Artikel 1, lid 1, wordt vervangen door:

„1.

Deze richtlijn voorziet in de harmonisering van de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden — met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid — bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronischecommunicatieapparatuur en -diensten in de Gemeenschap.”.

Artikel 2 wordt als volgt gewijzigd:

letter c) wordt vervangen door

„c)

„locatiegegevens”: gegevens die in een elektronischecommunicatienetwerk of door een elektronischecommunicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronischecommunicatiedienst wordt aangegeven;”;

letter e) wordt geschrapt;

►C1 c)

de volgende letter wordt toegevoegd:

„i)

„inbreuk in verband met persoonsgegevens”: ◄ een inbreuk op de beveiliging die resulteert in een accidentele of onwettige vernietiging, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronischecommunicatiedienst in de Gemeenschap.”.

Artikel 3 wordt vervangen door:

„Artikel 3

Betrokken diensten

Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.”.

Artikel 4 wordt als volgt gewijzigd:

de titel wordt vervangen door:

„Beveiliging van de verwerking”;

het volgende lid wordt ingevoegd:

„1 bis.

Onverminderd Richtlijn 95/46/EG zorgen de in lid 1 bedoelde maatregelen ervoor dat in ieder geval:

—

wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

—

opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onwettige vernietiging, onbedoeld verlies of wijziging, en niet-toegestane of onwettige opslag, verwerking, toegang of vrijgave, en

—

een beveiligingsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

De bevoegde nationale instanties kunnen de door de aanbieders van openbare elektronischecommunicatiediensten genomen maatregelen controleren en aanbevelingen formuleren over beste praktijken het beveiligingspeil dat met deze maatregelen moet worden gehaald.”;

de volgende leden worden ingevoegd:

„3.

In geval van een inbreuk in verband met persoonsgegevens stelt de aanbieder van openbare elektronischecommunicatiediensten de bevoegde nationale instantie zonder onnodige vertraging in kennis van de inbreuk in verband met persoonsgegevens.

Indien de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens en persoonlijke levenssfeer van een abonnee of een individuele persoon stelt de aanbieder ook de abonnee of de individuele persoon in kwestie onverwijld van de inbreuk in kennis.

Inkennisstelling van een betrokken abonnee of individuele persoon van een inbreuk op persoonsgegevens is niet vereist wanneer de aanbieder tot voldoening van de bevoegde instantie heeft aangetoond dat hij de gepaste technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de data die bij de beveiligingsinbreuk betrokken waren. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.

Onverminderd de verplichting van de aanbieder om de betrokken abonnees en de individuele personen in kwestie in kennis te stellen, indien de aanbieder de abonnee of individuele persoon niet reeds in kennis heeft gesteld van de inbreuk in verband met persoonsgegevens, kan de bevoegde nationale instantie hem, na te hebben bezien of en welke ongunstige gevolgen uit de inbreuk voortvloeien, verzoeken dat te doen.

In de kennisgeving aan de abonnee of de individuele persoon worden ten minste de aard van de inbreuk op persoonsgegevens, alsmede de contactpunten voor meer informatie vermeld, en worden er maatregelen aanbevolen om mogelijke negatieve gevolgen van de inbreuk in verband met persoonsgegevens te verlichten. De kennisgeving aan de bevoegde nationale instantie bevat bovendien een omschrijving van de gevolgen van de inbreuk en van de door de aanbieder voorgestelde of getroffen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken.

Afhankelijk van eventuele technische tenuitvoerleggingsmaatregelen overeenkomstig lid 5 kunnen de bevoegde nationale instanties richtsnoeren en, waar nodig, instructies uitvaardigen betreffende de omstandigheden waarin de kennisgeving van de inbreuk in verband met persoonsgegevens door aanbieders noodzakelijk is, het voor deze kennisgeving toepasselijke formaat, alsmede de manier waarop de kennisgeving geschiedt. Tevens kunnen zij bijhouden of aanbieders aan hun kennisgevingsverplichtingen overeenkomstig dit lid hebben voldaan en, zo niet, dan leggen zij sancties op.

Aanbieders houden een zodanige inventaris bij van inbreuken op persoonsgegevens, o.m. de feiten in verband met deze inbreuken, de gevolgen ervan en de herstelmaatregelen die zijn genomen, dat de bevoegde nationale instanties kunnen nagaan of de bepalingen van lid 3 worden nageleefd. De inventaris bevat uitsluitend de voor dit doel noodzakelijke gegevens.

Teneinde een samenhangende tenuitvoerlegging van de in de leden 2, 3 en 4 bedoelde maatregelen te waarborgen, kan de Commissie, na raadpleging van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de bij artikel 29 van Richtlijn 95/46/EG ingestelde werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens en de Europese Toezichthouder voor gegevensbescherming, technische uitvoeringsmaatregelen aannemen in verband met, onder meer, de omstandigheden, het formaat en de procedures die gelden voor de in dit artikel bedoelde informatieverstrekkings- en kennisgevingseisen. De Commissie betrekt bij het aannemen van die maatregelen alle relevante belanghebbenden, met name om informatie in te winnen over de beste technische en economische methoden die beschikbaar zijn voor de tenuitvoerlegging van dit artikel.

Deze maatregelen, die niet-essentiële onderdelen van deze richtlijn beogen te wijzigen door haar aan te vullen, worden vastgesteld volgens de in artikel 14 bis, lid 2, bedoelde regelgevingsprocedure met toetsing.”.

In artikel 5 wordt lid 3 vervangen door:

„3.

De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”.

Artikel 6, lid 3, wordt vervangen door:

„3.

De aanbieder van een openbare elektronischecommunicatiedienst mag ten behoeve van de marketing van elektronischecommunicatiediensten of voor de levering van diensten met toegevoegde waarde de in lid 1 bedoelde gegevens verwerken voor zover en voor zolang dat nodig is voor dergelijke diensten of marketing, indien de abonnee of de gebruiker waarop de gegevens betrekking hebben daartoe zijn voorafgaande toestemming heeft gegeven. Gebruikers of abonnees kunnen hun toestemming voor de verwerking van verkeersgegevens te allen tijde intrekken.”.

Artikel 13 wordt vervangen door het volgende:

„Artikel 13

Ongewenste communicatie

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst (automatische oproepapparaten), fax of e-mail met het oog op direct marketing kan alleen worden toegestaan met betrekking tot abonnees of gebruikers die daarin vooraf hebben toegestemd.

Onverminderd lid 1 kan een natuurlijke of rechtspersoon die van zijn klanten elektronische contactgegevens voor e-mail verkrijgt in het kader van de verkoop van een product of een dienst, overeenkomstig Richtlijn 95/46/EG, die elektronische contactgegevens gebruiken voor direct marketing van eigen gelijkaardige producten of diensten mits de klanten duidelijk en expliciet de gelegenheid wordt geboden kosteloos en op gemakkelijke wijze bezwaar te maken tegen het gebruik van die elektronische contactgegevens op het ogenblik dat zij worden verzameld en, ingeval de klant zich in eerste instantie niet tegen dat gebruik heeft verzet, bij elke boodschap.

De lidstaten nemen passende maatregelen om ervoor te zorgen dat ongevraagde communicatie met het oog op direct marketing in andere dan de in de leden 1 en 2 genoemde gevallen niet toegestaan is zonder toestemming van de betrokken abonnees of gebruikers, of ten aanzien van abonnees of gebruikers die dergelijke communicatie niet wensen te ontvangen, waarbij de keuze tussen deze mogelijkheden door de nationale wetgeving wordt bepaald, met dien verstande dat beide mogelijkheden voor de abonnee of gebruiker kosteloos moeten zijn.

Het is in ieder geval verboden e-mail te verzenden met het oog op direct marketing waarbij de identiteit van de afzender namens wie de communicatie plaatsvindt, wordt gemaskeerd of verborgen, die in strijd is met artikel 6 van Richtlijn 2000/31/EG, en zonder dat een geldig adres wordt vermeld waaraan de ontvanger een verzoek tot beëindiging van dergelijke communicatie kan richten, of e-mail die ontvangers aanmoedigt websites te bezoeken die in strijd zijn met dat artikel.

Leden 1 en 3 gelden voor abonnees die natuurlijke personen zijn. De lidstaten zorgen er, in het kader van het Gemeenschapsrecht, en het toepasselijk nationaal recht tevens voor dat de rechtmatige belangen van andere abonnees dan natuurlijke personen met betrekking tot ongewenste communicatie voldoende zijn beschermd.

►C2 Onverminderd de administratieve voorzieningen die onder meer overeenkomstig artikel 15 bis, lid 2, kunnen worden genomen, zorgen de lidstaten ervoor dat natuurlijke of rechtspersonen die door inbreuken op nationale, overeenkomstig onderhavig artikel vastgestelde bepalingen benadeeld worden en derhalve een rechtmatig belang hebben bij het beëindigen of verbieden van dergelijke inbreuken, inclusief aanbieders van elektronischecommunicatiediensten die hun rechtmatige ondernemingsbelangen beschermen, rechtsvorderingen met betrekking tot dergelijke inbreuken kunnen instellen. ◄ De lidstaten kunnen tevens specifieke voorschriften vaststellen inzake sancties voor aanbieders van elektronischecommunicatiediensten die door nalatigheid bijdragen tot inbreuken op overeenkomstig dit artikel aangenomen nationale bepalingen.”.

Het volgende artikel wordt ingevoegd:

„Artikel 14 bis

Comitéprocedure

De Commissie wordt bijgestaan door het comité voor communicatie dat is ingesteld bij artikel 22 van Richtlijn 2002/21/EG (kaderrichtlijn).

Wanneer naar dit lid wordt verwezen, zijn artikel 5 bis, leden 1 tot en met 4, en artikel 7 van Besluit 1999/468/EG van toepassing, met inachtneming van artikel 8 van dat besluit.

Wanneer naar dit lid wordt verwezen, zijn artikel 5 bis, leden 1, 2, 4 en 6, en artikel 7 van Besluit 1999/468/EG van toepassing, met inachtneming van artikel 8 van dat besluit.”.

In artikel 15 wordt het volgende lid ingevoegd:

„1 ter.

Aanbieders zetten interne procedures op voor de afhandeling van verzoeken om toegang tot persoonsgegevens van gebruikers op de grondslag van nationale bepalingen die overeenkomstig lid 1 zijn aangenomen. Zij verstrekken aan de bevoegde nationale instantie op verzoek gegevens over deze procedures, het aantal ontvangen verzoeken, de aangevoerde wettelijke motivering en hun antwoord.”.

Het volgende artikel wordt ingevoegd:

„Artikel 15 bis

Uitvoering en handhaving

De lidstaten stellen de regels vast inzake de sancties in voorkomend geval met inbegrip van strafrechtelijke sancties, die van toepassing zijn op overtredingen van de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen en nemen de nodige maatregelen om de toepassing van die sancties te verzekeren. De aldus vastgestelde sancties zijn doeltreffend, evenredig en afschrikkend en kunnen worden toegepast met betrekking tot de hele periode van een overtreding, zelfs indien de overtreding vervolgens is rechtgezet. De lidstaten stellen de Commissie uiterlijk op 25 mei 2011 in kennis van die bepalingen en geven onverwijld kennis van eventuele latere wijzigingen.

Onverminderd de mogelijkheid tot beroep op de rechter zorgen de lidstaten ervoor dat de bevoegde nationale instantie en, in voorkomend geval, andere nationale organen bevoegd zijn de in lid 1 bedoelde overtredingen te doen ophouden.

De lidstaten zorgen ervoor dat de bevoegde nationale instantie en, in voorkomend geval, andere nationale organen over de nodige onderzoeksbevoegdheden en -middelen beschikken, met inbegrip van de bevoegdheid alle relevante informatie op te vragen die zij nodig kunnen hebben om de overeenkomstig deze richtlijn vastgestelde nationale bepalingen te monitoren en na te doen leven.

De bevoegde nationale instanties kunnen maatregelen goedkeuren om een doeltreffende grensoverschrijdende samenwerking bij de handhaving van de overeenkomstig deze richtlijn vastgestelde nationale wetten te waarborgen en geharmoniseerde voorwaarden te creëren voor het aanbieden van diensten waarbij grensoverschrijdende gegevensstromen betrokken zijn.

De nationale regelgevende instanties bezorgen de Commissie ruime tijd voor de goedkeuring van deze maatregelen een samenvatting van de redenen voor optreden, de geplande maatregelen en de voorgestelde aanpak. De Commissie kan na onderzoek van deze informatie en na raadpleging van het ENISA en de bij artikel 29 van Richtlijn 95/46/EG ingestelde werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, opmerkingen over deze informatie maken of aanbevelingen met betrekking tot deze informatie doen, met name om ervoor te zorgen dat de beoogde maatregelen geen negatieve gevolgen voor de werking van de gemeenschappelijke markt hebben. De nationale regelgevende instanties houden bij hun besluit over de maatregelen maximaal met de opmerkingen en aanbevelingen van de Commissie rekening.”.

Richtlĳn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie): artikel 13 (PB L 201 van 31.7.2002, blz. 37).”.

het decoderen van dergelijke signalen mogelijk te maken overeenkomstig een gemeenschappelijke Europese coderingsalgoritme zoals beheerd door een erkende Europese normalisatie-instelling, momenteel ETSI;

signalen weer te geven die ongecodeerd zijn uitgezonden, met dien verstande dat, ingeval dergelijke apparatuur wordt gehuurd, de huurder aan de desbetreffende huurovereenkomst voldoet.

		Publicatieblad
		nr.	blz.	datum
►M1	RICHTLIJN (EU) 2018/1972 VAN HET EUROPEES PARLEMENT EN DE RAAD Voor de EER relevante tekst van 11 december 2018	L 321	36	17.12.2018

►C1	Rectificatie, PB L 241, 10.9.2013, blz. 9 (2009/136/EG)
►C2	Rectificatie, PB L 162, 23.6.2017, blz. 56 (2009/136/EG)