EUROPESE COMMISSIE
Brussel, 10.1.2017
COM(2017) 8 final
2017/0002(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU), zoals ingevoerd door het Verdrag van Lissabon, bepaalt dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de vaststelling van EU-voorschriften inzake gegevensbescherming ingevoerd. De bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de Europese Unie.
Het recht op de bescherming van persoonsgegevens is ook van toepassing bij de verwerking van persoonsgegevens door instellingen, organen en instanties van de EU. Verordening (EG) nr. 45/2001, de hoeksteen van de vigerende EU-wetgeving inzake de bescherming van persoonsgegevens in de instellingen van de Unie, werd in 2001 vastgesteld en had twee doelstellingen: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens in de hele Unie garanderen. De verordening werd aangevuld met Besluit nr. 1247/2002/EG.
Op 27 april 2016 hebben het Europees Parlement en de Raad de algemene verordening gegevensbescherming (Verordening (EU) 2016/679) vastgesteld, die met ingang van 25 mei 2018 van toepassing wordt. In die verordening wordt bepaald dat Verordening (EG) nr. 45/2001 aan de beginselen en regels van Verordening (EU) 2016/679 moet worden aangepast om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, en dat ervoor moet worden gezorgd dat beide instrumenten op hetzelfde tijdstip van toepassing kunnen worden.
Het is in overeenstemming met de samenhangende aanpak van de bescherming van persoonsgegevens in de Unie dat de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zoveel mogelijk gelijklopen met de gegevensbeschermingsvoorschriften die op de lidstaten van toepassing zijn. Wanneer een bepaling van dit voorstel op hetzelfde concept is gebaseerd als een bepaling van Verordening (EU) 2016/679, dienen beide bepalingen homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van dit voorstel de verordening moet worden opgevat als de tegenhanger van Verordening (EU) Verordening (EU) 2016/679.
Bij de herziening van Verordening (EG) nr. 45/2001 wordt ook rekening gehouden met de resultaten van onderzoeken en raadplegingen van belanghebbenden en met de evaluatie van de toepassing van die verordening gedurende de afgelopen vijftien jaar.
Dit initiatief ressorteert niet onder het programma voor gezonde regelgeving (REFIT).
•Samenhang met bestaande bepalingen op het beleidsterrein
Het doel van dit voorstel is de bepalingen van Verordening (EG) nr. 45/2001 aan te passen aan de beginselen en voorschriften van Verordening (EU) 2016/679, teneinde de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen. In het voorstel zijn tevens de relevante voorschriften van Verordening (EG) XXXX/XX [de e-privacyverordening] inzake de bescherming van de eindapparatuur van de eindgebruikers opgenomen.
•Samenhang met andere beleidsterreinen van de Unie
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
De bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens is een grondrecht, dat is vastgelegd in artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie.
Dit voorstel is gebaseerd op artikel 16 VWEU, de rechtsgrondslag voor de vaststelling van voorschriften inzake gegevensbescherming. Op grond van dat artikel kunnen voorschriften worden vastgesteld betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen. Ook kunnen op grond van dat artikel voorschriften worden vastgesteld betreffende het vrije verkeer van persoonsgegevens, met inbegrip van persoonsgegevens die zijn verwerkt door die instellingen, organen en instanties.
•Subsidiariteit (voor niet-exclusieve bevoegdheden)
Het onderwerp van deze verordening valt onder de exclusieve bevoegdheid van de Unie, aangezien slechts de Unie voorschriften kan vaststellen voor de verwerking van persoonsgegevens door de instellingen van de Unie.
•Evenredigheid
Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan wat nodig is om de beoogde doelstellingen te verwezenlijken.
•Keuze van het instrument
Een verordening wordt beschouwd als het meest geschikte rechtsinstrument voor de vaststelling van het kader voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en het vrije verkeer van die gegevens. Met een verordening kunnen aan natuurlijke personen wettelijk afdwingbare rechten worden toegekend en de verplichtingen van verwerkingsverantwoordelijken in de instellingen, organen en instanties van de Unie op het gebied van gegevensverwerking worden vastgesteld. Bovendien wordt voorzien in een onafhankelijke toezichthoudende autoriteit, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie.
3.RESULTATEN VAN EX-POSTEVALUATIES, RAADPLEGINGEN VAN BELANGHEBBENDEN EN EFFECTBEOORDELINGEN
De Commissie heeft in 2010 en 2011 de belanghebbenden geraadpleegd en in het kader van de opstelling van het pakket inzake de hervorming van de gegevensbescherming een effectbeoordeling uitgevoerd in verband met de voorgestelde wijzigingen van Verordening (EG) nr. 45/2001. De Commissie heeft in dit verband tevens een enquête uitgevoerd onder de gegevensbeschermingscoördinatoren van de Commissie.
Ten aanzien van de praktische toepassing van Verordening (EG) nr. 45/2001 door de instellingen, organen en instanties van de Unie is informatie verzameld bij de Europese Toezichthouder voor gegevensbescherming, andere instellingen, organen en instanties van de Unie, andere directoraten-generaal van de Commissie en een externe contractant. Er is een vragenlijst gestuurd naar het netwerk van gegevensbeschermingsfunctionarissen.
De gegevensbeschermingsfunctionarissen van een aantal instellingen, organen en instanties van de Unie hebben op 9 juli 2015, 22 oktober 2015, 19 januari 2016 en 15 maart 2016 deelgenomen aan workshops over de hervorming van Verordening (EG) nr. 45/2001.
De Commissie heeft in 2013 besloten een externe contractant een evaluatie te laten verrichten over de toepassing van Verordening (EG) nr. 45/2001 tot dan toe. De resultaten van de studie (eindverslag, vijf casestudy’s en een analyse per artikel) werden op 8 juni 2015 aan de Commissie geleverd.
Uit de evaluatie is gebleken dat het governancesysteem dat opgebouwd is rond de taken van de gegevensbeschermingsfunctionarissen en de Europese Toezichthouder effectief is. De verdeling van bevoegdheden over de gegevensbeschermingsfunctionarissen en de Toezichthouder blijkt duidelijk en evenwichtig te zijn, zodat beide een passend takenpakket hebben. Er zouden echter problemen kunnen ontstaan door een gezagslacune ten gevolge van onvoldoende ondersteuning van de gegevensbeschermingsfunctionarissen door het management.
De evaluatie gaf aan dat Verordening (EG) nr. 45/2001 beter zou kunnen worden uitgevoerd als de Europese Toezichthouder meer sancties zou opleggen. Als de Toezichthouder vaker gebruik zou maken van zijn toezichtsbevoegdheid, zouden de voorschriften voor gegevensbescherming doeltreffender zijn. Ook werd geconcludeerd dat de verwerkingsverantwoordelijken een aanpak op basis van risicobeheersing zouden moeten volgen en voorafgaand aan de verwerking van gegevens de risico’s daarvan zouden moeten beoordelen. Daardoor zouden de vereisten inzake de bewaring en beveiliging van gegevens beter kunnen worden nageleefd.
De studie liet verder zien dat de voorschriften over de telecommunicatiesector in hoofdstuk IV van Verordening (EG) nr. 45/2001 verouderd zijn en dat dit hoofdstuk moet worden aangepast aan de e-privacyrichtlijn. Bovendien moeten enkele belangrijke definities in de verordening worden verduidelijkt, zoals de aanwijzing van verwerkingsverantwoordelijken in de instellingen, organen en instanties van de Unie en de definitie van ontvangers. De geheimhoudingsplicht moet worden uitgebreid tot externe verwerkers.
In de studie werd tevens aangegeven dat de regelingen voor kennisgevingen en voorafgaande controles moeten worden vereenvoudigd om de efficiency te vergroten en de administratieve lastendruk te verminderen.
De evaluator heeft in 64 instellingen, organen en instanties van de Unie enquêtes gehouden. Vragen werden beantwoord door 422 medewerkers van verwerkingsverantwoordelijken, 73 gegevensbeschermingsfunctionarissen, 118 gegevensbeschermingscoördinatoren en 109 IT-respondenten. De evaluator heeft daarnaast een aantal belanghebbenden geïnterviewd. Op 26 maart 2015 hebben de evaluator en de Commissie een afsluitende workshop gehouden, die werd bijgewoond door een aantal verwerkingsverantwoordelijken, gegevensbeschermingsfunctionarissen, gegevensbeschermingscoördinatoren, IT-respondenten en vertegenwoordigers van de Europese Toezichthouder.
•Bijeenbrengen en benutten van deskundigheid
Zie de verwijzing naar de evaluatie onder het vorige punt.
•Effectbeoordeling
De effecten van dit voorstel zullen met name merkbaar zijn voor de instellingen, organen en instanties van de Unie. Dit is bevestigd door de informatie die was verzameld bij de Europese Toezichthouder, andere instellingen, organen en instanties van de Unie, andere directoraten-generaal van de Commissie en de externe contractant. Voorts is in de context van de voorbereidingen voor Verordening (EU) 2016/679 het effect beoordeeld van de nieuwe verplichtingen die voortvloeien uit Verordening (EU) 2016/679, waaraan deze verordening moet worden aangepast. Een specifieke effectbeoordeling van deze verordening is dan ook niet nodig.
•Gezonde regelgeving en vereenvoudiging
Niet van toepassing.
•Grondrechten
Het recht op bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de Grondrechten van de Europese Unie, hierna „het Handvest” genoemd, in artikel 16 VWEU en artikel 8 van het Europees Verdrag inzake de rechten van de mens. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond, heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd. Er is ook een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd.
Dit voorstel bevat voorschriften voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en het vrije verkeer van die gegevens.
Andere in het Handvest vastgelegde grondrechten die mogelijk in het geding zijn: de vrijheid van meningsuiting (artikel 11); het recht op eigendom en met name de bescherming van intellectuele eigendom (artikel 17, lid 2); het verbod van discriminatie op grond van onder andere ras, etnische afkomst, genetische kenmerken, godsdienst of overtuiging, politieke of andere denkbeelden, handicap of seksuele gerichtheid (artikel 21); de rechten van het kind (artikel 24); het recht op een hoog niveau van bescherming van de menselijke gezondheid (artikel 35); het recht van inzage in documenten (artikel 42); en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).
4.GEVOLGEN VOOR DE BEGROTING
Zie bijgaand financieel memorandum.
5.OVERIGE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende controle, evaluatie en rapportage
Niet van toepassing.
•Toelichtende stukken (bij richtlijnen)
Niet van toepassing.
HOOFDSTUK I – ALGEMENE BEPALINGEN
In artikel 1 wordt het onderwerp van de verordening bepaald en worden, evenals in artikel 1 van Verordening (EG) nr. 45/2001, de twee doelstellingen van de verordening geformuleerd: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens in de hele Unie garanderen. Bovendien wordt voorzien in de belangrijkste taken van de Europese Toezichthouder voor gegevensbescherming.
Artikel 2 bepaalt het toepassingsgebied van de verordening. Zij is van toepassing op de, al dan niet geautomatiseerde, verwerking van persoonsgegevens door alle instellingen en organen van de Unie, voor zover die verwerking plaatsvindt ten behoeve van de uitvoering van werkzaamheden die geheel of gedeeltelijk onder het toepassingsgebied van het Unierecht vallen. Het materiële toepassingsgebied van de verordening is technologieneutraal geformuleerd. De bescherming van persoonsgegevens is van toepassing op geautomatiseerde verwerking van persoonsgegevens en op handmatige verwerking indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand.
Artikel 3 bevat de definities van de termen die in de verordening worden gebruikt. De definities van „instellingen en organen van de Unie”, „verwerkingsverantwoordelijke”, „gebruiker” en „gebruikerslijst” zijn specifiek voor deze verordening; daarnaast gelden de termen die zijn gedefinieerd in Verordening (EU) 2016/679, Verordening (EU) 0000/00 [de nieuwe e-privacyverordening], Richtlijn (EU) 0000/00 [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie] en Richtlijn 2008/63/EG van de Commissie.
HOOFDSTUK II – BEGINSELEN
Artikel 4 bevat de beginselen betreffende de verwerking van persoonsgegevens die overeenkomen met die van artikel 5 van Verordening (EU) 2016/679. In vergelijking met Verordening (EG) nr. 45/2001 zijn de beginselen van „transparantie” en „integriteit en vertrouwelijkheid” toegevoegd.
Artikel 5 is gebaseerd op artikel 6 van Verordening (EU) 2016/679. Het vermeldt de criteria voor de rechtmatigheid van de verwerking, met uitzondering van het criterium van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke, dat op de overheidssector niet van toepassing is en derhalve niet moet gelden voor de instellingen en organen van de Unie. Artikel 5 handhaaft de criteria die reeds in artikel 5 van Verordening (EG) nr. 45/2001 waren vastgesteld.
Artikel 6 verduidelijkt de voorwaarden waaronder verwerking voor een ander, verenigbaar doel is toegestaan, in overeenstemming met artikel 6, lid 4, van Verordening (EU) 2016/679. In vergelijking met artikel 6 van Verordening (EG) nr. 45/2001 biedt de nieuwe bepaling meer flexibiliteit en rechtszekerheid ten aanzien van verdere verwerking voor verenigbare doeleinden.
In artikel 7 wordt verduidelijkt, in overeenstemming met artikel 7 van Verordening (EU) 2016/679, onder welke voorwaarden toestemming een geldige grond voor rechtmatige verwerking is.
Artikel 8 bevat, in overeenstemming met artikel 8 van Verordening (EU) 2016/679, nadere voorwaarden betreffende de rechtmatigheid van de verwerking van persoonsgegevens van kinderen in het kader van diensten van de informatiemaatschappij die hun rechtstreeks worden aangeboden. In dit artikel wordt bepaald dat een kind vanaf 13 jaar geldig toestemming kan verlenen.
Artikel 9 bevat, evenals artikel 8 van Verordening (EG) nr. 45/2001, regels die een specifiek beschermingsniveau bieden voor de doorzending van persoonsgegevens aan in de Unie gevestigde ontvangers die onder Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 vallen, maar geen instellingen of organen van de Unie zijn. Hier wordt bepaald dat indien de verwerkingsverantwoordelijke het initiatief neemt voor de doorzending, hij de noodzaak en de evenredigheid van de doorzending moet aantonen.
Artikel 10, dat is gebaseerd op artikel 9 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 10 van Verordening (EG) nr. 45/2001 vormt, bevat een algemeen verbod op de verwerking van speciale categorieën persoonsgegevens en de uitzonderingen op die algemene regel.
Artikel 11 bepaalt, in overeenstemming met artikel 10 van Verordening (EU) 2016/679 en artikel 10, lid 5, van Verordening (EG) nr. 45/2001, de voorwaarden voor de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.
Artikel 12 verduidelijkt de informatieplicht van de verwerkingsverantwoordelijke jegens de betrokkene door in overeenstemming met artikel 11 van Verordening (EU) 2016/679 te bepalen dat indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, hij niet mag worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen.
Artikel 13 bevat, in overeenstemming met artikel 89, lid 1, van Verordening (EU) 2016/679, de regels inzake waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
HOOFDSTUK III – RECHTEN VAN DE BETROKKENE
Afdeling 1 – Transparantie en modaliteiten
Artikel 14 voert, in overeenstemming met artikel 12 van Verordening (EU) 2016/679, voor de verwerkingsverantwoordelijke de verplichting in om te voorzien in transparante, gemakkelijk toegankelijke en begrijpelijke informatie en procedures en mechanismen voor de uitoefening van de rechten van de betrokkene, waar van toepassing met inbegrip van middelen om verzoeken elektronisch in te dienen, alsmede de verplichting om verzoeken van betrokkenen binnen een bepaalde termijn te beantwoorden en weigering te motiveren. Aangezien het niet te verwachten is dat de instellingen en organen van de Unie in enige omstandigheid vergoeding zullen verlangen van de administratieve kosten van de verstrekking van de informatie, is de mogelijkheid daartoe niet overgenomen uit Verordening (EU) 2016/679.
Afdeling 2 – Informatie en toegang tot gegevens
In artikel 15 wordt de mededelingsplicht bepaald die de verwerkingsverantwoordelijke heeft ten opzichte van de betrokkene bij wie persoonsgegevens worden verzameld. Deze bepaling is gebaseerd op artikel 13 van Verordening (EU) 2016/679 en vormt een verdere uitwerking van artikel 11 van Verordening (EG) nr. 45/2001. De te verstrekken informatie betreft onder meer de opslagtermijn, het recht een klacht in te dienen en internationale doorgifte.
In artikel 16 wordt, op basis van artikel 14 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 12 van Verordening (EG) nr. 45/2001, nader bepaald dat, wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, de verwerkingsverantwoordelijke aan de betrokkene moet meedelen uit welke bron de gegevens zijn verkregen. Ook worden in Verordening (EU) 2016/679 vastgestelde mogelijke afwijkingen gehandhaafd, dat wil zeggen dat informatie niet hoeft te worden verstrekt indien de betrokkene reeds over de informatie beschikt, indien het verstrekken van die informatie onmogelijk blijkt of van de verwerkingsverantwoordelijke onevenredig veel inspanning zou vergen, indien de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of indien het registreren of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven. Dit zou bijvoorbeeld kunnen gelden voor procedures van diensten met bevoegdheid op het gebied van sociale zekerheid of gezondheid.
Artikel 17 voorziet, in overeenstemming met artikel 15 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 13 van Verordening (EG) nr. 45/2001, in het recht van inzage van de betrokkene in diens eigen persoonsgegevens, en voegt daaraan toe dat de betrokkene moet worden ingelicht over de opslagtermijn, het recht op rectificatie en wissing en het recht om een klacht in te dienen.
Afdeling 3 – Rectificatie en wissing van gegevens
Artikel 18, dat is gebaseerd op artikel 16 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 14 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene recht heeft op rectificatie.
Artikel 19 bepaalt, in overeenstemming met artikel 17 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 16 van Verordening (EG) nr. 45/2001, dat de betrokkene het recht heeft op vergetelheid en het recht om zijn persoonsgegevens te laten wissen. Het artikel bepaalt de voorwaarden die van toepassing zijn op het recht op vergetelheid. Zo dient de verwerkingsverantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, derden op de hoogte te stellen van het verzoek van de betrokkene om iedere koppeling naar en kopie of reproductie van die persoonsgegevens te wissen.
Artikel 20 voert het recht in om de verwerking in bepaalde gevallen te laten beperken. De onduidelijke term „afschermen” van Verordening (EG) nr. 45/2001 wordt niet meer gebruikt en de nieuwe term is in overeenstemming met artikel 18 van Verordening (EU) 2016/679.
Artikel 21 bepaalt, in overeenstemming met artikel 19 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 17 van Verordening (EG) nr. 45/2001, dat de verwerkingsverantwoordelijke de ontvangers aan wie de persoonsgegevens zijn verstrekt, in kennis moet stellen van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke moet de betrokkene ook informeren over de ontvangers indien de betrokkene hierom verzoekt.
Artikel 22 voert voor betrokkenen in overeenstemming met artikel 20 van Verordening (EU) 2016/679 het recht op overdraagbaarheid van gegevens in. Dit houdt in dat de betrokkene het recht heeft de hem betreffende persoonsgegevens die hij aan een verwerkingsverantwoordelijke heeft verstrekt, te verkrijgen en rechtstreeks aan een andere verwerkingsverantwoordelijke over te dragen, indien dat technisch haalbaar is. Teneinde de toegang van natuurlijke personen tot hun persoonsgegevens verder te verbeteren, voorziet het artikel als een absolute voorwaarde in het recht om deze gegevens in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen. Dit recht geldt alleen wanneer de verwerking geschiedt op grond van de toestemming van de betrokkene of een door hem gesloten overeenkomst.
Afdeling 4 – Recht van bezwaar en geautomatiseerde individuele besluitvorming
Artikel 23, dat is gebaseerd op artikel 21 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 18 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene recht van bezwaar heeft.
Artikel 24, dat is gebaseerd op artikel 22 van Verordening (EU) 2016/679 en een verdere uitwerking van artikel 19 van Verordening (EG) nr. 45/2001 vormt, bepaalt dat de betrokkene het recht heeft niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit.
Afdeling 5 – Beperkingen
Artikel 25 voorziet in beperkingen van de rechten die betrokkenen genieten op grond van de artikelen 14 tot en met 22 en de artikelen 34 en 38 en van de beginselen van artikel 4 (voor zover de bepalingen daarvan overeenstemmen met de rechten en plichten waarin is voorzien in de artikelen 14 tot en met 22). Dergelijke beperkingen moeten worden vastgelegd in rechtshandelingen die gebaseerd zijn op de Verdragen of de interne voorschriften van de instellingen en organen van de Unie. Indien de rechtshandelingen die gebaseerd zijn op de Verdragen of de interne voorschriften van de instellingen en organen van de Unie niet in de mogelijkheid van een dergelijke beperking voorzien, kunnen de instellingen of organen van de Unie ad hoc een beperking opleggen, indien deze beperking ten aanzien van een specifieke verwerking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van een of meer van de doelstellingen ten aanzien waarvan beperking van de rechten van betrokkenen is toegestaan. Deze benadering is in overeenstemming met artikel 23 van Verordening (EU) 2016/679. In tegenstelling tot artikel 23 van Verordening (EU) 2016/679, maar in overeenstemming met artikel 20 van Verordening (EG) nr. 45/2001, wordt in artikel 25 echter niet voorzien in de mogelijkheid om beperkingen op te leggen aan het recht van bezwaar en het recht om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit. De bepalingen inzake beperkingen zijn in overeenstemming met het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag inzake de rechten van de mens, zoals uitgelegd door respectievelijk het Hof van Justitie van de Europese Unie en het Europees Hof voor de Rechten van de Mens.
HOOFDSTUK IV – VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
Afdeling 1 – Algemene verplichtingen
Artikel 26 bouwt voort op artikel 24 van Verordening (EU) 2016/679. Het voert het verantwoordingsbeginsel in, dat inhoudt dat de verwerkingsverantwoordelijke de plicht heeft om aan deze verordening te voldoen en aan te tonen dat hij aan deze verplichting heeft voldaan; hij dient daartoe onder meer passende technische en organisatorische maatregelen te treffen en waar nodig interne regelingen en mechanismen vast te stellen om naleving te waarborgen. Lid 3 van artikel 24 van Verordening (EU) 2016/679 is niet overgenomen, aangezien de instellingen en organen van de Unie niet verplicht moeten zijn zich bij gedragscodes of certificeringsmechanismen aan te sluiten.
Artikel 27 betreft, in overeenstemming met artikel 25 van Verordening (EU) 2016/679, de verplichtingen van de verwerkingsverantwoordelijke die voortvloeien uit de beginselen inzake gegevensbescherming door ontwerp en door standaardinstellingen.
Artikel 28 betreffende gezamenlijke verwerkingsverantwoordelijken bouwt voort op artikel 26 van Verordening (EU) 2016/679. Het verduidelijkt de verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken (al dan niet instellingen of organen van de Unie) wat betreft hun onderlinge verhouding en hun verhouding tot de betrokkene. Deze bepaling regelt de situatie waarin alle gezamenlijke verwerkingsverantwoordelijken onder dezelfde wettelijke regeling vallen (namelijk deze verordening), alsmede de situatie waarin sommige verwerkingsverantwoordelijken onder deze verordening vallen en andere onder een ander rechtsinstrument, zoals Verordening (EU) 2016/679, Richtlijn (EU) 2016/680, Richtlijn (EU) 2016/681 of een andere specifieke gegevensbeschermingsregeling ten aanzien van instellingen of organen van de Unie.
Artikel 29 bouwt voort op artikel 28 van Verordening (EU) 2016/679 en is een verdere uitwerking van artikel 23 van Verordening (EG) nr. 45/2001. Het verduidelijkt de positie en de verplichting van verwerkers en bepaalt onder meer dat een verwerker die in strijd met de verordening de doeleinden en middelen van een verwerking bepaalt, met betrekking tot die verwerking als verwerkingsverantwoordelijke wordt beschouwd.
Artikel 30 betreffende verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker is gebaseerd op artikel 29 van Verordening (EU) 2016/679 waarin wordt bepaald dat een verwerker of een persoon die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, deze uitsluitend mag verwerken in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.
Artikel 31 bouwt voort op artikel 30 van Verordening (EU) 2016/679. Het bepaalt dat verwerkingsverantwoordelijken en verwerkers een register moeten bijhouden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Deze verplichting kom in de plaats van de voorafgaande melding aan de Europese Toezichthouder voor gegevensbescherming als voorgeschreven in artikel 25 van Verordening (EG) nr. 45/2001 en het register van de functionaris voor gegevensbescherming. Anders dan in Verordening (EU) 2016/679 wordt in deze bepaling niet naar vertegenwoordigers verwezen, aangezien instellingen van de Unie geen vertegenwoordigers hebben, maar wel altijd een functionaris voor gegevensbescherming. De verwijzingen in Verordening (EU) 2016/679 naar doorgiften op basis van afwijkingen voor specifieke situaties zijn niet overgenomen, aangezien deze verordening niet voorziet in dergelijke doorgiften. De verplichting om een register van verwerkingsactiviteiten bij te houden kan voor een instelling of orgaan van de Unie centraal worden vervuld. In dat geval kunnen instellingen en organen van de Unie aan hun registratieplicht voor verwerkingsactiviteiten voldoen door een publiek toegankelijk register op te zetten.
Artikel 32 verduidelijkt op basis van artikel 31 van Verordening (EU) 2016/679 wat de verplichtingen van instellingen en organen van de Unie zijn wat de samenwerking met de Europese Toezichthouder voor gegevensbescherming betreft.
Afdeling 2 – Beveiliging van persoonsgegevens en vertrouwelijkheid van elektronische communicatie
Artikel 33 verplicht de verwerkingsverantwoordelijke, in overeenstemming met artikel 32 van Verordening (EU) 2016/679 en tot verdere uitwerking van artikel 22 van Verordening (EG) nr. 45/2001, ertoe passende maatregelen te treffen om de beveiliging van de verwerking te waarborgen en breidt die verplichting uit tot de verwerker, ongeacht wat in de overeenkomst met de verwerkingsverantwoordelijke is bepaald.
Artikel 34 bouwt voort op artikel 36 van Verordening (EG) nr. 45/2001 en waarborgt het vertrouwelijke karakter van de elektronische communicatie binnen de instellingen en organen van de Unie.
Artikel 35 bouwt voort op de bestaande praktijk binnen de instellingen en organen van de Unie. Het artikel beschermt informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen, zulks overeenkomstig Verordening (EU) XXXX/XX [de nieuwe e-privacyverordening], met name artikel 8.
Artikel 36 is gebaseerd op artikel 38 van Verordening (EG) nr. 45/2001 en beschermt persoonsgegevens die zijn opgenomen in openbare en niet-openbare gebruikerslijsten van instellingen en organen van de Unie.
In de artikelen 37 en 38 wordt de verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden, in overeenstemming met de artikelen 33 en 34 van Verordening (EU) 2016/679.
Afdeling 3 – Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Artikel 39 bouwt voort op artikel 35 van Verordening (EU) 2016/679. Het voert voor verwerkingsverantwoordelijken en verwerkers de verplichting in een gegevensbeschermingseffectbeoordeling uit te voeren alvorens verwerkingen uit te voeren die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen. Deze verplichting geldt in het bijzonder wanneer er sprake is van systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, grootschalige verwerking van bijzondere categorieën gegevens of stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Artikel 40 is gebaseerd op artikel 36 vaan Verordening (EU) 2016/679 en betreft gevallen waarin, voorafgaand aan de verwerking, raadpleging en toestemming van de Europese Toezichthouder vereist zijn. In de eerste alinea van artikel 40 wordt echter overweging 94 van Verordening (EU) 2016/679 overgenomen ter verduidelijking van de reikwijdte van de verplichting om toestemming te vragen.
Afdeling 4 – Informatie en legislatieve raadpleging
Artikel 41 bepaalt dat instellingen en organen van de Unie de Europese Toezichthouder moeten raadplegen bij het opstellen van bestuurlijke maatregelen en interne voorschriften in verband met de verwerking van persoonsgegevens.
Artikel 42 bepaalt dat de Commissie de Europese Toezichthouder moet raadplegen na het vaststellen van voorstellen voor rechtshandelingen en aanbevelingen of voorstellen aan de Raad uit hoofde van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen die gevolgen hebben voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren deze entiteiten hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies. Voor het uitbrengen van advies in de genoemde gevallen geldt een termijn van acht weken, waarvan kan worden afgeweken in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.
Afdeling 5 – Repliek
Artikel 43 bepaalt dat verwerkingsverantwoordelijken en verwerkers verplicht zijn een repliek te geven wanneer de Europese Toezichthouder beslist een aangelegenheid aan hen voor te leggen.
Afdeling 6 – Functionaris voor gegevensbescherming
Artikel 44 bouwt voort op artikel 37, lid 1, onder a), van Verordening (EU) 2016/679 en artikel 24 van Verordening (EG) nr. 45/2001 en bepaalt dat instellingen en organen van de Unie verplicht zijn een functionaris voor gegevensbescherming aan te wijzen.
Artikel 45 bouwt voort op artikel 38 van Verordening (EU) 2016/679 en artikel 24 van Verordening (EG) nr. 45/2001 en bepaalt de positie van de functionaris voor gegevensbescherming.
Artikel 46 bouwt voort op artikel 39 van Verordening (EU) 2016/679, artikel 24 van Verordening (EG) nr. 45/2001 en de tweede en derde alinea van de bijlage bij laatstgenoemde verordening en bepaalt de kerntaken van de functionaris voor gegevensbescherming.
HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF AAN INTERNATIONALE ORGANISATIES
Artikel 47 bouwt voort op artikel 9 van Verordening (EG) nr. 45/2001. Het formuleert in overeenstemming met artikel 44 van Verordening (EU) 2016/679 het algemene beginsel dat de andere bepalingen van deze verordening en de voorwaarden van hoofdstuk V moeten worden nageleefd bij elke doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties, ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie naar een ander derde land of aan een andere internationale organisatie.
Artikel 48 bepaalt dat doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 heeft vastgesteld dat in het derde land, een gebied of een of meer nader bepaalde sectoren in het derde land, of in de internationale organisatie een passend beschermingsniveau wordt gewaarborgd, en de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering mogelijk te maken van taken die onder de bevoegdheid van de verwerkingsverantwoordelijke vallen. De leden 2 en 3 van artikel 48 zijn overgenomen van artikel 9 van Verordening (EG) nr. 45/2001, aangezien het nuttige elementen betreft voor het toezicht op het beschermingsniveau in derde landen en internationale organisaties
Artikel 49 is gebaseerd op artikel 46 van Verordening (EU) 2016/679 en bepaalt dat als de Commissie geen adequaatheidsbesluit heeft vastgesteld, voor doorgifte naar derde landen passende waarborgen moeten worden geboden, zoals modelbepalingen inzake gegevensbescherming en contractbepalingen. Overeenkomstig Verordening (EU) 2016/679 kunnen andere verwerkers dan instellingen en organen van de Unie bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen toepassen. Lid 4 van artikel 49, waarin wordt bepaald dat instellingen en organen van de Unie de Europese Toezichthouder in kennis moeten stellen van categorieën gevallen waarin zij dit artikel hebben toegepast, stemt overeen met artikel 9, lid 8, van Verordening (EG) nr. 45/2001 en is gehandhaafd vanwege het specifieke karakter ervan. Lid 5 is gebaseerd op artikel 46, lid 5, van Verordening (EU) 2016/679, waarin wordt bepaald dat reeds gegeven toestemmingen geldig blijven totdat zij worden gewijzigd, vervangen of ingetrokken.
Artikel 50 verduidelijkt in overeenstemming met artikel 48 van Verordening (EU) 2016/679 dat rechterlijke uitspraken en besluiten van een administratieve autoriteit van een derde land op grond waarvan persoonsgegevens moeten worden doorgeven of verstrekt, alleen op enigerlei wijze mogen worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Artikel 51 bouwt voort op artikel 49 van Verordening (EU) 2016/679. Het preciseert de afwijkingen die ten aanzien van gegevensdoorgifte mogelijk zijn. Dit heeft in het bijzonder betrekking op gegevensdoorgifte die noodzakelijk is om gewichtige redenen van algemeen belang, zoals in geval van internationale doorgifte van gegevens tussen mededingingsautoriteiten, belasting- of douanediensten, of diensten die bevoegd zijn voor sociale zekerheid of visserijbeheer. Lid 5 van artikel 51, waarin wordt bepaald dat de Europese Toezichthouder in kennis moet worden gesteld van categorieën gevallen waarin deze afwijkingen met het oog op gegevensdoorgifte zijn toegepast, is gebaseerd op artikel 9, lid 8, van Verordening (EG) nr. 45/2001.
Artikel 52 is gebaseerd op artikel 50 van Verordening (EU) 2016/679. Het voorziet uitdrukkelijk in procedures voor internationale samenwerking voor de bescherming van persoonsgegevens tussen de Europese toezichthouder (samen met de Commissie en het Europees Comité voor gegevensbescherming) en de toezichthoudende autoriteiten van derde landen.
HOOFDSTUK VI – EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING
Artikel 53 bouwt voort op artikel 41 van Verordening (EG) nr. 45/2001 en betreft de instelling van de Europese Toezichthouder voor gegevensbescherming.
Artikel 54 bouwt voort op artikel 42 van Verordening (EG) nr. 45/2001 en artikel 3 van Besluit nr. 1247/2002/EG. Het stelt voorschriften vast voor de benoeming van de Europese Toezichthouder door het Europees Parlement en de Raad. Het stelt tevens de duur van diens ambtstermijn vast op vijf jaar.
Artikel 55 bouwt voort op artikel 43 van Verordening (EG) nr. 45/2001 en artikel 1 van Besluit nr. 1247/2002/EG. Het stelt het statuut en de algemene voorwaarden vast voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, diens personeel en de financiële middelen.
Artikel 56 bouwt voort op artikel 52 van Verordening (EU) 2016/679 en artikel 44 van Verordening (EG) nr. 45/2001. Het stelt de voorwaarden vast voor de onafhankelijkheid van de Europese Toezichthouder, rekening houdend met de jurisprudentie van het Hof van Justitie van de Europese Unie.
Artikel 57 bepaalt in overeenstemming met artikel 45 van Verordening (EG) nr. 45/2001 dat voor de Europese Toezichthouder zowel tijdens als na zijn ambtstermijn een beroepsgeheim geldt ten aanzien van vertrouwelijke informatie die hem bij de vervulling van zijn officiële taken ter kennis is gekomen.
Artikel 58 bouwt voort op artikel 57 van Verordening (EU) 2016/679 en artikel 46 van Verordening (EG) nr. 45/2001. Het bepaalt de taken van de Europese Toezichthouder, waaronder het behandelen en onderzoeken van klachten en het bevorderen van de bekendheid van het publiek met de risico’s, regels, waarborgen en rechten.
Artikel 59 bouwt voort op artikel 58 van Verordening (EU) 2016/679 en artikel 47 van Verordening (EG) nr. 45/2001 en bepaalt de bevoegdheden van de Europese Toezichthouder.
Artikel 60 bouwt voort op artikel 59 van Verordening (EU) 2016/679 en artikel 48 van Verordening (EG) nr. 45/2001 en bepaalt dat de Europese Toezichthouder jaarlijks een verslag over zijn activiteiten moet opstellen.
HOOFDSTUK VII – SAMENWERKING EN COHERENTIE
Artikel 61 bouwt voort op artikel 61 van Verordening (EU) 2016/679 en artikel 46, onder f), van Verordening (EG) nr. 45/2001. Het bevat uitdrukkelijke voorschriften betreffende de samenwerking tussen de Europese Toezichthouder en de nationale toezichthoudende autoriteiten.
Artikel 62 voorziet in de verplichtingen van de Europese Toezichthouder op het gebied van gecoördineerd toezicht samen met de nationale toezichthoudende autoriteiten wanneer in andere handelingen van de Unie naar dit artikel wordt verwezen. De bedoeling van dit artikel is een standaardmodel voor gecoördineerd toezicht te bieden. Dit model zou kunnen worden gebruikt voor het gecoördineerde toezicht op grootschalige IT-systemen zoals Eurodac, het Schengeninformatiesysteem II, het Visuminformatiesysteem, het Douane-informatiesysteem of het Informatiesysteem interne markt, maar ook voor het toezicht op bepaalde agentschappen van de Unie ten aanzien waarvan een specifiek samenwerkingsmodel tussen de Europese Toezichthouder en de nationale autoriteiten is ingesteld, zoals Europol. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.
HOOFDSTUK VIII – BEROEP, AANSPRAKELIJKHEID EN SANCTIES
Artikel 63 bouwt voort op artikel 77 van Verordening (EU) 2016/679 en artikel 32 van Verordening (EG) nr. 45/2001. Het bepaalt dat iedere betrokkene het recht heeft een klacht in te dienen bij de Europese Toezichthouder. Het bepaalt tevens dat de Europese Toezichthouder de klager binnen drie maanden in kennis moet stellen van de voortgang en het resultaat van de klacht; zo niet wordt dit gelijkgesteld met afwijzing van de klacht.
Artikel 64 is gebaseerd op artikel 32, lid 1, van Verordening (EG) nr. 45/2001, waarin wordt bepaald dat het Hof van Justitie van de Europese Unie bevoegd is kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.
Artikel 65 betreft het recht op vergoeding van zowel materiële als immateriële schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden betreffende onder meer aansprakelijkheid.
Artikel 66 bouwt voort op artikel 83 van Verordening (EU) 2016/679. Het geeft de Europese Toezichthouder de bevoegdheid om instellingen en organen van de Unie als sanctie in laatste instantie administratieve geldboeten op te leggen, maar uitsluitend als een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast overeenkomstig artikel 59, lid 2, onder a) tot en met h) en j). Het artikel bepaalt tevens de criteria voor de vaststelling van de hoogte van de administratieve geldboete in elk concreet geval, terwijl voor de vaststelling van de jaarlijkse maxima rekening is gehouden met de hoogte van de in bepaalde lidstaten geldende boetes.
Artikel 67 bepaalt in overeenstemming met artikel 80, lid 1, van Verordening (EU) 2016/679 dat bepaalde organen, organisaties of verenigingen een klacht namens de betrokkene mogen indienen.
Artikel 68 voorziet in overeenstemming met artikel 33 van Verordening (EG) nr. 45/2001 in specifieke bepalingen ter bescherming van personeelsleden van de Unie die zonder de officiële kanalen te volgen een klacht indienen bij de Europese Toezichthouder wegens vermeende inbreuk op de bepalingen van deze verordening.
Artikel 69 is gebaseerd op artikel 49 van Verordening (EG) nr. 45/2001. Het voorziet in sancties tegen ambtenaren en andere personeelsleden van de Europese Unie die de krachtens deze verordening op hen rustende verplichtingen niet nakomen.
HOOFDSTUK IX – UITVOERINGSHANDELINGEN
Artikel 70 voorziet in de comitéprocedure die is vereist om aan de Commissie uitvoeringsbevoegdheden toe te kennen in gevallen waarin het overeenkomstig artikel 291 VWEU nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd. De onderzoeksprocedure is van toepassing.
HOOFDSTUK X – SLOTBEPALINGEN
Bij artikel 71 worden Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG ingetrokken en bepaald dat verwijzingen naar de ingetrokken handelingen moeten worden gelezen als verwijzingen naar de onderhavige verordening.
Artikel 72 bepaalt dat deze verordening de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder onverlet laat en dat artikel 54, leden 4, 5 en 7, en de artikelen 56 en 57 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn op 5 december 2019.
In artikel 73 wordt bepaald dat de verordening met ingang van 25 mei 2018 van toepassing is, met het oog op de samenhang met de datum met ingang waarvan Verordening (EU) Verordening (EU) 2016/679 van toepassing is.
2017/0002 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens.
(2)Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten.
(3)Verordening (EU) 2016/679 van het Europees Parlement en de Raad en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.
(4)In Verordening (EU) 2016/679 wordt benadrukt dat in Verordening (EG) nr. 45/2001 de nodige aanpassingen moeten worden aangebracht om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen, en dat die aanpassingen met ingang van dezelfde datum van toepassing moeten zijn als Verordening (EU) 2016/679.
(5)In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen en organen van de Unie zoveel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer een bepaling van deze verordening op hetzelfde concept is gebaseerd als een bepaling van Verordening (EU) 2016/679, dienen beide bepalingen homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679.
(6)Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening dient niet van toepassing te zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.
(7)Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als bij handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, dienen niet onder het toepassingsgebied van deze verordening te vallen.
(8)In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Op agentschappen van de Unie die activiteiten uitoefenen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking dient deze verordening derhalve slechts van toepassing te zijn voor zover het op dergelijke agentschappen van toepassing zijnde Unierecht geen specifieke voorschriften inzake de verwerking van persoonsgegevens bevat.
(9)Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde te bevorderen dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau wordt gewaarborgd door middel van in rechte afdwingbare rechten en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen agentschappen van de Unie die activiteiten uitoefenen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking en bevoegde autoriteiten in de lidstaten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke agentschappen van de Unie worden verwerkt, te zijn gebaseerd op de beginselen die aan deze verordening ten grondslag liggen en te stroken met Richtlijn (EU) 2016/680.
(10)Zelfstandige gegevensbeschermingsregelingen betreffende de verwerking van operationele persoonsgegevens die zijn opgenomen in de oprichtingshandeling van een agentschap van de Unie dat activiteiten uitoefent die onder het toepassingsgebied van titel V, hoofdstukken 4 en 5 van het derde deel van het Verdrag vallen, dient deze verordening onverlet te laten. Overeenkomstig artikel 62 van Richtlijn (EU) 2016/680 dient de Commissie echter uiterlijk op 6 mei 2019 een evaluatie te verrichten van handelingen die de Unie heeft vastgesteld in verband met verwerking door de bevoegde instanties met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en in voorkomend geval de nodige voorstellen te doen om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en inzake politiële samenwerking te waarborgen.
(11)De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.
(12)De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.
(13)Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren.
(14)Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.
(15)Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.
(16)Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen de instelling of het orgaan van de Unie of naar andere instellingen of organen van de Unie, na te gaan of deze persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen, indien de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is, en dient hij een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd.
(17)De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag bestaat als bedoeld in deze verordening, zoals de toestemming van de betrokkene, of indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.
(18)De Unierechtelijke bepaling, met inbegrip van de in deze verordening bedoelde interne voorschriften, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie en het Europees Hof voor de Rechten van de Mens.
(19)De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
(20)Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.
(21)Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij het gebruik van diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en wanneer de verwerking van persoonsgegevens op toestemming berust.
(22)Wanneer in de Unie gevestigde ontvangers met inachtneming van Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending noodzakelijk en evenredig is voor het bereiken van hun doeleinden en niet verder gaat dan nodig is om die doeleinden te bereiken. Overeenkomstig het beginsel van transparantie dienen instellingen of organen van de Unie die noodzaak aan te tonen indien zijzelf het initiatief nemen voor de doorzending.
(23)Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.
(24)Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden voor andere doeleinden worden verwerkt.
(25)Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van authenticatiemechanismen zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst.
(26)De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen overeenkomstig deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. Instellingen en organen van de Unie dienen in het Unierecht, inclusief eventuele interne voorschriften, passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.
(27)Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.
(28)Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.
(29)De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.
(30)Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft.
(31)Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.
(32)Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.
(33)Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven.
(34)Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden.
(35)Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen.
(36)Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit – dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft. Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.
(37)Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften van instellingen en organen van de Unie kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronische communicatie en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.
Indien de rechtshandelingen die gebaseerd zijn op de Verdragen of de interne voorschriften van de instellingen en organen van de Unie niet in een dergelijke beperking voorzien, kunnen de instellingen of organen van de Unie in een specifiek geval ad hoc een beperking opleggen aan specifieke beginselen en aan de rechten van betrokkenen, indien deze beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en ten aanzien van een specifieke verwerking in een democratische samenleving noodzakelijk en evenredig is ter waarborging van een of meer van de in de eerste alinea genoemde doelstellingen. Deze beperking dient aan de gegevensbeschermingsfunctionaris te worden gemeld. Alle beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.
(38)Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen. De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking gepaard gaat met een risico of een hoog risico.
(39)Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.
(40)Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.
(41)Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker dient uit hoofde van het Unierecht of het lidstatelijke recht te worden geregeld in een overeenkomst of een andere rechtshandeling waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan.
(42)Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten. Omwille van de transparantie moeten zij dit register openbaar kunnen maken.
(43)Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen.
(44)De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen, de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Verordening (EU) XXXX/XX [de nieuwe e-privacyverordening] en de persoonsgegevens in gebruikerslijsten te beschermen.
(45) Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost.
(46)De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico’s voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.
(47)In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming, die daarvan een register bijhoudt. Die verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Dergelijke ongedifferentieerde algemene kennisgevingsverplichtingen moeten daarom worden afgeschaft en worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op de soorten verwerkingen die naar hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Het kan daarbij met name gaan om verwerkingen die van nieuwe technologieën gebruikmaken of van een nieuw type zijn, waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico’s te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan.
(48)Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.
(49)De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en interne voorschriften van de instellingen en organen van de Unie die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken.
(50)Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient raadpleging door de Commissie verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.
(51)Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die vereist is voor de gegevens die door de verwerkingsverantwoordelijke of de verwerker worden verwerkt. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren.
(52)Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, ook bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft.
(53)De Commissie kan overeenkomstig artikel 45 van Verordening (EU) 2016/679 vaststellen dat een derde land, een gebied of een bepaalde verwerkingssector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is.
(54)Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.
(55)Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.
(56)Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht.
(57)Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.
(58)Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.
(59)Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.
(60)Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten in de Unie, met inbegrip van de Europese Toezichthouder voor gegevensbescherming, onmogelijk worden klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en andere toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.
(61)De instelling bij Verordening (EG) nr. 45/2001 van een Europese toezichthouder voor gegevensbescherming die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt.
(62)Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de toezichthoudende autoriteiten in de lidstaten, waaronder de bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, en om inbreuken op deze verordening ter kennis van het Hof van Justitie van de Europese Unie te brengen en overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen.
(63)Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen.
(64)De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten.
(65)Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.
(66)Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
(67)Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.
(68)Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan – in plaats van een natuurlijke persoon – wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen inbreuken te worden benoemd, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden administratieve geldboeten De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk en van de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie van de Europese Unie.
(69)Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen.
(70)Een ambtenaar of een ander personeelslid van de Europese Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie of van de regeling welke van toepassing is op de andere personeelsleden van de Unie.
(71)Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend waar dit in deze verordening is voorzien. Die bevoegdheden dienen te worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad. De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die gegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden.
(72)De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.
(73)Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten worden beschouwd als verwijzingen naar deze verordening.
(74)Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn.
(75)Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het Verdrag betreffende de Europese Unie niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.
(76)De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op [XX.XX.XXXX] advies uitgebracht.
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
HOOFDSTUK I
ALGEMENE BEPALINGEN
Artikel 1
Onderwerp en doelstellingen
1.Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van persoonsgegevens tussen hen of naar ontvangers die in de Unie zijn gevestigd en die onder Verordening (EU) 2016/679 of de ter uitvoering van Richtlijn (EU) 2016/680 vastgestelde nationaalrechtelijke bepalingen vallen.
2.Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.
3.De Europese Toezichthouder voor gegevensbescherming houdt toezicht op de toepassing van deze verordening op alle door een instelling of orgaan van de Unie verrichte verwerkingen.
Artikel 2
Toepassingsgebied
1.De bepalingen van deze verordening zijn van toepassing op de verwerking van persoonsgegevens door alle instellingen en organen van de Unie, voor zover die verwerking plaatsvindt ten behoeve van de uitvoering van werkzaamheden die geheel of gedeeltelijk onder het toepassingsgebied van het Unierecht vallen.
2.De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.
Artikel 3
Definities
1.Voor de toepassing van deze verordening gelden de volgende definities:
(a)de definities van Verordening (EU) 2016/679, met uitzondering van de definitie van "verwerkingsverantwoordelijke" in artikel 4, punt 7, van die verordening;
(b) de definitie van "elektronische communicatie" in artikel 4, lid 2, onder a), van Verordening (EU) XX/XXXX [de e-privacyverordening];
(c) de definities van "elektronischecommunicatienetwerk" en "eindgebruiker" in respectievelijk de punten 1 en 14 van artikel 2 van Richtlijn 00/0000/EU [richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie];
(d) de definitie van "eindapparatuur" in artikel 1, punt 1, van Richtlijn 2008/63/EG van de Commissie.
2.Voorts wordt voor de toepassing van deze verordening verstaan onder:
(e)"instellingen en organen van de Unie": instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het Verdrag betreffende de Europese Unie, het Verdrag betreffende de werking van de Europese Unie of het Euratom-Verdrag;
(f)"verwerkingsverantwoordelijke": de instelling, het orgaan of de instantie van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor de verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
(g)"gebruiker": elke natuurlijke persoon die gebruikmaakt van een netwerk dat of eindapparatuur die onder de verantwoordelijkheid van een instelling of orgaan van de Unie wordt geëxploiteerd;
(h)"gebruikerslijst": een publiek toegankelijke lijst van gebruikers of een interne lijst van gebruikers die binnen een instelling of orgaan van de Unie beschikbaar is of tussen instellingen en organen van de Unie wordt gedeeld, zowel in gedrukte als in elektronische vorm.
HOOFDSTUK II
BEGINSELEN
Artikel 4
Beginselen inzake verwerking van persoonsgegevens
1.De persoonsgegevens:
a)worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is ("rechtmatigheid, behoorlijkheid en transparantie");
b)worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 13 niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd ("doelbinding");
c)zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt ("minimale gegevensverwerking");
d)zijn juist en worden, waar nodig, bijgewerkt; alle redelijke maatregelen worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, onverwijld te wissen of te rectificeren ("juistheid");
e)worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, en zulks niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 13, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen ("opslagbeperking");
f)worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging ("integriteit en vertrouwelijkheid").
2.De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen ("verantwoordingsplicht").
Artikel 5
Rechtmatigheid van de verwerking
1.De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a)de verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang op grond van of in het kader van de uitoefening van het openbaar gezag dat aan de instelling of het orgaan van Unie is verleend;
b)de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
c)de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
d)de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
e)de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
2.Het Unierecht voorziet in de in lid 1, onder a), bedoelde taken.
Artikel 6
Verwerking voor een ander verenigbaar doel
Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 25, lid 1, bedoelde doelstellingen, houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:
a)ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;
b)het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;
c)de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 10, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 11;
d)de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
e)het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.
Artikel 7
Voorwaarden voor toestemming
1.Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2.Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.
3.De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4.Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Artikel 8
Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
1.Wanneer artikel 5, lid 1, onder d), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 13 jaar is. Wanneer het kind jonger is dan 13 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.
2.Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.
3.Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.
Artikel 9
Doorzending van persoonsgegevens aan ontvangers die geen instelling of orgaan van de Unie zijn, in de Unie zijn gevestigd en aan Verordening (EU) 2016/679 of Richtlijn (EU) 2016/680 zijn onderworpen
1.Onverminderd de artikelen 4, 5, 6 en 10 worden persoonsgegevens uitsluitend doorgegeven aan ontvangers die in de Unie zijn gevestigd en aan Verordening (EU) 2016/679 of het krachtens Richtlijn (EU) 2016/680 vastgestelde nationale recht zijn onderworpen, indien de ontvanger aantoont dat:
a)de gegevens nodig zijn voor de uitvoering van een taak die wordt verricht in het algemeen belang of ter uitoefening van het openbaar gezag, of
b)de doorzending van de gegevens noodzakelijk is, evenredig is aan de doeleinden ervan en er geen reden bestaat om aan te nemen dat de rechten en vrijheden en de legitieme belangen van de betrokkene zouden worden geschaad.
2.Indien de doorzending krachtens dit artikel op initiatief van de verwerkingsverantwoordelijke plaatsvindt, toont de verwerkingsverantwoordelijke aan dat de doorzending van persoonsgegevens noodzakelijk is voor en evenredig is aan de doeleinden van de doorzending, door toepassing van de criteria van lid 1, onder a) of b).
Artikel 10
Verwerking van bijzondere categorieën van persoonsgegevens
1.Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.
2.Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:
a)de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in het Unierecht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; of
b)de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij het Unierecht dat passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;
c)de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;
d)de verwerking wordt verricht door een instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van die instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;
e)de verwerking heeft betrekking op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
f)de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer het Hof van Justitie van de Europese Unie handelt in zijn hoedanigheid van rechtsprekende instantie; of
g)de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;
h)de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van het Unierecht of uit hoofde van een overeenkomst met een gezondheidswerker en behoudens de in lid 3 genoemde voorwaarden en waarborgen;
i)de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van het Unierecht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim;
j)de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.
3.De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, onder h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens het Unierecht aan het beroepsgeheim is gebonden.
Artikel 11
Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten
De verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende beveiligingsmaatregelen op grond van artikel 5, lid 1, is alleen mogelijk wanneer dat is toegestaan krachtens het Unierecht, inclusief eventuele interne voorschriften, dat passende waarborgen voor de rechten en vrijheden van de betrokkenen biedt.
Artikel 12
Verwerking waarvoor identificatie niet is vereist
1.Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.
2.Wanneer de verwerkingsverantwoordelijke in de in lid 1 van dit artikel bedoelde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 17 tot en met 22 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.
Artikel 13
Waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden
De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.
HOOFDSTUK III
RECHTEN VAN DE BETROKKENE
AFDELING 1
TRANSPARANTIE EN REGELINGEN
Artikel 14
Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene
1.De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 15 en 16 bedoelde informatie en de in de artikelen 17 tot en met 24 en artikel 38 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2.De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 17 tot en met 24. In de in artikel 12, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 17 tot en met 24 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3.De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 17 tot en met 24 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene om een andere regeling verzoekt.
4.Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en beroep bij de rechter in te stellen.
5.Het verstrekken van de in de artikelen 15 en 16 bedoelde informatie, het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 17 tot en met 24 en artikel 38 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6.Onverminderd artikel 12 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 17 tot en met 23, om aanvullende gegevens vragen die nodig zijn ter bevestiging van de identiteit van de betrokkene.
7.De krachtens de artikelen 15 en 16 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8.Wanneer de Commissie op grond van artikel 12, lid 8, van Verordening (EU) 2016/679 gedelegeerde handelingen vaststelt om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen, verstrekken de instellingen en organen van de Unie, in voorkomend geval, de informatie op grond van de artikelen 15 en 16 met gebruikmaking van dergelijke gestandaardiseerde iconen.
AFDELING 2
INFORMATIE EN TOEGANG TOT PERSOONSGEGEVENS
Artikel 15
Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld
1.Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:
a)de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
b)de contactgegevens van de functionaris voor gegevensbescherming;
c)de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
d)in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
e)in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of aan een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 49 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2.Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:
a)de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
b)dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;
c)wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
d)het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;
e)of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
f)het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3.Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
4.De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.
Artikel 16
Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen
1.Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:
a)de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;
b)de contactgegevens van de functionaris voor gegevensbescherming;
c)de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;
d)de betrokken categorieën van persoonsgegevens;
e)in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;
f)in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of een internationale organisatie; of er al dan niet een adequaatheidsbesluit van de Commissie bestaat; of, in het geval van de in artikel 49 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar ze kunnen worden geraadpleegd.
2.Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende aanvullende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:
a)de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
b)dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;
c)wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;
d)het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;
e)de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;
f)het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
3.De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:
a)binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
b)indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
c)indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.
4.Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.
5.De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:
a)de betrokkene reeds over de informatie beschikt;
b)het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
c)het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij het Unierecht; of
d)de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van het Unierecht.
Artikel 17
Recht van inzage van de betrokkene
1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de volgende informatie te ontvangen:
a)de doeleinden van de verwerking;
b)de betrokken categorieën van persoonsgegevens;
c)de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d)indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e)dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f)het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;
g)wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h)het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.
2.Wanneer persoonsgegevens worden doorgegeven naar een derde land of aan een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 49 inzake de doorgifte.
3.De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie in een gangbare elektronische vorm verstrekt, tenzij de betrokkene om een andere regeling verzoekt.
4.Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
AFDELING 3
RECTIFICATIE EN WISSING VAN GEGEVENS
Artikel 18
Recht op rectificatie
De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.
Artikel 19
Recht op wissing ("recht op vergetelheid")
1.De betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:
a)de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;
b)de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), berust, in, en er is geen andere rechtsgrond voor de verwerking;
c)de betrokkene maakt overeenkomstig artikel 23, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;
d)de persoonsgegevens zijn onrechtmatig verwerkt;
e)de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
f)de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
2.Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en overeenkomstig lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.
3.De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:
a)voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
b)voor het nakomen van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
c)om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 10, lid 2, onder h) en i), en artikel 10, lid 3;
d)met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen; of
e)voor de instelling, uitoefening of onderbouwing van een rechtsvordering.
Artikel 20
Recht op beperking van de verwerking
1.De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:
a)de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid, met inbegrip van de volledigheid, van de persoonsgegevens te controleren;
b)de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;
c)de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;
d)de betrokkene heeft overeenkomstig artikel 23, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.
2.Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.
3.Een betrokkene die overeenkomstig lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.
4.In geautomatiseerde bestanden wordt de beperking van de verwerking in beginsel met technische middelen tot stand gebracht. Het feit dat er voor de persoonsgegevens een beperking geldt, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.
Artikel 21
Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking
De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 18, artikel 19, lid 1, en artikel 20, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.
Artikel 22
Recht op overdraagbaarheid van gegevens
1.De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:
a)de verwerking berust op toestemming uit hoofde van artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), of op een overeenkomst uit hoofde van artikel 5, lid 1, onder c); en
b)de verwerking via geautomatiseerde procedés wordt verricht.
2.Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid uit hoofde van lid 1 heeft de betrokkene het recht de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere te laten doorzenden.
3.De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 19 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.
4.Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen.
AFDELING 4
RECHT VAN BEZWAAR EN GEAUTOMATISEERDE INDIVIDUELE BESLUITVORMING
Artikel 23
Recht van bezwaar
1.De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 5, lid 1, onder a), met inbegrip van profilering op basis van die bepaling. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
2.Het in de lid 1 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.
3.Onverminderd de artikelen 34 en 35 mag de betrokkene in het kader van het gebruik van diensten van de informatiemaatschappij zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
4.Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, heeft de betrokkene het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.
Artikel 24
Geautomatiseerde individuele besluitvorming, waaronder profilering
1.De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
2.Lid 1 geldt niet indien het besluit:
a)noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke;
b)is toegestaan door het Unierecht, dat ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c)berust op de uitdrukkelijke toestemming van de betrokkene.
3.In de in lid 2, onder a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.
4.De in lid 2 bedoelde besluiten worden niet gebaseerd op de in artikel 10, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 10, lid 2, onder a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.
AFDELING 5
BEPERKINGEN
Artikel 25
Beperkingen
1.De toepassing van de artikelen 14 tot en met 22, de artikelen 34 en 38, en artikel 4 voor zover de bepalingen ervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, kan worden beperkt door middel van rechtshandelingen die gebaseerd zijn op de Verdragen of door interne voorschriften van de instellingen en organen van de Unie, wat aangelegenheden betreffende hun werking betreft, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a)de nationale veiligheid, de openbare veiligheid en de defensie van de lidstaten;
b)de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
c)andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
d)de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronischecommunicatienetwerken;
e)de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
f)de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
g)een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c).
h)de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
i)de tenuitvoerlegging van civielrechtelijke vorderingen.
2.Wanneer de verwerking niet wordt beperkt door een op de Verdragen gebaseerde rechtshandeling of door een intern voorschrift, zoals bedoeld in lid 1, kunnen de instellingen en organen van de Unie de toepassing van de artikelen 14 tot en met 22, de artikelen 34 en 38, en artikel 4 voor zover de bepalingen ervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, beperken, indien deze beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en ten aanzien van een specifieke verwerking in een democratische samenleving noodzakelijk en evenredig is ter waarborging van een of meer van de in lid 1 genoemde doelstellingen. Deze beperking wordt gemeld aan de bevoegde gegevensbeschermingsfunctionaris.
3.Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20 en 23 genoemde rechten, behoudens de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
4.Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20, 21, 22 en 23 genoemde rechten, behoudens de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.
5.De in de leden 1, 3 en 4 bedoelde interne voorschriften zijn voldoende duidelijk en nauwkeurig zijn en worden op passende wijze bekend gemaakt.
6.Wanneer krachtens lid 1 of 2 een beperking wordt opgelegd, wordt de betrokkene overeenkomstig het Unierecht in kennis gesteld van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn recht om bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen.
7.Wanneer een krachtens lid 1 of 2 opgelegde beperking als grond wordt aangevoerd om de betrokkene inzage te weigeren, deelt de Europese Toezichthouder voor gegevensbescherming, wanneer hij de klacht onderzoekt, de betrokkene uitsluitend mee of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.
8.Het verstrekken van de informatie als bedoeld in de leden 6 en 7 en in artikel 46, lid 2, kan worden uitgesteld, achterwege gelaten of geweigerd indien het verstrekken van die informatie de gevolgen van de krachtens lid 1 of 2 opgelegde beperking teniet zou doen.
HOOFDSTUK IV
VERWERKINGSVERANTWOORDELIJKE EN VERWERKER
AFDELING 1
ALGEMENE VERPLICHTINGEN
Artikel 26
Verantwoordelijkheid van de verwerkingsverantwoordelijke
1.Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en geactualiseerd waar dat nodig is.
2.Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
Artikel 27
Gegevensbescherming door ontwerp en door standaardinstellingen
1.Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2.De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder tussenkomst van de betrokkene voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Artikel 28
Gezamenlijke verwerkingsverantwoordelijken
1.Wanneer een instelling of orgaan van de Unie met een of meerdere verwerkingsverantwoordelijken die zelf al dan niet instellingen of organen van de Unie zijn, gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 15 en 16 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.
2.Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.
3.De betrokkene kan zijn rechten uit hoofde van deze verordening met betrekking tot en jegens een of meerdere van de gezamenlijke verwerkingsverantwoordelijken uitoefenen, met inachtneming van hun eigen rol als bepaald in de in lid 1 bedoelde regeling.
Artikel 29
Verwerker
1.Wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
2.De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3.De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
a)de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
b)waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
c)alle overeenkomstig artikel 33 vereiste maatregelen neemt;
d)aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;
e)rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;
f)rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 33 tot en met 40;
g)na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;
h)de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.
Waar het gaat om de eerste alinea, onder h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.
4.Wanneer een verwerker een andere verwerker in dienst neemt om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijk recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.
5.Wanneer een verwerker geen instelling of orgaan van de Unie is, kan de aansluiting daarvan bij een goedgekeurde gedragscode als bedoeld in artikel 40, lid 5, van Verordening (EU) 2016/679 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 van Verordening (EU) 2016/679 worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.
6.Onverminderd enige individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 3 en 4 van dit artikel bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 7 en 8 van dit artikel bedoelde standaardcontractbepalingen, ook indien zij deel uitmaken van de certificering die een verwerker, niet zijnde een instelling of orgaan van de Unie, uit hoofde van artikel 42 van Verordening (EU) 2016/679 is verleend.
7.De Commissie kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens de in artikel 70, lid 2, bedoelde onderzoeksprocedure standaardcontractbepalingen vaststellen.
8.De Europese Toezichthouder voor gegevensbescherming kan voor de in de leden 3 en 4 genoemde aangelegenheden standaardcontractbepalingen opstellen.
9.De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.
10.Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 65 en 66 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 30
Verwerking onder gezag van de verwerkingsverantwoordelijke en de verwerker
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.
Artikel 31
Register van de verwerkingsactiviteiten
1.Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
a)de naam en de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, en, in voorkomend geval, van de verwerker en de gezamenlijke verwerkingsverantwoordelijke;
b)de verwerkingsdoeleinden;
c)een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d)de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in lidstaten, derde landen of internationale organisaties;
e)indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;
f)indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g)indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.
2.De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verwerkingsverantwoordelijke heeft verricht, met daarin de volgende gegevens:
a)de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke ten behoeve waarvan de verwerker handelt, en van de functionaris voor gegevensbescherming;
b)de categorieën van verwerkingen die ten behoeve van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c)indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;
d)indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.
3.Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.
4.De instellingen en organen van de Unie verstrekken de Europese Toezichthouder voor gegevensbescherming desgevraagd hun register.
5.De instellingen en organen van de Unie kunnen beslissen hun registers van verwerkingsactiviteiten in een centraal register onder te brengen. In dat geval kunnen zij ook bepalen dat het register openbaar toegankelijk is.
Artikel 32
Samenwerking met de Europese Toezichthouder voor gegevensbescherming
De instellingen en organen van de Unie werken desgevraagd samen met de Europese Toezichthouder voor gegevensbescherming bij het vervullen van zijn taken.
AFDELING 2
PERSOONSGEGEVENSBEVEILIGING EN VERTROUWELIJKHEID VAN ELECTRONISCHE COMMUNICATIE
Artikel 33
Beveiliging van de verwerking
1.Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a)de pseudonimisering en versleuteling van persoonsgegevens;
b)het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c)het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d)een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2.Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3.De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij Unierechtelijk tot de verwerking is gehouden.
Artikel 34
Vertrouwelijkheid van de elektronische communicatie
De instellingen en organen van de Unie waarborgen de vertrouwelijkheid van de elektronische communicatie, met name door hun elektronische communicatienetwerken te beveiligen.
Artikel 35
Bescherming van informatie betreffende de eindapparatuur van eindgebruikers
De instellingen en organen van de Unie beschermen de informatie betreffende de eindapparatuur van eindgebruikers die hun voor het publiek toegankelijke websites bezoeken en gebruikmaken van hun mobiele toepassingen, zulks overeenkomstig Verordening (EU) XXXX/XX [de nieuwe e-privacyverordening], met name artikel 8 daarvan.
Artikel 36
Gebruikerslijsten
1.Persoonsgegevens die in gebruikerslijsten zijn opgenomen en de toegang tot dergelijke lijsten worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst noodzakelijk is.
2.De instellingen en organen van de Unie nemen alle nodige maatregelen om te voorkomen dat in deze lijsten opgenomen persoonsgegevens, ongeacht of deze al dan niet publiek toegankelijk zijn, voor direct marketing worden gebruikt.
Artikel 37
Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming
1.Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.
2.De verwerker informeert de verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
3.In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:
a)de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b)de naam en de contactgegevens van de functionaris voor gegevensbescherming;
c)de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d)de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
4.Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.
5.De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming in kennis van de inbreuk in verband met persoonsgegevens.
6.De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.
Artikel 38
Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
1.Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onredelijke vertraging mee.
2.De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 37, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.
3.De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
a)de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
b)de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
c)de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
4.Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.
AFDELING 3
GEGEVENSBESCHERMINGSEFFECTBEOORDELING EN VOORAFGAANDE RAADPLEGING
Artikel 39
Gegevensbeschermingseffectbeoordeling
1.Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden.
2.De verwerkingsverantwoordelijke wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de functionaris voor gegevensbescherming in.
3.Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:
a)een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;
b)grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 11; of
c) stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
4.De Europese Toezichthouder voor gegevensbescherming stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling overeenkomstig lid 1 verplicht is, en maakt deze openbaar.
5.De Europese Toezichthouder voor gegevensbescherming kan ook een lijst opstellen en openbaar maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.
6.De beoordeling bevat ten minste:
a)een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden;
b)een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
c)een beoordeling van de in lid 1 bedoelde risico's voor de rechten en vrijheden van betrokkenen; en
d)de beoogde maatregelen om de risico's aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
7.Bij het beoordelen van het effect van de door andere verwerkers dan instellingen en organen van de Unie verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 van Verordening (EU) 2016/679 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.
8.De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging van verwerkingen.
9.Wanneer verwerking uit hoofde van artikel 5, lid 1, onder a) of b), haar rechtsgrond heeft in een op grond van de Verdragen vastgestelde rechtshandeling waarbij de specifieke verwerking of het geheel van verwerkingen in kwestie wordt geregeld, en er reeds als onderdeel van een aan de vaststelling van deze rechtshandeling voorafgaande algemene effectbeoordeling een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 6 niet van toepassing, tenzij het recht van de Unie anders bepaalt.
10.Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.
Artikel 40
Voorafgaande raadpleging
1.De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voorafgaand aan de verwerking wanneer een gegevensbeschermingseffectbeoordeling uit hoofde van artikel 39 uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn. De verwerkingsverantwoordelijke wint het advies in van de functionaris voor gegevensbescherming over de noodzaak van voorafgaande raadpleging.
2.Wanneer de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft hij binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag hij al zijn in artikel 59 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de Europese Toezichthouder voor gegevensbescherming de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van onder meer de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de Europese Toezichthouder voor gegevensbescherming informatie heeft verkregen waarom hij met het oog op de raadpleging heeft verzocht.
3.Wanneer de verwerkingsverantwoordelijke de Europese Toezichthouder voor gegevensbescherming uit hoofde van lid 1 raadpleegt, verstrekt hij hem informatie over:
a)indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerkers die bij de verwerking betrokken zijn;
b)de doeleinden en de middelen van de voorgenomen verwerking;
c)de maatregelen en waarborgen die worden geboden ter bescherming van de rechten en vrijheden van betrokkenen uit hoofde van deze verordening;
d)de contactgegevens van de functionaris voor gegevensbescherming;
e)de gegevensbeschermingseffectbeoordeling waarin bij artikel 39 is voorzien; en
f)alle andere informatie waar de Europese Toezichthouder voor gegevensbescherming om verzoekt.
4.De Commissie kan door middel van een uitvoeringshandeling een lijst vaststellen van gevallen waarin de verwerkingsverantwoordelijke overleg dient te plegen met de Europese Toezichthouder voor gegevensbescherming en om diens voorafgaande toestemming dient te verzoeken wanneer hij met het oog op de vervulling van een taak van algemeen belang gegevens verwerkt, onder meer wanneer de verwerking van die gegevens verband houdt met sociale bescherming en volksgezondheid.
AFDELING 4
INFORMATIE EN LEGISLATIEVE RAADPLEGING
Artikel 41
Informatie
De instellingen en organen van de Unie lichten de Europese Toezichthouder voor gegevensbescherming in wanneer zij in verband met de verwerking van persoonsgegevens, waarbij een instelling of orgaan van de Unie, alleen of samen met anderen, is betrokken, administratieve maatregelen en interne regels opstellen.
Artikel 42
Legislatieve raadpleging
1.Na het vaststellen van voorstellen voor rechtshandelingen en aanbevelingen of voorstellen aan de Raad uit hoofde van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen die gevolgen hebben voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, raadpleegt de Commissie de Europese Toezichthouder voor gegevensbescherming.
2.Indien een in lid 1 bedoelde handeling van bijzonder belang is voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies.
3.Het in de leden 1 en 2 bedoelde advies wordt schriftelijk verstrekt binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om de in de leden 1 en 2 bedoelde raadpleging. De Commissie kan die termijn in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bekorten.
4.Dit artikel is niet van toepassing wanneer de Commissie ingevolge Verordening (EU) 2016/679 gehouden is het Europees Comité voor gegevensbescherming te raadplegen.
AFDELING 5
Repliek
Artikel 43
Repliek
Wanneer de Europese Toezichthouder voor gegevensbescherming de bevoegdheden uitoefent die hem uit hoofde van artikel 59, lid 2, onder a), b) en c), toekomen, deelt de betrokken verwerkingsverantwoordelijke of verwerker hem binnen een redelijke, door de Europese Toezichthouder voor gegevensbescherming te bepalen termijn, zijn standpunt mee, rekening houdend met de omstandigheden van elk geval. In zijn repliek beschrijft hij tevens de maatregelen die eventueel naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.
AFDELING 6
FUNCTIONARIS VOOR GEGEVENSBESCHERMING
Artikel 44
Aanwijzing van de functionaris voor gegevensbescherming
1.De instellingen en organen van de Unie wijzen elk een functionaris voor gegevensbescherming aan.
2.Instellingen en organen van de Unie kunnen een enkele functionaris voor gegevensbescherming aanwijzen die voor verschillende instellingen en/of organen optreedt, rekening houdend met hun organisatiestructuur en omvang.
3.De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 46 bedoelde taken te vervullen.
4.De functionaris voor gegevensbescherming kan een personeelslid van de instelling of het orgaan van de Unie zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.
5.De instellingen en organen van de Unie maken de contactgegevens van de functionaris voor gegevensbescherming bekend en delen die mee aan de Europese Toezichthouder voor gegevensbescherming.
Artikel 45
Positie van de functionaris voor gegevensbescherming
1.De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
2.De instellingen en organen van de Unie ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 46 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.
3.De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van zijn taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.
4.Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.
5.De functionaris voor gegevensbescherming en diens personeelsleden zijn met betrekking tot de uitvoering van zijn taken overeenkomstig het Unierecht tot geheimhouding of vertrouwelijkheid gehouden.
6.De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
7.De functionaris voor gegevensbescherming kan door de verwerkingsverantwoordelijke en de verwerker, het betrokken personeelscomité en elke natuurlijke persoon, zonder de officiële weg te volgen, worden geraadpleegd over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening. Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert de bepalingen van deze verordening schendt, onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht.
8.De functionaris voor gegevensbescherming wordt aangewezen voor een periode van drie tot vijf jaar en kan opnieuw worden benoemd. Indien de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, kan hij alleen door de instelling of het orgaan van de Unie waardoor hij is aangewezen, met instemming van de Europese Toezichthouder voor gegevensbescherming worden ontslagen.
9.Nadat hij is aangewezen, wordt de functionaris voor gegevensbescherming door de instelling of het orgaan van de Unie waardoor hij is aangewezen, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.
Artikel 46
Taken van de functionaris voor gegevensbescherming
1.De functionaris voor gegevensbescherming vervult de volgende taken:
a)de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking verrichten, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke gegevensbeschermingsbepalingen;
b)op onafhankelijke wijze zorgen voor de interne toepassing van deze verordening en toezien op naleving van deze verordening, van andere toepasselijke Unierechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
c)ervoor zorgen dat de betrokkenen in kennis worden gesteld van hun rechten en plichten uit hoofde van deze verordening;
d)desgevraagd advies verstrekken met betrekking tot de noodzaak van een melding of mededeling inzake een inbreuk in verband met persoonsgegevens in overeenstemming met de artikelen 37 en 38;
e)desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingeffectbeoordeling en toezien op de uitvoering ervan in overeenstemming met artikel 39 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van een gegevensbeschermingseffectbeoordeling.
f)desgevraagd advies verstrekken met betrekking tot de noodzaak van voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming in overeenstemming met artikel 40 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van voorafgaande raadpleging;
g)ingaan op verzoeken van de Europese Toezichthouder voor gegevensbescherming en, binnen het kader van diens bevoegdheden, samenwerken met de Europese Toezichthouder voor gegevensbescherming en deze raadplegen, op diens verzoek of op eigen initiatief.
2.De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de verwerkingsverantwoordelijke en de verwerker en hen advies geven over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming. Voorts kan hij, op eigen initiatief of op verzoek van de verwerkingsverantwoordelijke of de verwerker, van het betrokken personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij kennis heeft gekregen, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft of aan de verwerkingsverantwoordelijke of de verwerker.
3.Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door elke instelling of elk orgaan van de Unie vastgesteld. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.
HOOFDSTUK V
Doorgiften van persoonsgegevens naar derde landen of aan internationale organisaties
Artikel 47
Algemeen beginsel inzake doorgiften
Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte naar een derde land of aan een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.
Artikel 48
Doorgiften op basis van adequaatheidsbesluiten
1.Doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 heeft vastgesteld dat in het derde land, een gebied of een of meer nader bepaalde sectoren in het derde land, of in de internationale organisatie een passend beschermingsniveau wordt gewaarborgd, en de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering mogelijk te maken van taken die onder de bevoegdheid van de verwerkingsverantwoordelijke vallen.
2.De instellingen of organen van de Unie stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarvoor zij van oordeel zijn dat het betrokken derde land, respectievelijk de betrokken internationale organisatie geen passend beschermingsniveau in de zin van lid 1 waarborgt.
3.De instellingen of organen van de Unie nemen de nodige maatregelen om te voldoen aan de besluiten waarbij de Commissie krachtens artikel 45, lid 3 en lid 5, van Verordening (EU) 2016/679 vaststelt dat een derde land of een internationale organisatie een passend beschermingsniveau waarborgt of niet langer waarborgt.
Artikel 49
Doorgiften op basis van passende waarborgen
1.Bij ontstentenis van een besluit uit hoofde van artikel 45, lid 3, van Verordening (EU) 2016/679, mag een verwerkingsverantwoordelijke of een verwerker alleen persoonsgegevens naar een derde land of aan een internationale organisatie doorgeven als hij passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
2.De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van de Europese Toezichthouder voor gegevensbescherming is vereist:
a)een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
b)standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 70, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;
c)standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld en die door de Commissie volgens de in artikel 70, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;
d)bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen als bedoeld in artikel 46, lid 2, onder b), e), en f), van Verordening (EU) 2016/679, wanneer de verwerker geen instelling of orgaan van de Unie is.
3.Onder voorbehoud van de toestemming van de Europese Toezichthouder voor gegevensbescherming kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door, met name:
a)contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie; of
b)bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.
4.De instellingen of organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën gevallen waarin dit artikel is toegepast.
5.Toestemmingen die de Europese Toezichthouder voor gegevensbescherming op grond van artikel 9, lid 7, van Verordening (EG) nr. 45/2001 heeft verleend, blijven geldig totdat zij door de Europese Toezichthouder voor gegevensbescherming, indien nodig, worden gewijzigd, vervangen of ingetrokken.
Artikel 50
Niet bij Unierecht toegestane doorgiften of verstrekkingen
Elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.
Artikel 51
Afwijkingen voor specifieke situaties
1.Bij ontstentenis van een besluit overeenkomstig artikel 45, lid 3, van Verordening (EU) 2016/679 of van passende waarborgen overeenkomstig artikel 49, kan een doorgifte of een reeks van doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie slechts plaatsvinden als aan één van de volgende voorwaarden is voldaan:
a)de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico's die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;
b)de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;
c)de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst;
d)de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;
e)de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering; of
f)de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of
g)de doorgifte geschiedt vanuit een register dat krachtens het Unierecht is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het gegeven geval aan de in het Unierecht neergelegde voorwaarden voor raadpleging wordt voldaan.
2.Een doorgifte overeenkomstig lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen, tenzij dat volgens het Unierecht is toegestaan. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer zij de beoogde ontvangers van de gegevens zijn.
3.Het in lid 1, onder d), bedoelde algemeen belang moet zijn erkend in het Unierecht.
4.Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën persoonsgegevens naar een derde land of aan een internationale organisatie.
5.De instellingen of organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën gevallen waarin dit artikel is toegepast.
Artikel 52
Internationale samenwerking voor de bescherming van persoonsgegevens
Ten aanzien van derde landen en internationale organisaties neemt de Europese Toezichthouder voor gegevensbescherming, is samenwerking met de Commissie en het Europees Comité voor gegevensbescherming passende maatregelen om:
a)procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;
b)internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder meer door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;
c)belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; en
d)de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen.
HOOFDSTUK VI
DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,
Artikel 53
Europese Toezichthouder voor gegevensbescherming
1.De Europese Toezichthouder voor gegevensbescherming wordt hierbij ingesteld:
2.De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op gegevensbescherming, bij de verwerking van persoonsgegevens, door de instellingen en organen van de Unie in acht worden genomen
3.De Europese Toezichthouder voor gegevensbescherming is met name belast met het toezien op en het verzekeren van de toepassing van deze verordening en van elk ander besluit van de Unie betreffende de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door een instelling of orgaan van de Unie, alsmede voor het verstrekken van advies aan de instellingen en organen van de Unie en aan de betrokkenen inzake de verwerking van persoonsgegevens. Daartoe vervult de Europese Toezichthouder voor gegevensbescherming de bij artikel 58 opgedragen taken en oefent hij de bij artikel 59 verleende bevoegdheden uit.
Artikel 54
Benoeming van de Europese Toezichthouder voor gegevensbescherming
1.Het Europees Parlement en de Raad benoemen in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vijf jaar, op basis van een lijst van kandidaten die de Commissie na een openbare sollicitatieoproep opstelt. Deze sollicitatieoproep staat open voor alle belangstellenden in de gehele Unie. De door de Commissie opgestelde ijst van kandidaten is openbaar. De bevoegde commissie van het Europees Parlement kan op basis van de door de Commissie opgestelde lijst besluiten een hoorzitting te houden zodat zij een voorkeur kan uitspreken.
2.De door de Commissie opgestelde lijst waaruit de Europese Toezichthouder voor gegevensbescherming wordt gekozen, wordt samengesteld uit personen die alle waarborgen voor onafhankelijkheid bieden en die duidelijk over de ervaring en de bekwaamheid beschikken om het ambt van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat zij behoren of behoord hebben tot de krachtens artikel 41 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.
3.De ambtstermijn van de Europese Toezichthouder voor gegevensbescherming kan eenmaal worden verlengd.
4.De ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming eindigt wanneer:
a)de Europese Toezichthouder voor gegevensbescherming wordt vervangen;
b)de Europese Toezichthouder voor gegevensbescherming ontslag neemt;
c)de Europese Toezichthouder voor gegevensbescherming wordt ontslagen of met pensioen moet gaan.
5.De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie van de Europese Unie worden ontslagen, of kan zijn recht op pensioen of pensioenvervangende voordelen verliezen indien hij niet meer aan de eisen voor de uitoefening van dat ambt voldoet of op ernstige wijze is tekortgeschoten.
6.In geval van normale opvolging en vrijwillig ontslag blijft de Europese Toezichthouder voor gegevensbescherming in functie totdat in zijn vervanging is voorzien.
7.De artikelen 11 tot en met 14 en artikel 17 van het Protocol betreffende de voorrechten en immuniteiten van de Europese Unie gelden eveneens voor de Europese Toezichthouder voor gegevensbescherming.
Artikel 55
Statuut en algemene voorwaarden voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, personeel en financiële middelen
1.De Europese Toezichthouder voor gegevensbescherming wordt beschouwd als gelijkwaardig aan een rechter van het Hof van Justitie van de Europese Unie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.
2.De Begrotingsautoriteit draagt er zorg voor dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn taken benodigde personele en financiële middelen beschikt.
3.De begroting van de Europese Toezichthouder voor gegevensbescherming valt onder een specifieke begrotingslijn van afdeling IX van de algemene begroting van de Europese Unie.
4.De Europese Toezichthouder voor gegevensbescherming wordt bijgestaan door een secretariaat. De Europese Toezichthouder voor gegevensbescherming benoemt de ambtenaren en andere personeelsleden van het secretariaat en is hun hiërarchische meerdere. Deze ambtenaren en personeelsleden staan uitsluitend onder zijn leiding. Hun aantal wordt ieder jaar in het kader van de begrotingsprocedure vastgesteld.
5.De ambtenaren en de andere personeelsleden van het secretariaat van de Europese Toezichthouder voor gegevensbescherming zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Europese Unie.
6.De Europese Toezichthouder voor gegevensbescherming heeft zijn zetel te Brussel.
Artikel 56
Onafhankelijkheid
1.De Europese Toezichthouder voor gegevensbescherming treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die hem overeenkomstig deze verordening zijn toegewezen.
2.Bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden overeenkomstig deze verordening blijft de Europese Toezichthouder voor gegevensbescherming vrij van al dan niet rechtstreekse externe invloed en vraagt noch aanvaardt hij instructies van wie dan ook.
3.De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde beroepswerkzaamheden.
4.Bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming eerlijkheid en kiesheid.
Artikel 57
Beroepsgeheim
Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van hun officiële taken ter kennis is gekomen geldt voor de Europese Toezichthouder voor gegevensbescherming en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.
Artikel 58
Taken
1.Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht de Europese Toezichthouder voor gegevensbescherming de volgende taken:
a)hij ziet toe op en treedt handhavend op ten aanzien van de toepassing van deze verordening en van elke andere handeling van de Unie betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door een instelling of orgaan van de Unie, met uitzondering van de verwerking van persoonsgegevens door het Hof van Justitie van de Europese Unie bij de uitoefening van zijn jurisdictionele taak;
b)hij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico's, regels, waarborgen en rechten in verband met de verwerking. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten;
c)hij bevordert de bekendheid van de verwerkingsverantwoordelijken en de verwerkers met hun verplichtingen uit hoofde van deze verordening;
d)hij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe in voorkomend geval samen met de toezichthoudende autoriteiten in de lidstaten;
e)hij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 67, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;
f)hij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die hij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt;
g)hij verleent advies aan alle instellingen en organen van de Unie over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van de verwerking van persoonsgegevens;
h)hij volgt de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;
i)hij stelt de in artikel 29, lid 8, en artikel 49, lid 2, onder c), bedoelde standaardcontractbepalingen vast;
j)hij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling overeenkomstig artikel 39, lid 4, en houdt deze lijst bij;
k)hij neemt deel aan de activiteiten van het bij artikel 68 van Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming;
l)hij verzorgt overeenkomstig artikel 75 van Verordening (EU) 2016/679 het secretariaat van het Europees Comité voor gegevensbescherming;
m)hij verstrekt advies over de in artikel 40, lid 2, bedoelde verwerking;
n)hij geeft toestemming voor de in artikel 49, lid 3, bedoelde contractuele en andere bepalingen;
o)hij houdt interne registers bij van inbreuken op deze verordening en van overeenkomstig artikel 59, lid 2, getroffen maatregelen;
p)hij verricht alle andere taken die verband houden met de bescherming van persoonsgegevens; en
q)hij stelt zijn reglement van orde vast.
2.De Europese Toezichthouder voor gegevensbescherming faciliteert de indiening van klachten als bedoeld in lid 1, onder e), door het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
3.De Europese Toezichthouder voor gegevensbescherming verricht zijn taken kosteloos voor de betrokkene.
4.Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de Europese Toezichthouder voor gegevensbescherming weigeren aan het verzoek gevolg te geven. Het is aan de Europese Toezichthouder voor gegevensbescherming om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
Artikel 59
Bevoegdheden
1.De Europese Toezichthouder voor gegevensbescherming beschikt over de onderzoeksbevoegdheid om:
a)de verwerkingsverantwoordelijke en de verwerker te gelasten alle voor de uitvoering van zijn taken vereiste informatie te verstrekken;
b)onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;
c)de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;
d)van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van zijn taken;
e)toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het procesrecht van de Unie of lidstaat.
2.De Europese Toezichthouder beschikt over de corrigerende bevoegdheid om:
a)de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;
b)de verwerkingsverantwoordelijke of de verwerker te berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;
c)de zaak voor te leggen aan de betrokken gegevensverantwoordelijke of verwerker en zo nodig aan het Europees Parlement, de Raad en de Commissie;
d)de verwerkingsverantwoordelijke of de verwerker te gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening in te willigen;
e)de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;
f)de verwerkingsverantwoordelijke te gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;
g)een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;
h)het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 18, 19 en 20 te gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 19, lid 2, en artikel 21;
i)in geval de instelling of het orgaan van de Unie niet voldoet aan een van de in dit lid bedoelde maatregelen en naargelang de omstandigheden van elke zaak, een administratieve geldboete op te leggen op grond van artikel 66;
i)de opschorting van gegevensstromen naar een ontvanger in een lidstaat of een derde land of naar een internationale organisatie te gelasten.
3.De Europese Toezichthouder voor gegevensbescherming heeft de machtigings- en adviesbevoegdheid om:
a)betrokkenen te adviseren over de uitoefening van hun rechten;
b)de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 40;
c)op eigen initiatief dan wel op verzoek, aan instellingen en organen van de Unie en het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;
d)de in artikel 29, lid 8, en artikel 49, lid 2, onder c), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen;
e)toestemming te verlenen voor de in artikel 49, lid 3, onder a), bedoelde contractbepalingen;
f)toestemming te verlenen voor de in artikel 49, lid 3, onder b), bedoelde administratieve regelingen.
4.Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de Europese Toezichthouder voor gegevensbescherming worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals vastgelegd in het Unierecht.
5.De Europese Toezichthouder voor gegevensbescherming heeft de bevoegdheid het Hof van Justitie van de Europese Unie te adiëren onder de in het Verdrag genoemde voorwaarden en tussen te komen in vorderingen die bij het Hof van Justitie van de Europese Unie aanhangig zijn gemaakt.
Artikel 60
Activiteitenverslag
1.De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.
2.De Europese Toezichthouder voor gegevensbescherming legt het activiteitenverslag voor aan de overige instellingen en organen van de Unie, die opmerkingen kunnen indienen met het oog op de eventuele bespreking van het verslag in het Europees Parlement.
HOOFDSTUK VII
SAMENWERKING EN COHERENTIE
Artikel 61
Samenwerking met de nationale toezichthoudende autoriteiten
De Europese Toezichthouder voor gegevensbescherming werkt samen met de toezichthoudende autoriteiten opgericht krachtens artikel 41 van Verordening (EU) 2016/679 en artikel 51 van Richtlijn (EU) 2016/680 (hierna “nationale toezichthoudende autoriteiten” genoemd) en met de gemeenschappelijke controleautoriteit opgericht krachtens artikel 25 van Besluit 2009/917/JBZ van de Raad voor zover dat voor de uitoefening van hun onderscheiden taken nodig is, met name door uitwisseling van relevante informatie, door nationale toezichthoudende autoriteiten te verzoeken hun bevoegdheden uit te oefenen of door te reageren op een verzoek van dergelijke autoriteiten.
Artikel 62
Gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten
1.Als er in een handeling van de Unie naar dit artikel wordt verwezen, werkt de Europese Toezichthouder voor gegevensbescherming actief samen met de nationale toezichthoudende autoriteiten om te waarborgen dat er doeltreffend toezicht wordt gehouden op grootschalige IT-systemen of agentschappen van de Unie.
2.De Europese Toezichthouder voor gegevensbescherming houdt zich, binnen zijn onderscheiden bevoegdheden en in het kader van zijn verantwoordelijkheden, bezig met het uitwisselen van relevante informatie, het verlenen van bijstand bij audits en inspecties, het onderzoeken van moeilijkheden inzake de uitlegging of toepassing van de onderhavige verordening of andere toepasselijke handelingen van de Unie, het bestuderen van problemen bij de uitoefening van onafhankelijk toezicht of de uitoefening van de rechten van betrokkenen, het opstellen van geharmoniseerde voorstellen om problemen op te lossen en het onder de aandacht brengen van gegevensbeschermingsrechten, zo nodig gezamenlijk met de nationale toezichthoudende autoriteiten.
3.Voor de in lid 2 vervatte doeleinden komt de Europese Toezichthouder voor gegevensbescherming ten minste twee maal per jaar bijeen met de nationale toezichthoudende autoriteiten in het kader van het Europees Comité voor gegevensbescherming. De kosten en logistieke ondersteuning van deze bijeenkomsten komen ten laste van het Europees Comité voor gegevensbescherming. Tijdens de eerste vergadering wordt een reglement van orde vastgesteld. Indien noodzakelijk worden in onderling overleg verdere werkmethoden vastgesteld.
4.Om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk activiteitenverslag over het gecoördineerde toezicht toe aan het Europees Parlement, de Raad en de Commissie.
HOOFDSTUK VIII
BEROEP, AANSPRAKELIJKHEID EN SANCTIES
Artikel 63
Recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming
1.Onverminderd een eventuele voorziening in rechte, een administratief beroep of een buitengerechtelijk beroep, heeft iedere betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.
2.De Europese Toezichthouder voor gegevensbescherming houdt de betrokkene op de hoogte van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte uit hoofde van artikel 64.
3.Als de Europese Toezichthouder voor gegevensbescherming een klacht niet behandelt of de betrokkene niet binnen drie maanden informeert over de vooruitgang of het resultaat van de klacht, wordt dit gelijkgesteld met afwijzing van de klacht.
Artikel 64
Recht op een doeltreffende voorziening in rechte
Het Hof van Justitie van de Europese Unie is bevoegd kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.
Artikel 65
Recht op schadevergoeding
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.
Artikel 66
Administratieve geldboeten
1.De Europese Toezichthouder voor gegevensbescherming kan administratieve geldboeten opleggen aan instellingen en organen van de Unie, afhankelijk van de omstandigheden van elk afzonderlijk geval, wanneer een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast overeenkomstig artikel 59, lid 2, onder d) tot en met h) en j). Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:
a)de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b)de door de instelling of het orgaan van de Unie genomen maatregelen om de door betrokkenen geleden schade te beperken;
c)de mate waarin de instelling of het orgaan van de Unie verantwoordelijk is, gezien de technische en organisatorische maatregelen die de instelling of het orgaan heeft uitgevoerd overeenkomstig de artikelen 27 en 33;
d)vergelijkbare eerdere inbreuken door de instelling of het orgaan van de Unie;
e)de mate waarin er met de Europese Toezichthouder voor gegevensbescherming is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
f)de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
g)de wijze waarop de Europese Toezichthouder voor gegevensbescherming kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de instelling of het orgaan van de Unie de inbreuk heeft gemeld;
h)de naleving van de in artikel 59 genoemde maatregelen, voor zover die eerder ten aanzien van de instelling of het orgaan van de Unie in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen.
De procedures die leiden tot het opleggen van dergelijke geldboeten dienen te worden uitgevoerd binnen een redelijke termijn, rekening houdend met de omstandigheden van het geval alsook met de relevante maatregelen en procedures bedoeld in artikel 69.
2.Inbreuken ten aanzien van de verplichtingen van de instelling of het orgaan van de Unie krachtens de artikelen 8, 12, 27 tot en met 33, 37 tot en met 40, 44, 45 en 46 zijn overeenkomstig lid 1 onderworpen aan administratieve geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar.
3.Inbreuken op de navolgende bepalingen door de instelling of het orgaan van de Unie zijn overeenkomstig lid 1 onderworpen aan administratieve geldboeten tot 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar:
a)de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, overeenkomstig de artikelen 4, 5, 7 en 10;
b)de rechten van de betrokkenen overeenkomstig de artikelen 14 tot en met 24;
c)de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie overeenkomstig de artikelen 47 tot en met 51.
4.Indien een instelling of orgaan van de Unie met betrekking tot dezelfde, daarmee verband houdende of voortgaande verwerkingsactiviteiten een inbreuk pleegt op meerdere bepalingen van deze verordening of meermaals inbreuk pleegt op dezelfde bepaling van deze verordening, is de totale administratieve geldboete niet hoger dan die voor de zwaarste inbreuk.
5.Alvorens een besluit op grond van dit artikel te nemen, stelt de Europese Toezichthouder voor gegevensbescherming de instelling of het orgaan van de Unie ten aanzien waarvan hij een procedure volgt, in de gelegenheid om te worden gehoord over de punten van bezwaar van de toezichthouder. De Europese Toezichthouder voor gegevensbescherming baseert zijn besluiten uitsluitend op punten van bezwaar waarover de betrokken partijen opmerkingen hebben kunnen maken. De klagers worden nauw bij de procedure betrokken.
6.Het recht van verdediging van de partijen wordt in de loop van de procedure ten volle geëerbiedigd. Zij hebben recht op toegang tot het bestand van de Europese Toezichthouder voor gegevensbescherming, onder voorbehoud van het gerechtvaardigde belang van andere personen of ondernemingen bij de bescherming van hun persoonsgegevens of bedrijfsgeheimen.
7.De bedragen die worden geïnd door het opleggen van de geldboeten van dit artikel, worden beschouwd als ontvangsten voor de algemene begroting van de Europese Unie.
Artikel 67
Vertegenwoordiging van betrokkenen
De betrokkenen hebben het recht organen, organisaties of verenigingen zonder winstoogmerk die op geldige wijze volgens het recht van de Unie of van een lidstaat zijn opgericht, het algemene belang dienende statutaire doelstellingen hebben en actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen bij de Europese Toezichthouder voor gegevensbescherming, namens hem de in artikel 63 bedoelde rechten uit te oefenen en namens hem het in artikel 65 bedoelde recht op schadevergoeding uit te oefenen.
Artikel 68
Klachten van het personeel van de Unie
Eenieder die in dienst is van een instelling of orgaan van de Unie kan, zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen wegens een vermeende inbreuk op de in deze verordening vervatte bepalingen. Niemand mag nadeel ondervinden van het feit dat bij de Europese Toezichthouder voor gegevensbescherming een klacht is ingediend waarin op een dergelijke schending wordt gewezen.
Artikel 69
Sancties
Een ambtenaar of een ander personeelslid van de Europese Unie die, opzettelijk of uit nalatigheid, de krachtens deze verordening op hem rustende verplichtingen niet nakomt, kan aan een tucht- of andere maatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie of van de regeling welke van toepassing is op de andere personeelsleden van de Unie.
HOOFDSTUK IX
UITVOERINGSHANDELINGEN
Artikel 70
Comitéprocedure
1.De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2.Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
HOOFDSTUK X
SLOTBEPALINGEN
Artikel 71
Intrekking van Verordening (EG) nr. 45/2001 en van Besluit nr. 1247/2002/EG
Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG worden ingetrokken met ingang van 25 mei 2018. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit worden beschouwd als verwijzingen naar deze verordening.
Artikel 72
Overgangsmaatregelen
1.Deze verordening doet geen afbreuk aan Besluit 2014/886/EU van het Parlement en de Raad en de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder.
2.De adjunct-toezichthouder wordt beschouwd als gelijkwaardig aan de griffier van het Hof van Justitie van de Europese Unie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.
3.Artikel 54, leden 4, 5 en 7, en de artikelen 56 en 57 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn op 5 december 2019.
4.Tot het verstrijken van de ambtstermijn van de adjunct-toezichthouder op 5 december 2019 ondersteunt de adjunct-toezichthouder de Europese Toezichthouder voor gegevensbescherming bij diens taken en vervangt hij de Europese Toezichthouder voor gegevensbescherming wanneer deze afwezig is of verhinderd is om voornoemde taken te vervullen.
Artikel 73
Inwerkingtreding en toepassing
1.Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2.Zij is van toepassing met ingang van 25 mei 2018.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel,
Voor het Europees Parlement
Voor de Raad
De voorzitter
De voorzitter
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
1.2.Betrokken beleidsterrein(en) in de ABM/ABB-structuur
1.3.Aard van het voorstel/initiatief
1.4.Doelstelling(en)
1.5.Motivering van het voorstel/initiatief
1.6.Duur en financiële gevolgen
1.7.Beheersvorm(en)
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
2.2.Beheers- en controlesysteem
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
3.2.Geraamde gevolgen voor de uitgaven
3.2.1.Samenvatting van de geraamde gevolgen voor de uitgaven
3.2.2.Geraamde gevolgen voor de beleidskredieten
3.2.3.Geraamde gevolgen voor de administratieve kredieten
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
3.2.5.Bijdragen van derden
3.3.Geraamde gevolgen voor de ontvangsten
FINANCIEEL MEMORANDUM
1.KADER VAN HET VOORSTEL/INITIATIEF
1.1.Benaming van het voorstel/initiatief
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG.
1.2.Betrokken beleidsterrein(en) in de ABM/ABB-structuur
Justitie – Bescherming van persoonsgegevens
1.3.Aard van het voorstel/initiatief
◻ Het voorstel/initiatief betreft een nieuwe actie
◻ Het voorstel/initiatief betreft een nieuwe actie na een proefproject/voorbereidende actie
–Het voorstel/initiatief betreft de verlenging van een bestaande actie
◻ Het voorstel/initiatief betreft een actie die wordt omgebogen naar een nieuwe actie
1.4.Doelstelling(en)
1.4.1.De met het voorstel/initiatief beoogde strategische meerjarendoelstelling(en) van de Commissie
De inwerkingtreding van het Verdrag van Lissabon, meer bepaald de invoering van een nieuwe rechtsgrondslag (artikel 16 VWEU), biedt de gelegenheid een breed kader voor gegevensbescherming op te zetten, dat alle gebieden bestrijkt.
Op 27 april 2016 heeft de Unie Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG vastgesteld (algemene verordening gegevensbescherming – voor de EER relevante tekst, PB L 119 van 4.5.2016, blz. 1).
Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van het Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89) is op diezelfde dag vastgesteld.
Dit voorstel beoogt de voltooiing van een breed gegevensbeschermingskader in de Unie, door de gegevensbeschermingsregels die voor de instellingen en organen van de Unie gelden, in overeenstemming te brengen met de gegevensbeschermingsregels van Verordening (EU) 2016/679. Met het oog op consistentie en coherentie moeten de instellingen en organen van de Unie een soortgelijke reeks gegevensbeschermingsregels toepassen als de openbare sector in de lidstaten.
1.4.2.Specifieke doelstelling(en) en betrokken ABM/ABB-activiteit(en)
Specifieke doelstelling 1:
Waarborgen dat de regelgeving inzake gegevensbescherming in de hele Unie op consistente wijze wordt toegepast.
Specifieke doelstelling 2:
Rationaliseren van het huidige governancemodel voor gegevensbescherming bij de instellingen van organen van de Unie.
Specifieke doelstelling nr. 3:
Waarborgen dat de gegevensbeschermingsregels in de instellingen en organen van de Unie beter worden nageleefd en gehandhaafd.
1.4.3.Verwachte resulta(a)t(en) en gevolg(en)
Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen.
Als verwerkingsverantwoordelijken moeten de instellingen en organen van de Unie profiteren van een verschuiving van de huidige administratieve processen op gegevensbeschermingsgebied (ex ante-aanpak) naar doeltreffende naleving en krachtiger handhaving van materiële gegevensbeschermingsvoorschriften en de nieuwe gegevensbeschermingsbeginselen en -concepten ingevoerd bij Verordening (EU) 2016/679 (ex post-aanpak), die in de hele Unie van toepassing zullen zijn.
Hierdoor kunnen natuurlijke personen wier gegevens door instellingen en organen van de Unie worden verwerkt, hun persoonsgegevens beter controleren en vertrouwen stellen in de digitale omgeving. Zij zullen merken dat ook de verantwoordingsplicht van de instellingen en organen van de Unie is toegenomen.
De Europese Toezichthouder voor gegevensbescherming zal zich beter kunnen richten op zijn rol van toezichthouder. Wat het adviseren van de Commissie betreft: deze taak zal duidelijker worden verdeeld tussen het bij Verordening (EU) 2016/679 opgerichte Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming, en dubbel werk zal worden voorkomen.
1.4.4.Resultaat- en effectindicatoren
Vermeld de indicatoren aan de hand waarvan kan worden nagegaan in hoeverre het voorstel/initiatief is uitgevoerd.
Indicatoren dienen de volgende elementen te omvatten:
het aantal adviezen dat het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming hebben gegeven,
een uitsplitsing van activiteiten van gegevensbeschermingsfunctionarissen,
het gebruik dat is gemaakt van effectbeoordelingen uit het oogpunt van gegevensbescherming,
het aantal klachten van betrokkenen,
boeten opgelegd aan verwerkingsverantwoordelijken voor inbreuken inzake gegevensbescherming.
1.5.Motivering van het voorstel/initiatief
1.5.1.Behoefte(n) waarin op korte of lange termijn moet worden voorzien
In Verordening (EU) 2016/679 (artikel 2, lid 3, artikel 98, overweging 17) hebben de medewetgevers opgeroepen om Verordening (EG) nr. 45/2001 aan de beginselen en regels van die verordening aan te passen om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en ervoor te zorgen dat beide instrumenten van toepassing kunnen worden op hetzelfde tijdstip, nl. op 25 mei 2018.
1.5.2.Toegevoegde waarde van de deelname van de EU
De gegevensbeschermingsvoorschriften die van toepassing zijn op de instellingen en organen van de Unie kunnen uitsluitend door middel van een EU-handeling worden ingevoerd.
1.5.3.Nuttige ervaring die bij soortgelijke activiteiten in het verleden is opgedaan
Het huidige voorstel bouwt voort op de ervaring die is opgedaan met Verordening (EG) nr. 45/2001 en de beoordeling van de toepassing daarvan, die is verricht in het kader van een evaluatiestudie (uitgevoerd door een externe aannemer in de periode september 2014–juni 2015).
1.5.4.Verenigbaarheid en eventuele synergie met andere passende instrumenten
Het huidige voorstel bouwt voort op Verordening (EU) 2016/679 en voltooit de totstandbrenging van een krachtig, consistent en modern kader voor gegevensbescherming in de Unie, dat technologisch neutraal en toekomstbestendig is.
1.6.Duur en financiële gevolgen
◻
Voorstel/initiatief met een beperkte geldigheidsduur
–◻
Voorstel/initiatief is van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ
–◻
Financiële gevolgen vanaf JJJJ tot en met JJJJ
Voorstel/initiatief met een onbeperkte geldigheidsduur
Uitvoering met een opstartperiode van [2017] tot en met 25 mei 2018, gevolgd door een volledige uitvoering.
1.7.Beheersvorm(en)
Direct beheer door de Commissie
–◻
door haar diensten, waaronder het personeel in de delegaties van de Unie;
–◻
door de uitvoerende agentschappen;
◻
Gedeeld beheer met de lidstaten
◻
Indirect beheer door begrotingsuitvoeringstaken te delegeren aan:
–◻
derde landen of de door hen aangewezen organen;
–◻
internationale organisaties en hun agentschappen (geef aan welke);
–◻
de EIB en het Europees Investeringsfonds;
–◻
de in de artikelen 208 en 209 van het Financieel Reglement bedoelde organen;
–◻
publiekrechtelijke organen;
–◻
privaatrechtelijke organen met een openbaredienstverleningstaak, voor zover zij voldoende financiële garanties bieden;
–◻
privaatrechtelijke organen van een lidstaat, waaraan de uitvoering van een publiek-privaat partnerschap is toevertrouwd en die voldoende financiële garanties bieden;
–◻
personen aan wie de uitvoering van specifieke maatregelen op het gebied van het GBVB in het kader van titel V van het VEU is toevertrouwd en die worden genoemd in de betrokken basishandeling.
–Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder "Opmerkingen".
Opmerkingen
Dit voorstel is beperkt tot en heeft gevolgen voor alle instellingen en organen van de Unie.
2.BEHEERSMAATREGELEN
2.1.Regels inzake het toezicht en de verslagen
Vermeld frequentie en voorwaarden.
Dit voorstel is beperkt tot de toepassing van gegevensbeschermingsvoorschriften door instellingen en organen van de Unie. De Europese Toezichthouder voor gegevensbescherming is belast met het toezicht op en de handhaving van deze regels. De Europese toezichthouder zorgt dan ook voor toezicht en verslaglegging. Krachtens artikel 60 van dit voorstel is de Europese Toezichthouder voor gegevensbescherming met name gehouden jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in te dienen en dat gelijktijdig openbaar te maken.
2.2.Beheers- en controlesysteem
2.2.1.Mogelijke risico's
Een externe aannemer heeft van september 2014 tot en met juni 2015 een evaluatiestudie inzake de toepassing van Verordening (EG) nr. 45/2001 uitgevoerd. Hierbij is ook de impact nagegaan van de invoering van de belangrijkste concepten en beginselen van Verordening (EU) 2016/679 binnen de instellingen en organen van de Unie.
Het nieuwe gegevensbeschermingsmodel zal met name gericht zijn op doeltreffende naleving van de gegevensbeschermingsvoorschriften en op dito toezicht en handhaving van die voorschriften. Dit model vereist een verschuiving van de gegevensbeschermingscultuur bij de instellingen en organen van de Unie, waarbij de administratieve ex-ante-aanpak wordt verruild voor een doeltreffende ex-post-aanpak.
2.2.2.Informatie over het ingestelde systeem voor interne controle
Bestaande controlemethoden toegepast door de instellingen en organen van de Unie.
2.2.3.Raming van de kosten en baten van de controles en evaluatie van het verwachte foutenrisico
Bestaande controlemethoden toegepast door de instellingen en organen van de Unie.
2.3.Maatregelen ter voorkoming van fraude en onregelmatigheden
Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen.
Bestaande fraudepreventiemethoden toegepast door de instellingen en organen van de Unie.
3.GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
3.1.Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonderde(e)l(en) voor uitgaven
Bestaande begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
Rubriek van het meerjarige financiële kader:
|
Begrotingsonderdeel
|
Soort uitgaven
|
Bijdrage
|
|
Nummer [Rubriek………………………...……………]
|
GK/NGK
|
van EVA-landen
|
van kandidaat-lidstaten
|
van derde landen
|
in de zin van artikel 21, lid 2, onder b), van het Financieel Reglement
|
|
[XX.YY.YY.YY]
|
GK/NGK
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
Te creëren nieuwe begrotingsonderdelen
In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.
Rubriek van het meerjarige financiële kader:
|
Begrotingsonderdeel
|
Soort uitgaven
|
Bijdrage
|
|
Nummer[Rubriek………………………...……………]
|
GK/NGK
|
van EVA-landen
|
van kandidaat-lidstaten
|
van derde landen
|
in de zin van artikel 21, lid 2, onder b), van het Financieel Reglement
|
|
[XX.YY.YY.YY]
|
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
JA/NEE
|
3.2.Geraamde gevolgen voor de uitgaven
Dit voorstel heeft alleen gevolgen voor de uitgaven van instellingen en organen van de Unie. De beoordeling van de kosten in verband met dit voorstel wijst echter uit dat het geen aanzienlijke kosten voor de instellingen en organen van de Unie meebrengt.
Wat betreft de verwerkingsverantwoordelijken bij de instellingen en organen van de Unie blijkt uit de evaluatiestudie van Verordening (EG) nr. 45/2001 dat de gegevensbeschermingsactiviteiten overeenkomen met ongeveer 70 voltijdequivalenten (VTE’s), d.w.z. ongeveer 9,3 miljoen EUR per jaar. Circa 20 % van hun gegevensbeschermingsactiviteiten hebben momenteel betrekking op kennisgevingen van gegevensverwerking. Aan deze activiteiten komt door de onderhavige verordening een einde; dit levert de instellingen en organen van de Unie een besparing op van 1,922 miljoen EUR per jaar in verband met de verwerkingsverantwoordelijken. Deze besparing wordt waarschijnlijk geneutraliseerd doordat de verwerkingsverantwoordelijken meer tijd zullen moeten besteden aan de tenuitvoerlegging van de nieuwe beginselen en concepten die bij de huidige verordening worden ingevoerd.
Meer bepaald wees het in het kader van de evaluatiestudie uitgevoerde onderzoek het volgende uit:
a) de invoering van het beginsel van minimale gegevensverwerking zou minimale of geen gevolgen hebben voor de instellingen en organen van de Unie;
b) de invoering van het transparantiebeginsel zou geen significante gevolgen hebben voor de instellingen en organen van de Unie;
c) de uitbreiding van de mededelingsplicht zou meer werk meebrengen voor de verwerkingsverantwoordelijken en de gegevensbeschermingsfunctionarissen;
d) de invoering van het recht op vergetelheid zou geen significante gevolgen hebben voor de instellingen en organen van de Unie;
e) de invoering van het recht op overdraagbaarheid van gegevens zou minimale of geen gevolgen hebben voor de instellingen en organen van de Unie;
f) de invoering van effectbeoordelingen uit het oogpunt van gegevensbescherming zou een bescheiden hoeveelheid extra werk meebrengen voor de verwerkingsverantwoordelijken en de gegevensbeschermingsfunctionarissen, aangezien dit soort beoordelingen door een aantal instellingen en organen van de Unie al wordt verricht en slechts in een beperkt aantal gevallen nodig is;
g) de invoering van kennisgevingen van inbreuken in verband met persoonsgegevens zou meer werk meebrengen voor de verwerkingsverantwoordelijken, maar dergelijke inbreuken komen niet vaak voor;
h) in verscheidene instellingen en organen van de Unie wordt al gebruikgemaakt van gegevensbescherming door standaardinstellingen en door ontwerp.
Volgens de effectbeoordeling die werd uitgevoerd vóór de goedkeuring van het voorstel voor een hervormingspakket voor gegevensbescherming, zou de invoering van het beginsel van gegevensbescherming door ontwerp geen administratieve rompslomp meebrengen voor overheidsinstanties of de verwerkingsverantwoordelijken.
De kosten van het huidige netwerk van gegevensbeschermingsfunctionarissen en gegevensbeschermingscoördinatoren in de instellingen en organen van de Unie worden in de evaluatiestudie geraamd op 10,9 miljoen EUR per jaar, uitgaande van 82,9 VTE’s. Zij besteden 26 % van hun voor gegevensbeschermingstaken bestemde tijd aan activiteiten waaraan door de onderhavige verordening een einde komt, nl. het opstellen van kennisgevingen (in plaats van verwerkingsverantwoordelijken), het beoordelen en registreren van ontvangen kennisgevingen en het verrichten van voorafgaande controles. Dit leidt tot verdere besparingen van 2,834 miljoen EUR per jaar voor de instellingen en organen van de Unie. Bovendien maakt de onderhavige verordening extra besparingen mogelijk doordat instellingen en organen van de Unie activiteiten van gegevensbeschermingsfunctionarissen voortaan mogen uitbesteden, in plaats van er eigen personeel voor in te zetten.
Tegenover de besparingen in verband met de activiteiten van de gegevensbeschermingsfunctionarissen staat dat zij tijd zullen moeten uittrekken voor de ruimere mededelingsplicht, effectbeoordelingen uit het oogpunt van gegevensbescherming (in een beperkt aantal gevallen, indien nodig) en voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming (voor een veel beperkter gebied dan de huidige plicht inzake voorafgaande controle).
Het jaarlijks budget van de Europese Toezichthouder voor gegevensbescherming is al sinds 2011 redelijk stabiel en schommelt rond de 8 miljoen EUR. Momenteel tellen zijn eenheden voor Toezicht en handhaving en zijn eenheid voor Beleid en raadpleging ongeveer evenveel personeelsleden; het personeelsbestand is sinds 2008 stabiel. Enerzijds legt de onderhavige verordening grotere nadruk op de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming, anderzijds krijgt zijn adviserende taak een gerichtere invulling en komt er een einde aan de overlapping met de taken van het Europees Comité voor gegevensbescherming. Er kan dus personeel van de Europees Toezichthouder voor gegevensbescherming intern herschikt worden.
Dit voorstel voorziet in de mogelijkheid dat de Europese Toezichthouder voor gegevensbescherming instellingen en organen van de Unie geldboeten oplegt. Elke instelling en elk orgaan kan een geldboete worden opgelegd tot een maximumbedrag van 250 000 EUR per jaar (25 000 EUR per inbreuk), of 500 000 EUR per jaar (50 000 EUR per inbreuk) voor de zwaarste inbreuken op deze verordening. Dergelijke geldboeten zullen waarschijnlijk alleen in de ernstigste gevallen worden opgelegd, en pas wanneer de instelling of het orgaan van de Unie geen gevolg heeft gegeven aan andere corrigerende maatregelen van de Europese Toezichthouder voor gegevensbescherming. Naar verwachting is de financiële impact van dergelijke geldboeten dan ook beperkt.
3.2.1.Samenvatting van de geraamde gevolgen voor de uitgaven
in miljoenen euro's (tot op drie decimalen)
Rubriek van het meerjarige financiële kader
|
Nummer
|
[Rubriek……………...……………………………………………………………….]
|
DG: <…….>
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
• Beleidskredieten
|
|
|
|
|
|
|
|
|
Nummer begrotingsonderdeel
|
Vastleggingen
|
(1)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(2)
|
|
|
|
|
|
|
|
|
Nummer begrotingsonderdeel
|
Vastleggingen
|
(1a)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(2 a)
|
|
|
|
|
|
|
|
|
Uit het budget van specifieke programma's gefinancierde administratieve kredieten
|
|
|
|
|
|
|
|
|
Nummer begrotingsonderdeel
|
|
(3)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
voor DG <…….>
|
Vastleggingen
|
=1+1a +3
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=2+2a
+3
|
|
|
|
|
|
|
|
|
• TOTAAL beleidskredieten
|
Vastleggingen
|
(4)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(5)
|
|
|
|
|
|
|
|
|
•TOTAAL uit het budget van specifieke programma's gefinancierde administratieve kredieten
|
(6)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
onder RUBRIEK <….> van het meerjarige financiële kader
|
Vastleggingen
|
=4+ 6
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=5+ 6
|
|
|
|
|
|
|
|
|
Wanneer het voorstel/initiatief gevolgen heeft voor meerdere rubrieken
• TOTAAL beleidskredieten
|
Vastleggingen
|
(4)
|
|
|
|
|
|
|
|
|
|
Betalingen
|
(5)
|
|
|
|
|
|
|
|
|
•TOTAAL uit het budget van specifieke programma's gefinancierde administratieve kredieten
|
(6)
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
onder RUBRIEKEN 1 tot 4
van het meerjarige financiële kader
(referentiebedrag )
|
Vastleggingen
|
=4+ 6
|
|
|
|
|
|
|
|
|
|
Betalingen
|
=5+ 6
|
|
|
|
|
|
|
|
|
Rubriek van het meerjarige financiële kader
|
5
|
"Administratieve uitgaven"
|
in miljoenen euro's (tot op drie decimalen)
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
DG: <…….>
|
• Personele middelen
|
|
|
|
|
|
|
|
|
• Andere administratieve uitgaven
|
|
|
|
|
|
|
|
|
TOTAAL DG <….>
|
Kredieten
|
|
|
|
|
|
|
|
|
TOTAAL kredieten
onder RUBRIEK 5
van het meerjarige financiële kader
|
(totaal vastleggingen = totaal betalingen)
|
|
|
|
|
|
|
|
|
in miljoenen euro's (tot op drie decimalen)
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
TOTAAL kredieten
onder RUBRIEKEN 1 tot 5
van het meerjarige financiële kader
|
Vastleggingen
|
|
|
|
|
|
|
|
|
|
Betalingen
|
|
|
|
|
|
|
|
|
3.2.2.Geraamde gevolgen voor de beleidskredieten
Voor het voorstel/initiatief zijn geen beleidskredieten nodig
◻
Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:
Vastleggingskredieten, in miljoenen euro's (tot op drie decimalen)
Vermeld doelstellingen en outputs
⇩
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
|
OUTPUTS
|
|
Soort
|
Gem. kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Aantal
|
Kosten
|
Totaal aantal
|
Totale kosten
|
SPECIFIEKE DOELSTELLING NR. 1…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotaal voor specifieke doelstelling nr. 1
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SPECIFIEKE DOELSTELLING NR. 2…
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
- Output
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Subtotaal voor specifieke doelstelling nr. 2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
TOTALE KOSTEN
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3.2.3.Geraamde gevolgen voor de administratieve kredieten
3.2.3.1.Samenvatting
Voor het voorstel/initiatief zijn geen administratieve kredieten nodig
◻
Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:
in miljoenen euro's (tot op drie decimalen)
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
TOTAAL
|
RUBRIEK 5van het meerjarige financiële kader
|
|
|
|
|
|
|
|
|
Personele middelen
|
|
|
|
|
|
|
|
|
Andere administratieve uitgaven
|
|
|
|
|
|
|
|
|
Subtotaal RUBRIEK 5van het meerjarige financiële kader
|
|
|
|
|
|
|
|
|
Buiten RUBRIEK 5van het meerjarige financiële kader
|
|
|
|
|
|
|
|
|
Personele middelen
|
|
|
|
|
|
|
|
|
Andere administratieve uitgaven
|
|
|
|
|
|
|
|
|
Subtotaalbuiten RUBRIEK 5van het meerjarige financiële kader
|
|
|
|
|
|
|
|
|
De benodigde kredieten voor personeel en andere administratieve uitgaven zullen worden gefinancierd uit de kredieten van het DG die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
3.2.3.2.Geraamde personeelsbehoeften
Voor het voorstel/initiatief zijn geen personele middelen nodig
◻
Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:
Raming in voltijdequivalenten
|
Jaar
N
|
Jaar
N+1
|
Jaar N+2
|
Jaar N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
• Posten opgenomen in de lijst van het aantal ambten (ambtenaren en tijdelijke functionarissen)
|
|
|
XX 01 01 01 (zetel en vertegenwoordigingen van de Commissie)
|
|
|
|
|
|
|
|
XX 01 01 02 (delegaties)
|
|
|
|
|
|
|
|
XX 01 05 01 (onderzoek door derden)
|
|
|
|
|
|
|
|
10 01 05 01 (eigen onderzoek)
|
|
|
|
|
|
|
|
•Extern personeel (in voltijdequivalenten, VTE)
|
XX 01 02 01 (AC, END, INT van de "totale financiële middelen")
|
|
|
|
|
|
|
|
XX 01 02 02 (AC, AL, END, INT en JED in de delegaties)
|
|
|
|
|
|
|
|
XX 01 04 jj
|
- zetel
|
|
|
|
|
|
|
|
|
- delegaties
|
|
|
|
|
|
|
|
XX 01 05 02 (AC, END, INT – onderzoek door derden)
|
|
|
|
|
|
|
|
10 01 05 02 (AC, END, SNE – eigen onderzoek)
|
|
|
|
|
|
|
|
Ander begrotingsonderdeel (te vermelden)
|
|
|
|
|
|
|
|
TOTAAL
|
|
|
|
|
|
|
|
XX is het beleidsterrein of de begrotingstitel.
Voor de benodigde personele middelen zal een beroep worden gedaan op het personeel van het DG dat reeds voor het beheer van deze actie is toegewezen en/of binnen het DG is herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.
Beschrijving van de uit te voeren taken:
Ambtenaren en tijdelijk personeel
|
|
Extern personeel
|
|
3.2.4.Verenigbaarheid met het huidige meerjarige financiële kader
Het voorstel/initiatief is verenigbaar met het huidige meerjarige financiële kader
◻ Het voorstel/initiatief vergt herprogrammering van de betrokken rubriek van het meerjarige financiële kader
Zet uiteen welke herprogrammering nodig is, onder vermelding van de betrokken begrotingsonderdelen en de desbetreffende bedragen.
◻ Het voorstel/initiatief vergt toepassing van het flexibiliteitsinstrument of herziening van het meerjarige financiële kader
Zet uiteen wat nodig is, onder vermelding van de betrokken rubrieken en begrotingsonderdelen en de desbetreffende bedragen.
3.2.5.Bijdragen van derden
Het voorstel/initiatief voorziet niet in medefinanciering door derden
Het voorstel/initiatief voorziet in medefinanciering, zoals hieronder wordt geraamd:
Kredieten in miljoenen euro's (tot op drie decimalen)
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
Totaal
|
Medefinancieringsbron
|
|
|
|
|
|
|
|
|
TOTAAL medegefinancierde kredieten
|
|
|
|
|
|
|
|
|
3.3.Geraamde gevolgen voor de ontvangsten
Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten
◻
Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:
–◻
voor de eigen middelen
–◻
voor de diverse ontvangsten
in miljoenen euro's (tot op drie decimalen)
Begrotingsonderdeel voor ontvangsten:
|
Voor het lopende begrotingsjaar beschikbare kredieten
|
Gevolgen van het voorstel/initiatief
|
|
|
Jaar
N
|
Jaar
N+1
|
Jaar
N+2
|
Jaar
N+3
|
Invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6)
|
Artikel............
|
|
|
|
|
|
|
|
|
Voor de diverse ontvangsten die worden "toegewezen", vermeld het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.
Vermeld de wijze van berekening van de gevolgen voor de ontvangsten.