar het oordeel van de bij artikel 29 van de richtlijn opgerichte adviesgroep voor de bescherming van persoonsgegevens is de benoeming van de autoriteit door het Europees Parlement in dit verband de juiste oplossing. In tegenstelling tot wat bij de benoeming van de Europese ombudsman het geval is, is raadpleging van de Commissie en de Raad door het Europees Parlement hier echter verplicht.

Artikel 46: Bevoegdheden van de Europese controleambtenaar voor gegevensbescherming

De bevoegdheid om in vorderingen voor het Hof van Justitie en het Gerecht van eerste aanleg tussen te komen, zoals bepaald in artikel 42, lid 2, onder e), is een 'omzetting' van artikel 28, lid 3, derde streepje, van de richtlijn.

Artikel 46, lid 7, neemt de laatste alinea over van artikel 28, lid 1, van de richtlijn. Een wijziging van het huishoudelijk reglement van het Hof van Justitie en het Gerecht van eerste aanleg zal noodzakelijk zijn om zaken te behandelen die tegen de Europese controleambtenaar voor gegevensbescherming aanhangig worden gemaakt.

Slotbepalingen

Artikel 48

Deze bepaling sluit aan bij artikel 32, lid 2, van de richtlijn, in dier voege dat voor reeds aan de gang zijnde verwerkingen in een overgangsperiode wordt voorzien om aan de verordening te voldoen. In plaats van een overgangsperiode van drie jaar wordt een overgangsperiode van één jaar voorgesteld.

FINANCIEEL MEMORANDUM

1. Titel van de maatregel

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Europese Gemeenschap en betreffende het vrije verkeer van die gegevens.

2. Begrotingslijn

Nieuw hoofdstuk 39 (nog op te stellen) van afdeling 1 (EP), titel 3, van de algemene begroting.

3. Juridische grondslag

Artikel 286 van het Verdrag tot oprichting van de Europese Gemeenschap (ingevoegd door het Verdrag van Amsterdam).

"Artikel 286

1. Met ingang van 1 januari 1999 zijn de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de verwerking en het vrije verkeer van persoonsgegevens van toepassing op de instellingen en organen die bij of op grond van dit Verdrag zijn opgericht.

2. Vóór de in lid 1 genoemde datum stelt de Raad volgens de procedure van artikel 251 een onafhankelijk controleorgaan in dat belast is met het toezicht op de toepassing van die besluiten van de Gemeenschap op de communautaire instellingen en organen, en neemt hij zo nodig andere bepalingen terzake aan."

4. Omschrijving van de maatregel

4.1 Algemeen doel

1. De instelling van een onafhankelijk controleorgaan, zoals vereist door het nieuwe artikel 286, lid 2, van het EG-Verdrag (de Europese controleambtenaar voor gegevensbescherming, zie bijlage 1), dat verantwoordelijk is voor het toezicht op de toepassing van de regels en principes inzake gegevensbescherming binnen de communautaire instellingen en organen.

2. De benoeming van een of meer functionarissen voor gegevensbescherming in elk van de communautaire instellingen en organen (zie bijlagen 2a en 2b).

4.2 Looptijd, wijze van vernieuwing of verlenging

Deze structuren zijn permanent.

5. Indeling van uitgaven en ontvangsten

5.1 Niet-verplichte uitgaven

5.2 Niet-gesplitste kredieten

5.3 Aard van de ontvangsten

Niet van toepassing

6. Aard van uitgaven en ontvangsten

Huishoudelijke uitgaven.

7. Financiële gevolgen

Zie punt 10.

8. Bepalingen om fraude tegen te gaan

De regels en procedures voor overheidsopdrachten voor goederen en diensten van de Gemeenschappen zullen strikt worden nageleefd, in overeenstemming met het Financieel Reglement van toepassing op de algemene begroting van de Europese Gemeenschappen, de desbetreffende uitvoeringsverordening en het huishoudelijk reglement.

De relevante vrijwaringsclausules zullen in alle overeenkomsten en contracten tussen de Europese controleambtenaar voor gegevensbescherming of andere communautaire instellingen of organen en de contractanten worden opgenomen.

Controlemaatregelen, zoals periodieke rapportering en evaluatie van vooraf bepaalde (tussen)resultaten op vooraf bepaalde mijlpalen van het contract, zullen automatisch in alle contracten en overeenkomsten worden opgenomen. De controle van de prestaties zal geschieden vooraleer welke betaling dan ook wordt toegestaan.

9. Elementen van de kosten-batenanalyse

9.1 Specifieke en kwantificeerbare doelstellingen; doelgroep

- Specifieke doelstellingen:

Invoering en toepassing van en toezicht op de gegevensbeschermingsvoorschriften in de communautaire instellingen en organen garanderen (verplicht door het nieuwe artikel 286 van het EG-Verdrag).

- Doelgroep:

Elke natuurlijke persoon wiens persoonsgegevens door de communautaire instellingen en organen worden verwerkt. De bepalingen van de verordening komen ten goede van de Gemeenschap in het algemeen, de personeelsleden van de communautaire instellingen en organen en burgers en contractanten van de Gemeenschap voor wie het niveau van gegevensbescherming binnen de communautaire instellingen en organen van belang kan zijn.

9.2 Verantwoording van de maatregel

De Europese controleambtenaar voor gegevensbescherming, die krachtens het nieuwe artikel 286 van het EG-Verdrag wordt ingesteld, zal fungeren als een communautair orgaan en zal bijgevolg uit de communautaire begroting worden gefinancierd.

- Keuze van de wijze van uitvoering

* Voordelen ten opzichte van alternatieve maatregelen:

Europese controleambtenaar voor gegevensbescherming

Overeenkomstig het nieuwe artikel 286 van het EG-Verdrag is de instelling van de Europese controleambtenaar voor gegevensbescherming vereist. Deze zal geen deel uitmaken van de Commissie, maar een nieuw en onafhankelijk communautair orgaan vormen dat zijn taken, met name het toezicht op alle andere communautaire instellingen en organen, op interinstitutioneel niveau uitvoert. De Commissie heeft het aantal benodigde ambtenaren (zie 10.1) en de financiële gevolgen daarvan (zie 10.2) geschat. Het enige referentiepunt waarop de Commissie kon steunen bij het opstellen van deze cijfers waren de nationale autoriteiten die belast zijn met gegevensbescherming. Deze autoriteiten zijn echter niet volledig vergelijkbaar met de Europese controleambtenaar voor gegevensbescherming. In tegenstelling tot de laatstgenoemde oefenen zij in het algemeen toezicht uit op zowel de openbare als de particulier sector. Bovendien zijn er veel minder communautaire instellingen en organen dan nationale overheidsinstanties. Uit deze vergelijking blijkt duidelijk dat er goede argumenten zijn om minder ambtenaren aan te werven voor het bureau van de Europese controleambtenaar voor gegevensbescherming dan voor de nationale autoriteiten. Anderzijds hangt de hoeveelheid werk die sommige taken van de Europese controleambtenaar voor gegevensbescherming meebrengen niet af van de omvang van de betrokken instellingen of organen of van het aantal verwerkingen die ze uitvoeren.

Functionaris voor gegevensbescherming

Het voorstel voor een verordening voorziet erin dat alle communautaire instellingen en organen ten minste een functionaris voor gegevensbescherming benoemen.

De buiten de Commissie betrokken instellingen en organen zijn geraadpleegd en hun schattingen zijn in dit financieel memorandum opgenomen. Het Secretariaat-generaal van het Europees Parlement wijst erop dat het de taak van alle instellingen en organen is om zelf hun behoeften te schatten en dat het geen standpunt zal innemen over de schattingen.

Van de diensten van de Commissie wordt verwacht dat zij voor elke dienst een van de huidige personeelsleden tot deeltijdse functionaris voor gegevensbescherming benoemen in plaats van een of meer voltijdse functionarissen voor gegevensbescherming voor de hele Commissie. Voor de cijfers in dit financieel memorandum wordt hiervan uitgegaan.

Er zijn diverse redenen om binnen elke dienst van de Commissie een functionaris voor gegevensbescherming aan te stellen. De diensten van de Commissie vormen aparte organisatorische entiteiten. De aard van de gegevensverwerkingen kan daarom in deze diensten sterk variëren. Een functionaris voor gegevensbescherming moet precies weten wat er in de dienst waar hij/zij verantwoordelijk voor is op het gebied van gegevensbescherming gebeurt. Binnen een van de diensten van de Commissie (DG XV) werd reeds met succes een proefproject afgerond dat deze stelling bevestigt. Na de inwerkingtreding van de verordening kan de ervaring leren dat sommige diensten meer tijd van hun functionaris voor gegevensbescherming vergen dan andere.

Het is de bedoeling dat de diensten huidige personeelsleden benoemen tot functionaris voor gegevensbescherming, die slechts een gedeelte van hun tijd (naar schatting gemiddeld 5%) besteden aan hun taken als functionaris voor gegevensbescherming. Bovendien wordt verwacht dat de functionaris voor gegevensbescherming in het Secretariaat-generaal ook verantwoordelijk is voor de coördinatie van het werk van alle functionarissen voor gegevensbescherming binnen de Commissie. Gezien deze aanvullende coördinatietaken zal deze 'centrale' functionaris voor gegevensbescherming meer dan 5% van zijn/haar tijd aan de toegewezen taken moeten besteden, misschien zelfs tot 25%. Bovendien hebben enkele andere diensten duidelijk aangegeven dat zij iets meer dan 5% nodig zullen hebben (wij hebben de behoeften van deze diensten op 10% in plaats van op 5% geraamd).

Externe deskundigen op het gebied van gegevensbescherming

De Commissie acht het ook raadzaam om, zeker in de beginfase, de functionarissen voor gegevensbescherming te laten ondersteunen en adviseren door externe deskundigen op het gebied van gegevensbescherming. In tegenstelling tot het model van DG XV, waar de functionaris voor gegevensbescherming wordt bijgestaan door zijn 'eigen' externe deskundige, gaat het financieel memorandum uit van drie voltijdse externe adviseurs voor de gehele Commissie.

* Verwijzing naar soortgelijke maatregelen van de Gemeenschap of de lidstaten

Het idee om de Europese controleambtenaar voor gegevensbescherming gebruik te laten maken van de infrastructuur van het Europees Parlement is gebaseerd op de werking van de Europese ombudsman.

Zowel de ervaring van DG XV als de nationale praktijken hebben als voorbeeld voor de functionarissen voor gegevensbescherming gediend.

* Verwachte afgeleide en multiplicatoreffecten

Geen. Dit werd besproken met het directoraat Informatica. De nodige software en knowhow zijn al aanwezig, zodat geen extra uitgaven worden verwacht.

- Voornaamste factoren van onzekerheid die gevolgen kunnen hebben voor de specifieke resultaten van de actie

Het financieel memorandum gaat uit van de veronderstelling dat de Europese controleambtenaar voor gegevensbescherming op het gebied van infrastructuur de nodige ondersteuning van het Europees Parlement zal krijgen (zie bijlage 1).

9.3 Follow-up en evaluatie van de maatregel

- Gekozen prestatie-indicatoren

* Output-indicatoren (meting van de ontplooide activiteiten)

De Europese controleambtenaar voor gegevensbescherming moet een jaarverslag opstellen. De omvang van zijn/haar werkzaamheden blijkt onder meer (zie artikel 43 van het voorstel voor een verordening) uit 1) het aantal ontvangen of op eigen initiatief behandelde klachten, 2) het aantal genomen beslissingen, 3) het aantal uitgevoerde audits.

Voor de functionaris voor gegevensbescherming: activiteitenverslagen.

* Impact-indicatoren (meting van de prestaties ten opzichte van de nagestreefde doelstellingen)

1. Klachten die tot uitspraken in het nadeel van de communautaire instellingen en organen hebben geleid.

2. De op basis van de uitgevoerde audits geschatte nalevingsgraad.

- Geplande evaluatiemethoden en -frequentie

De evaluaties moeten op de jaarverslagen worden gebaseerd. De 'centrale' functionaris voor gegevensbescherming moet het werk van de functionarissen voor gegevensbescherming coördineren en bovendien moet de Europese controleambtenaar voor gegevensbescherming toezicht houden op hun werk en advies geven over de correcte toepassing van de regels.

10. Huishoudelijke uitgaven (deel a van afdeling iii van de begroting)

De eigenlijke mobilisering van de nodige administratieve middelen zal afhangen van de jaarlijkse beslissingen die de betrokken instellingen of organen nemen over de toewijzing van middelen met inachtneming van het aantal personeelsleden en de bedragen die door de begrotingsautoriteit worden toegestaan.

De schattingen van de Commissie betreffende de gevolgen van de instelling van de Europese controleambtenaar voor gegevensbescherming zijn indicatief en voorlopig. Zij lopen niet vooruit op de kosten die het Europees Parlement kan ramen, met dien verstande dat het Secretariaat-generaal van het Parlement de diensten van de Commissie heeft medegedeeld dat elke instelling haar behoeften zelf moet schatten en dat het zich niet over de schattingen van de Commissie wenst uit te spreken.

10.1 Gevolgen voor het aantal posten

>RUIMTE VOOR DE TABEL>

Europese controleambtenaar voor gegevensbescherming (zie bijlage 1)

>RUIMTE VOOR DE TABEL>

Functionaris voor gegevensbescherming van de Commissie (zie bijlage 2b)

>RUIMTE VOOR DE TABEL>

Functionaris voor gegevensbescherming van de andere instellingen en organen (zie bijlage 2c)

>RUIMTE VOOR DE TABEL>

ALGEMEEN TOTAAL

>RUIMTE VOOR DE TABEL>

10.2 Totale financiële gevolgen van de extra personele middelen

De schatting van de financiële gevolgen is uitgevoerd op basis van de gemiddelde kosten van een ambtenaar van de Commissie in Brussel (posten A-1, A-2, A-4, A-5 en A-7).

Europese controleambtenaar voor gegevensbescherming

>RUIMTE VOOR DE TABEL>

Functionaris voor gegevensbescherming van de Commissie

>RUIMTE VOOR DE TABEL>

Functionaris voor gegevensbescherming van de andere instellingen en organen

>RUIMTE VOOR DE TABEL>

ALGEMEEN TOTAAL

>RUIMTE VOOR DE TABEL>

10.3 Stijging van andere huishoudelijke uitgaven ingevolge de maatregel

Andere kosten voor de Europese controleambtenaar voor gegevensbescherming zijn afhankelijk van de mate waarin deze in de bestaande infrastructuur van het Europees Parlement kan worden ondergebracht (zie bijlage 1). De schatting van de financiële gevolgen die de administratieve integratie van het bureau van de Europese controleambtenaar voor gegevensbescherming in de organisatie van het Europees Parlement zal hebben voor het EP, moet nog door het EP worden bevestigd.

Bijlage 1

Bureau van de Europese controleambtenaar voor gegevensbescherming

Voor de cijfers betreffende het bureau van de Europese controleambtenaar voor gegevensbescherming werd ervan uitgegaan dat de volgende diensten kunnen worden verkregen door dit bureau in de bestaande infrastructuur van het Europees Parlement te integreren, op soortgelijke wijze als de Europese ombudsman:

- vertaling;

- tolken;

- administratieve functies zoals: beheer van dienstreizen, beroepsopleiding, personeel (aanwerving, medisch onderzoek, betaling, sociale zaken, loopbaan enz.), eigendomskwesties, kantoorautomatisering, computeruitrusting en -ontwikkeling, post, communicatie, transport, meubilair, fotokopieerapparaten, kantoorbenodigdheden, bodes, chauffeurs, verhuizers, vergaderfaciliteiten;

- communicatie: telefoon- en faxtoestellen, systemen voor elektronische documentverzending, pc's en printers, toegang tot databanken;

- beveiliging;

- externe kantoren;

- pers en pr;

- publicaties: jaarverslag, documentatieverspreiding, drukken;

- aankoop van publicaties en tijdschriftabonnementen.

Vermoedelijk benodigd personeel:

Categorie A: 6

Categorie B: 2

Categorie C: 2

Totaal: 10

Bijlage 2a

Functionaris voor gegevensbescherming

De ambtenaren die tot functionaris voor gegevensbescherming worden benoemd zullen slechts een gedeelte van hun werktijd aan het uitvoeren van hun taken als functionaris voor gegevensbescherming besteden (tussen gemiddeld 5% en 10% geschat, zie punt 9.2.). Zij kunnen een beroep doen op externe deskundigen op het gebied van gegevensbescherming, die hen ondersteuning en advies kunnen verlenen.

De taken en verantwoordelijkheden van de functionarissen voor gegevensbescherming zijn hieronder opgesomd. De functionarissen kunnen voor al deze punten advies vragen van de externe deskundigen op het gebied van gegevensbescherming.

De functionarissen voor gegevensbescherming moeten:

- ervoor zorgen dat de voor de verwerking verantwoordelijken en de betrokkenen over hun rechten en plichten worden geïnformeerd;

- samenwerken met de Europese controleambtenaar voor gegevensbescherming, op verzoek van deze laatste of op eigen initiatief;

- er op onafhankelijke wijze voor zorgen dat de bepalingen van de verordening en alle andere bepalingen die met het oog op de uitvoering van deze regels werden goedgekeurd, intern worden toegepast;

- het register bijhouden van de verwerkingen die door de voor de verwerking verantwoordelijken werden uitgevoerd;

- aanbevelingen doen om de gegevensbescherming in de praktijk te verbeteren;

- advies verlenen aan de communautaire instelling die of het communautair orgaan dat hem/haar heeft benoemd en aan de betrokken voor de verwerking verantwoordelijke over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming;

- op eigen initiatief of op verzoek van de communautaire instelling die of het communautaire orgaan dat hem/haar heeft benoemd, van de betrokken voor de verwerking verantwoordelijke, van het betrokken personeelscomité of van de betrokkene onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn/haar taken en waarvan hij/zij op de hoogte is;

- openstaan voor raadpleging door de communautaire instelling die of het communautaire orgaan dat hem/haar heeft benoemd, door de betrokken voor de verwerking verantwoordelijke, door het betrokken personeelscomité en gelijk welk individu, zonder de officiële kanalen te volgen, over elke kwestie die verband houdt met de interpretatie of toepassing van de verordening.

De functionarissen voor gegevensbescherming moeten, zeker in de beginfase, een beroep kunnen doen op onafhankelijk advies van de externe deskundigen op het gebied van gegevensbescherming. Deze externe deskundigen geven, op verzoek van de functionarissen voor gegevensbescherming, advies over de juridische, organisatorische en technische aspecten van de bescherming van persoonsgegevens en staan de functionarissen op deze manier bij in de uitvoering van hun taken.

De externe deskundigen kunnen meer bepaald advies geven over:

- het bijhouden van het register van de verwerkingen van persoonsgegevens;

- het beoordelen van de risico's die deze verwerkingen inhouden voor de persoonlijke levenssfeer van de betrokkenen, en

- het tegengaan van deze risico's, rekening houdend met de noodzaak om bij te dragen tot de ontwikkeling van duidelijke richtsnoeren voor optimale praktijken die te zijner tijd ook door andere diensten van de Commissie kunnen worden gehanteerd.

Belangrijkste gebieden waarop het advies en de ervaring van de deskundigen waarschijnlijk nodig zullen zijn:

(a) vereiste kwaliteit van de gegevens;

(b) uitoefening van de rechten van de betrokkenen;

(c) nieuwe informatiesystemen;

(d) externe verwerking en uitbesteding;

(e) vertrouwd maken en opleiden van het personeel;

(f) voorbereiding van richtsnoeren;

(g) vertrouwelijkheid en beveiligingsmaatregelen;

(h) activiteitenverslag.

Bijlage 2b

Functionarissen voor gegevensbescherming in de diensten van de Commissie

- Secretariaat-generaal

- Taskforce justitie en binnenlandse zaken

- Bureau voor fraudebestrijding (OLAF)

- Algemene inspectiediensten

- Juridische dienst

- Dienst van de woordvoerder

- Gemeenschappelijke tolken-conferentiedienst

- Bureau voor de statistiek

- Directoraat informatica

- DG I Buitenlandse betrekkingen: handelsbeleid, betrekkingen met Noord-Amerika, het Verre Oosten, Australië en Nieuw-Zeeland

- DG IA Buitenlandse betrekkingen: Europa en de Nieuwe Onafhankelijke Staten (NOS), gemeenschappelijk buitenlands en veiligheidsbeleid (GBVB), buitenlandse dienst

- DG IB Buitenlandse betrekkingen: zuidelijk Middellandse-Zeegebied, Midden-Oosten, Latijns-Amerika, Zuid-Azië en Zuidoost-Azië, Noord-Zuidsamenwerking

- DG II Economische en financiële zaken

- DG III Industrie

- DG IV Concurrentie

- DG V Werkgelegenheid, arbeidsverhoudingen en sociale zaken

- DG VI Landbouw

- DG VII Vervoer

- DG VIII Ontwikkeling

- DG IX Personeelszaken en algemeen beheer

- DG X Voorlichting, communicatie, cultuur en audiovisuele sector

- DG XI Milieuzaken, nucleaire veiligheid en civiele bescherming

- DG XII Wetenschappen, onderzoek en ontwikkeling

- DG XIII Informatiemaatschappij: telecommunicatie, markten en technologieën - Innovatie en benutting van onderzoekresultaten

- DG XIV Visserij

- DG XV Interne markt en financiële diensten

- DG XVI Regionaal beleid en cohesie

- DG XVII Energie

- DG XIX Begrotingen

- DG XX Financiële controle

- DG XXI Belastingen en douane-unie

- DG XXII Onderwijs, opleiding en jeugdzaken

- DG XXIII Ondernemingenbeleid, handel, toerisme en sociale economie

- DG XXIV Consumentenbeleid en bescherming van de gezondheid van de consument

- Bureau voor humanitaire hulp van de Europese Gemeenschap (ECHO)

- Taskforce toetredingsonderhandelingen

- Voorzieningsagentschap van Euratom

- Bureau voor officiële publicaties der Europese Gemeenschappen

- Gemeenschappelijke dienst Relex (buitenlandse betrekkingen) (SCR)

Totaal = 40

Zoals reeds vermeld in punt 9.2 wordt erin voorzien dat elke dienst van de Commissie iemand uit het huidige personeel benoemt tot functionaris voor gegevensbescherming, in plaats van een of meer functionarissen voor de Commissie in haar geheel te benoemen. Voor de cijfers in dit financieel memorandum is hiervan uitgegaan. Naar schatting heeft elke dienst gemiddeld 5% van de werktijd van een voltijdse ambtenaar nodig. Sommige diensten zullen meer, andere minder nodig hebben. Enkele diensten hebben al aangegeven dat zij meer dan 5% nodig hebben en hun behoeften zijn op 10% geschat. Deze cijfers komen in totaal neer op 2,40 voltijdse ambtenaren voor de hele Commissie. Bovendien is het de bedoeling dat de functionaris voor gegevensbescherming van het Secretariaat-generaal verantwoordelijk is voor de coördinatie van het werk van alle functionarissen voor gegevensbescherming van de Commissie. Deze aanvullende taak heeft tot gevolg dat hij/zij meer dan 5% van zijn/haar werktijd aan de hem/haar toegewezen taken moet besteden, misschien zelfs tot 25%. Dit is al in de schatting van 2,40 ambtenaren ingecalculeerd.

Verder is het de bedoeling dat, zeker in de beginfase, contracten met externe deskundigen worden gesloten. (drie voltijdse deskundigen voor de hele Commissie).

Bijlage 2c

Functionarissen voor gegevensbescherming in de instellingen en organen buiten de Commissie

Europees Parlement // 2,0

Europese ombudsman // 1,0

Raad van de Europese Unie // 2,0

Hof van Justitie // 1,0

Rekenkamer // 1,0

Europese Investeringsbank // 1,0

Economisch en Sociaal Comité // 1,0

Comité van de Regio's // 1,0

Europese Centrale Bank // 1,0

CEDEFOP - Europees Centrum voor de ontwikkeling van de beroepsopleiding // 0,5

Europese Stichting tot verbetering van de levens-en arbeidsomstandigheden // 0,5

Europees Milieuagentschap // 0,5

Europese Stichting voor opleiding // 0,5

Europees Waarnemingscentrum voor drugs en drugsverslaving // 0,5

Europees Bureau voor de geneesmiddelenbeoordeling // 0,5

Bureau voor harmonisatie binnen de interne markt (merken, tekeningen en modellen) // 0,5

Europees Agentschap voor de veiligheid en de gezondheid op het werk // 0,5

Communautair Bureau voor plantenrassen // 0,5

Vertaalbureau voor de organen van de Unie // 1,0

Europees Waarnemingscentrum voor racisme en vreemdelingenhaat // 0,5

Totaal = 17 (voltijdse ambtenaren x EUR 108 000)

Naast de functionarissen voor gegevensbescherming bij de bovenvermelde instellingen en organen worden ook contracten met externe deskundigen op het gebied van gegevensbescherming overwogen. Er werd geschat dat gemiddeld 22 werkdagen per jaar nodig zijn voor elke instelling of orgaan. Dit aantal is vergelijkbaar met het aantal dagen dat elke dienst van de Commissie nodig heeft. De gemiddelde kosten van dergelijke contracten wordt geschat op EUR 13 750 per jaar per dienst.