52012PC0010

Voorstel voor een RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens /* COM/2012/010 final - 2012/0010 (COD) */


TOELICHTING

1. ACHTERGROND VAN HET VOORSTEL

In deze toelichting wordt nader ingegaan op de aanpak voor het nieuwe EU-rechtskader voor persoonsgegevensbescherming die wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het rechtskader omvat twee wetgevingsvoorstellen:

– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

Deze toelichting betreft het tweede wetgevingsvoorstel.

Richtlijn 95/46/EG[1], de hoeksteen van de huidige EU-wetgeving inzake persoonsgegevensbescherming, werd in 1995 vastgesteld en had twee doelstellingen: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen de lidstaten garanderen. De richtlijn werd aangevuld met een aantal instrumenten die specifieke gegevensbeschermingsvoorschriften bevatten inzake politiële en justitiële samenwerking in strafzaken[2] (de vroegere derde pijler), waaronder Kaderbesluit 2008/977/JBZ[3].

De Europese Raad heeft de Commissie verzocht om de werking van de EU-instrumenten inzake gegevensbescherming te beoordelen en zo nodig met nadere initiatieven van wetgevende en niet-wetgevende aard te komen[4]. In zijn resolutie over het programma van Stockholm[5] juichte het Europees Parlement een integrale regeling voor de bescherming van persoonsgegevens in de EU toe en drong het onder meer aan op herziening van het kaderbesluit. De Commissie benadrukte in haar actieplan ter uitvoering van het programma van Stockholm[6] dat het grondrecht op bescherming van de persoonlijke levenssfeer in het kader van alle EU-beleid consequent moet worden toegepast. In het Actieplan werd gesteld: “In een door snelle technologische veranderingen gekenmerkte mondiale samenleving waarin uitwisseling van informatie geen grenzen kent, is het van bijzonder belang dat de persoonlijke levenssfeer wordt beschermd. De Unie moet ervoor zorgen dat het grondrecht op bescherming van de persoonlijke levenssfeer consequent wordt toegepast. Het standpunt van de EU over de bescherming van persoonsgegevens van individuen in het kader van alle EU-beleid moet worden versterkt, ook op het gebied van rechtshandhaving en criminaliteitspreventie en in onze internationale relaties.”

In haar mededeling “Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie”[7] concludeerde de Commissie dat de EU een meer integraal en coherent beleid inzake het grondrecht op bescherming van persoonsgegevens moet ontwikkelen.

Kaderbesluit 2008/977/JBZ heeft een beperkt toepassingsgebied: het is uitsluitend van toepassing op grensoverschrijdende gegevensverwerking en niet op verwerkingsactiviteiten van de politiële en justitiële autoriteiten op zuiver nationaal niveau. Dit kan problemen veroorzaken voor de politie en andere bevoegde autoriteiten op het gebied van justitiële en politiële samenwerking in strafzaken. Het is niet altijd eenvoudig om een onderscheid te maken tussen zuiver binnenlandse en grensoverschrijdende verwerking, of te voorzien of bepaalde persoonsgegevens in een later stadium zullen worden uitgewisseld (zie punt 2). Door zijn aard en inhoud geeft het kaderbesluit de lidstaten veel speelruimte bij het vaststellen van de nationale wetgeving ter omzetting van de bepalingen ervan. Bovendien voorziet het niet in een mechanisme of in een adviesgroep, zoals de Groep gegevensbescherming artikel 29, ter ondersteuning van een gemeenschappelijke interpretatie van de bepalingen of in uitvoeringsbevoegdheden van de Commissie om een gemeenschappelijke aanpak van de tenuitvoerlegging te waarborgen.

Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) bepaalt dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de vaststelling van voorschriften inzake gegevensbescherming ingevoerd, die tevens van toepassing is op justitiële samenwerking in strafzaken en op politiële samenwerking. Bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de EU. Op grond van artikel 16 VWEU moet de wetgever tevens voorschriften vaststellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, die zowel de grensoverschrijdende als de binnenlandse verwerking van persoonsgegevens bestrijken. Dit maakt het mogelijk de fundamentele rechten en vrijheden van natuurlijke personen te beschermen, en in het bijzonder hun recht op de bescherming van persoonsgegevens, en laat bovendien de uitwisseling van persoonsgegevens toe met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Hierdoor wordt de samenwerking bij de bestrijding van criminaliteit in Europa vergemakkelijkt.

Vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken werd in Verklaring nr. 21[8] erkend dat op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.

2. RESULTATEN VAN DE RAADPLEGING VAN BELANGHEBBENDE PARTIJEN EN EFFECTBEOORDELING

Dit initiatief is het resultaat van uitgebreid overleg met alle belangrijke belanghebbenden over een herziening van het huidige rechtskader voor de bescherming van persoonsgegevens. Dit overleg omvatte twee fasen van openbare raadpleging:

– van 9 juli tot en met 31 december 2009 de raadpleging over het rechtskader voor het grondrecht op bescherming van persoonsgegevens. De Commissie ontving 168 reacties: 127 van particulieren, bedrijfsorganisaties en verenigingen en 12 van overheden. De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie[9].

– van 4 november 2010 tot en met 15 januari 2011 de raadpleging over integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie. De Commissie ontving 305 reacties: 54 van burgers, 31 van overheden en 220 van particuliere organisaties, met name bedrijfsorganisaties en niet-gouvernementele organisaties. De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie[10].

Deze raadplegingen hadden vooral betrekking op de herziening van Richtlijn 95/46/EG, maar tegelijkertijd werd gericht overleg gevoerd met belanghebbenden op het gebied van de rechtshandhaving: onder andere werd op 29 juni 2010 met de autoriteiten van de lidstaten een workshop gehouden over de toepassing van de gegevensbeschermingsvoorschriften op de overheid, onder meer op het gebied van de politiële en justitiële samenwerking in strafzaken. Op 2 februari 2011 hield de Commissie een werkshop met de autoriteiten van de lidstaten over de tenuitvoerlegging van Kaderbesluit 2008/977/JBZ en meer in het algemeen over gegevensbeschermingskwesties met betrekking tot de politiële en justitiële samenwerking in strafzaken.

De mening van de EU-burgers werd gepeild met een Eurobarometerenquête in november-december 2010[11]. Er werd ook opdracht gegeven voor een aantal studies[12]. De Groep gegevensbescherming artikel 29[13] heeft adviezen uitgebracht en nuttige input geleverd aan de Commissie[14]. De Europese Toezichthouder voor gegevensbescherming heeft een breed advies uitgebracht over de problemen die in de mededeling van de Commissie van november 2010 aan de orde waren gesteld[15].

Het Europees Parlement heeft bij zijn resolutie van 6 juli 2011 zijn goedkeuring gehecht aan een verslag waarbij het instemde met de aanpak van de Commissie voor de hervorming van het gegevensbeschermingskader[16]. De Raad van de Europese Unie heeft op 24 februari 2011 conclusies goedgekeurd waarin hij in grote lijnen akkoord ging met het voornemen van de Commissie om het kader voor gegevensbescherming te hervormen en instemde met een groot aantal onderdelen van de aanpak van de Commissie. Ook het Europees Economisch en Sociaal Comité steunde het algemene streven van de Commissie naar een consequentere toepassing van de EU-voorschriften inzake gegevensbescherming door alle lidstaten en een passende herziening van Richtlijn 95/46/EG[17].

In overeenstemming met haar beleid voor een betere regelgeving heeft de Commissie een effectbeoordeling van beleidsalternatieven uitgevoerd[18]. De effectbeoordeling werd verricht op basis van drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken, de uitoefening van gegevensbeschermingsrechten effectiever maken en een breed, samenhangend kader tot stand brengen voor alle gebieden die onder de bevoegdheid van de Unie vallen, waaronder politiële samenwerking en justitiële samenwerking in strafzaken. In het bijzonder voor laatstgenoemde doelstelling werden twee beleidsopties beoordeeld. De eerste behelst in wezen dat de voorschriften inzake gegevensbescherming worden uitgebreid en de lacunes en andere problemen in verband met het kaderbesluit worden aangepakt; de tweede optie gaat veel verder en omvat de invoering van uiterst normatieve en stringente regels in, waardoor ook alle voormalige derdepijlerinstrumenten meteen moeten worden gewijzigd. Een derde “minimalistische” beleidsoptie, die vooral uitging van interpretatieve mededelingen van de Commissie en beleidsondersteunende maatregelen zoals financieringsprogramma’s en technische instrumenten, met een minimale wijziging van de wetgeving, werd niet geschikt bevonden om de problemen met betrekking tot de bewaring van gegevens op dit terrein op te lossen.

Volgens de gebruikelijke methode van de Commissie is met de steun van een interdepartementale stuurgroep voor elke beleidsoptie beoordeeld welke bijdrage die levert tot de verwezenlijking van de beleidsdoelen, wat de economische gevolgen voor de belanghebbenden (en de gevolgen voor de begroting van de EU-instellingen) zijn, wat de sociale gevolgen zijn en wat de gevolgen voor de grondrechten zijn. Er is niet naar milieugevolgen gekeken.

Aan de hand van de algemene effectanalyse is de in dit voorstel opgenomen voorkeursoptie verder uitgewerkt. Volgens de beoordeling zal de tenuitvoerlegging daarvan leiden tot een betere bescherming van persoonsgegevens op dit beleidsgebied, met name doordat nu ook binnenlandse verwerking onder het toepassingsgebied valt. Dit vergroot de rechtszekerheid voor de bevoegde autoriteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

De Raad voor effectbeoordeling heeft op 9 september 2011 advies uitgebracht over deze effectbeoordeling. Naar aanleiding van het advies van de Raad voor effectbeoordeling is de effectbeoordeling als volgt gewijzigd:

– de doelstellingen van het huidige wetgevingskader (in welk opzicht deze doelstellingen zijn bereikt en in welk opzicht niet) en de doelstellingen van de voorgenomen hervorming werden verduidelijkt;

– aan de passage betreffende de probleemstelling werden meer gegevens en extra verduidelijkingen en uitleg toegevoegd.

De Commissie heeft voorts overeenkomstig artikel 29, lid 2, van Kaderbesluit 2008/977/JBZ een verslag over de uitvoering van dat kaderbesluit opgesteld, dat als onderdeel van het gegevensbeschermingspakket moet worden goedgekeurd[19]. Van de bevindingen van het verslag, dat op basis van input van de lidstaten is opgesteld, is ook gebruikgemaakt voor de effectbeoordeling.

3. JURIDISCHE ELEMENTEN VAN HET VOORSTEL 3.1. Rechtsgrondslag

Het voorstel is gebaseerd op artikel 16, lid 2, VWEU, een nieuwe specifieke bepaling die in het Verdrag van Lissabon is opgenomen met het oog op de vaststelling van voorschriften betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van het Unierecht vallen, alsook voorschriften betreffende het vrije verkeer van dergelijke gegevens.

Het voorstel beoogt een consequent hoog niveau van gegevensbescherming op dit gebied te verzekeren, teneinde het wederzijds vertrouwen van de politiële en justitiële autoriteiten van de verschillende lidstaten te versterken en het vrije verkeer van gegevens en de samenwerking tussen die autoriteiten te bevorderen.

3.2. Subsidiariteit en evenredigheid

Volgens het subsidiariteitsbeginsel (artikel 5, lid 3, VEU) dient de Unie slechts op te treden indien en voor zover de doelstellingen van het overwogen optreden niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de Unie kunnen worden bereikt. In het licht van de hierboven aangekaarte problemen geeft de subsidiariteitsanalyse aan dat op het gebied van politie en strafrecht om de volgende redenen actie moet worden ondernomen op EU-niveau:

– Het recht op de bescherming van persoonsgegevens, dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU en in artikel 16, lid 1, VWEU, vereist dat in de hele Unie persoonsgegevens in dezelfde mate worden beschermd. Hetzelfde beschermingsniveau moet gelden voor uitgewisselde gegevens en voor in het binnenland verwerkte gegevens.

– De rechtshandhavingsautoriteiten in de lidstaten moeten steeds vaker en sneller gegevens verwerken en uitwisselen met het oog op de voorkoming en bestrijding van grensoverschrijdende criminaliteit en terrorisme. Duidelijke en consequente EU-voorschriften voor gegevensbescherming vergemakkelijken daarbij de samenwerking tussen die autoriteiten.

Er doen zich bovendien praktische problemen voor bij de handhaving van de wetgeving inzake gegevensbescherming en de samenwerking tussen de lidstaten en hun autoriteiten. Een en ander moet op EU-niveau worden geregeld om de eenvormige toepassing van het Unierecht te waarborgen. In bepaalde situaties is de EU het beste in staat om doeltreffende en consequente garanties te bieden voor een gelijk beschermingsniveau bij de doorgifte van persoonsgegevens naar derde landen.

– De problemen met de huidige regeling kunnen niet door de lidstaten afzonderlijk worden verholpen, zeker niet als die problemen te wijten zijn aan de fragmentatie van de nationale wetgevingen. Er is dus een specifieke noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen waardoor vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd.

– Gezien de aard en de omvang van de problemen, die niet beperkt blijven tot één of meer lidstaten, is de voorgestelde EU-maatregel waarschijnlijk doeltreffender dan soortgelijke maatregelen die door de lidstaten worden genomen.

Overeenkomstig het evenredigheidsbeginsel moet optreden doelgericht zijn en mag het niet verder gaan dan wat noodzakelijk is om de doelstellingen te verwezenlijken. Dit beginsel is gevolgd vanaf de identificatie en evaluatie van alternatieve beleidsopties tot het opstellen van dit wetgevingsvoorstel.

Het beste instrument om op dit gebied op EU-niveau tot harmonisatie te komen en tegelijkertijd de lidstaten de nodige flexibiliteit te geven bij de tenuitvoerlegging van de beginselen, voorschriften en uitzonderingen daarop op nationaal niveau, is daarom een richtlijn. Gezien de complexiteit van de huidige nationale voorschriften inzake de bescherming van persoonsgegevens die in het kader van de politiële en justitiële samenwerking in strafzaken worden verwerkt, en de doelstelling deze voorschriften door middel van een richtlijn volledig te harmoniseren, zal de Commissie de lidstaten moeten verzoeken om het verband tussen de onderdelen van de richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten nader toe te lichten, om haar in staat te stellen toezicht te houden op de omzetting van deze richtlijn.

3.3. Samenvatting van eventuele problemen in verband met de grondrechten

Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU en in artikel 16 VWEU, alsook in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond[20], heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd[21]. Er is een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd. Dat blijkt ook uit artikel 1, lid 1, van Richtlijn 95/46/EG, waarin wordt bepaald dat de lidstaten in verband met de verwerking van persoonsgegevens de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, moeten waarborgen.

Andere in het Handvest vastgelegde grondrechten die mogelijk in het geding zijn, zijn het verbod op discriminatie op grond van onder meer ras, etnische afkomst, genetische kenmerken, godsdienst of overtuiging, politieke of andere denkbeelden, een handicap of seksuele gerichtheid (artikel 21), de rechten van het kind (artikel 24) en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).

3.4. Nadere uitleg van het voorstel 3.4.1. HOOFDSTUK I – ALGEMENE BEPALINGEN

In artikel 1 wordt het onderwerp van de richtlijn bepaald, namelijk dat deze voorschriften bevat betreffende de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en wordt het tweeledige doel van de richtlijn vastgesteld, namelijk de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen en in het bijzonder hun recht op de bescherming van persoonsgegevens terwijl een hoog niveau van openbare veiligheid wordt gegarandeerd, en de facilitering van de uitwisseling van persoonsgegevens door de bevoegde autoriteiten in de Unie.

In artikel 2 wordt het toepassingsgebied van de richtlijn aangegeven. Het toepassingsgebied is niet beperkt tot grensoverschrijdende gegevensverwerking, maar bestrijkt alle verwerkingsactiviteiten die “bevoegde autoriteiten” (zoals gedefinieerd in artikel 3, punt 14) voor de toepassing van de richtlijn uitvoeren. De richtlijn is niet van toepassing op gegevensverwerking in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen of op gegevensverwerking door instellingen, organen en instanties van de Unie, die geregeld wordt bij Verordening (EG) nr. 45/2001 en andere specifieke wetgeving.

Artikel 3 bevat de definities van de termen die in de richtlijn worden gebruikt. Een aantal definities is overgenomen uit Richtlijn 95/49/EG en Kaderbesluit 2008/977/JBZ, terwijl andere definities zijn gewijzigd, aangevuld of nieuw ingevoerd. De nieuw gedefinieerde termen zijn “inbreuk in verband met persoonsgegevens”, “genetische gegevens”, “biometrische gegevens”, “bevoegde autoriteiten” (op basis van artikel 87 VWEU en artikel 2, onder h), van Kaderbesluit 2008/977/JBZ) en “kind” (op basis van het VN-verdrag inzake de rechten van het kind[22]).

3.4.2. HOOFDSTUK II – BEGINSELEN

In artikel 4 worden de beginselen inzake de verwerking van persoonsgegevens geformuleerd, op basis van artikel 6 van Richtlijn 95/46/EG en artikel 3 van Kaderbesluit 2008/977/JBZ, maar aangepast aan de context van onderhavige richtlijn.

Artikel 5 vereist dat zo veel mogelijk een onderscheid wordt gemaakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen. Dit is een nieuwe bepaling die noch in Richtlijn 95/46/EG, noch in Kaderbesluit 2008/977/JBZ voorkomt, hoewel zij wel was opgenomen in het oorspronkelijke voorstel van de Commissie voor het kaderbesluit[23]. De bepaling is geïnspireerd op aanbeveling R (87) 15 van het Comité van ministers van de Raad van Europa. Soortgelijke regels gelden al voor Europol[24] en Eurojust[25].

Artikel 6 betreffende verschillende graden van juistheid en betrouwbaarheid is in overeenstemming met beginsel 3.2 van aanbeveling R (87) 15 van het Comité van ministers van de Raad van Europa. Soortgelijke voorschriften, die ook al in het Commissievoorstel voor het kaderbesluit stonden, gelden ten aanzien van Europol[26].

In artikel 7 worden de gronden voor rechtmatige verwerking vastgesteld. Verwerking is rechtmatig wanneer zij noodzakelijk is voor het uitvoeren van een taak door een bevoegde autoriteit overeenkomstig het nationale recht, om aan een wettelijke verplichting voor de voor de verwerking verantwoordelijke te voldoen, om de vitale belangen van de betrokkene of van een andere persoon te verdedigen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden. De overige in artikel 7 van Richtlijn 95/46/EG genoemde gronden voor rechtmatige verwerking zijn niet van toepassing op verwerking in een politieel of strafrechtelijk kader.

Artikel 8 bevat een algemeen verbod op de verwerking van bijzondere categorieën persoonsgegevens en uitzonderingen op die algemene regel. Het is gebaseerd op artikel 8 van Richtlijn 95/46/EG en voegt daaraan, overeenkomstig de jurisprudentie van het Europees Hof voor de rechten van de mens, genetische gegevens toe[27].

Artikel 9 verbiedt maatregelen die uitsluitend op geautomatiseerde verwerking van persoonsgegevens berusten, tenzij zulks is toegestaan bij een wet die passende waarborgen biedt, in overeenstemming met artikel 7 van Kaderbesluit 2008/977/JBZ.

3.4.3. HOOFDSTUK III – RECHTEN VAN DE BETROKKENE

Artikel 10 bepaalt dat de lidstaten transparante, eenvoudig toegankelijke en begrijpelijke informatie moeten verstrekken (een verplichting die met name is ingegeven door beginsel 10 van de Resolutie van Madrid over internationale normen voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer[28]) en dat voor de verwerking verantwoordelijken moeten voorzien in procedures en mechanismen ter vergemakkelijking van de uitoefening van de rechten van de betrokkene. Ook wordt hier bepaald dat de betrokkene zijn rechten in beginsel moet kunnen uitoefenen zonder dat daaraan kosten verbonden zijn.

Artikel 11 bepaalt dat de lidstaten verplicht zijn de betrokkene bepaalde informatie te verstrekken. De verplichtingen in dezen zijn gebaseerd op de artikelen 10 en 11 van Richtlijn 95/46/EG, maar de bepalingen inzake informatie die van de betrokkene afkomstig is en die welke uit andere bron komt, zijn nu samengevoegd in één artikel en de te verstrekken informatie is uitgebreid. Het artikel bevat uitzonderingen op de informatieplicht indien die uitzonderingen evenredig zijn met hun doel en in een democratische samenleving noodzakelijk zijn voor de uitoefening van de taken van de bevoegde autoriteiten (geïnspireerd op artikel 13 van Richtlijn 95/46/EG en artikel 17 van Kaderbesluit 2008/977/JBZ).

Artikel 12 verplicht de lidstaten ertoe om te voorzien in het recht van de betrokkene op toegang tot zijn persoonsgegevens. Dit artikel is gebaseerd op artikel 12, onder a), van Richtlijn 95/46/EG, waaraan nieuwe elementen zijn toegevoegd. Zo moet de betrokkene worden gewezen op de opslagtermijn, het recht van rectificatie, wissen, beperking van de gegevensverwerking en het recht om een klacht in te dienen.

Artikel 13 bepaalt dat de lidstaten wetgeving mogen vaststellen waarbij het recht van toegang wordt beperkt indien de specifieke aard van de gegevensverwerking in het kader van politie en strafrecht zulks vereist. Het artikel bevat voorts bepalingen over de informatieverstrekking aan de betrokkene inzake de beperking van het toegangsrecht, op basis van artikel 17, leden 2 en 3, van Kaderbesluit 2008/977/JBZ.

Artikel 14 bevat de regel dat de betrokkene, wanneer de directe toegang beperkt is, moet worden ingelicht over de mogelijkheid om indirect toegang te verkrijgen via de toezichthoudende autoriteit. Deze dient dan het toegangsrecht namens de betrokkene uit te oefenen en deze in te lichten over het resultaat van haar verificatie.

Artikel 15 over het recht van rectificatie is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ.

Artikel 16 over het recht om gegevens te laten wissen is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG en, wat de verplichtingen bij weigering betreft, op artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ. Dit artikel betreft ook het recht om de verwerking in bepaalde gevallen te laten “markeren”. Deze term komt in de plaats van de dubbelzinnige term “afscherming” die in artikel 12, onder b), van Richtlijn 95/46/EG en artikel 18, lid 1, van Kaderbesluit 2008/977/JBZ wordt gebruikt.

Artikel 17 inzake rectificatie, uitwissing en beperking van de verwerking bij gerechtelijke procedures biedt een helderder formulering op basis van artikel 4, lid 4, van Kaderbesluit 2008/977/JBZ.

3.4.4. HOOFDSTUK IV – VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER 3.4.4.1. AFDELING 1 – ALGEMENE VERPLICHTINGEN

Artikel 18 omschrijft de verplichting van de voor de verwerking verantwoordelijke om de richtlijn na te leven en op de naleving ervan toe te zien, onder meer door daarvoor beleid en mechanismen vast te stellen.

Artikel 19 bepaalt dat de lidstaten erop moeten toezien dat de voor de verwerking verantwoordelijke voldoet aan de verplichtingen die voortvloeien uit de beginselen inzake privacy by design en privacy by default.

Artikel 20 verduidelijkt de status van gemeenschappelijk voor de verwerking verantwoordelijken wat betreft hun onderlinge verhouding.

Artikel 21 verduidelijkt de positie en de verplichtingen van verwerkers. Deze bepaling is deels gebaseerd op artikel 17, lid 2, van Richtlijn 95/46/EG, maar is uitgebreid met nieuwe elementen. Zo moet een verwerker die niet uitsluitend op instructie van de voor de verwerking verantwoordelijke handelt, als een gemeenschappelijk voor de verwerking verantwoordelijke worden beschouwd.

Artikel 22 heeft betrekking op verwerking onder het gezag van de voor de verwerking verantwoordelijke en de verwerker. Het artikel is gebaseerd op artikel 16 van Richtlijn 95/46/EG.

Bij artikel 23 worden voor de verwerking verantwoordelijken en verwerkers ertoe verplicht alle verwerkingssystemen en procedures die onder hun verantwoordelijkheid vallen, te documenteren.

Artikel 24 betreft het bijhouden van een registratie, zoals bedoeld in artikel 10, lid 1, van Kaderbesluit 2008/977/JBZ, en biedt verdere verduidelijking daaromtrent.

Artikel 25 verduidelijkt de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker bij de samenwerking met de toezichthoudende autoriteit.

Artikel 26 betreft de gevallen waarin vóór de verwerking plaatsvindt, overleg met de toezichthoudende autoriteit verplicht is, en is gebaseerd op artikel 23 van Kaderbesluit 2008/977/JBZ.

3.4.4.2. ARTIKEL 2 – BEVEILIGING VAN GEGEVENS

Artikel 27 betreffende de beveiliging van de verwerking is gebaseerd op artikel 17, lid 1, van Richtlijn 95/46/EG en artikel 22 van Kaderbesluit 2008/977/JBZ, maar breidt de verplichtingen op dat gebied uit tot verwerkers, ongeacht hun contract met de voor de verwerking verantwoordelijke.

Bij de artikelen 28 en 29 wordt de verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden. Deze bepaling is geïnspireerd op artikel 4, lid 3, van Richtlijn 2002/58/EG (e-privacyrichtlijn). De bepaling wordt verduidelijkt en de verplichting om de toezichthoudende autoriteit in kennis te stellen (artikel 28) wordt gescheiden van de verplichting om in bepaalde omstandigheden de betrokkene in te lichten (artikel 29). Artikel 29 voorziet ook in een uitzonderingsbepaling waarin wordt verwezen naar artikel 11, lid 4.

3.4.4.3. AFDELING 3 – FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 30 bepaalt dat de voor de verwerking verantwoordelijke verplicht is een functionaris voor gegevensverwerking te benoemen, die belast wordt met de in artikel 32 genoemde taken. Wanneer een aantal bevoegde autoriteiten handelt onder toezicht van een centrale autoriteit die als voor de verwerking verantwoordelijke optreedt, dient in ieder geval deze centrale autoriteit een functionaris voor gegevensverwerking te benoemen. Artikel 18, lid 2, van de Richtlijn 95/46/EG bepaalde dat lidstaten het vereiste inzake algemene kennisgeving door een dergelijke verplichting mochten vervangen.

In artikel 31 wordt de positie van de functionaris voor gegevensbescherming geregeld.

Artikel 32 bepaalt de taken van de functionaris voor gegevensbescherming.

3.4.5. HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 33 bepaalt de algemene beginselen voor de doorgifte van gegevens naar derde landen en internationale organisaties op het gebied van politiële samenwerking en justitiële samenwerking in strafzaken, alsook voor verdere doorgifte. Het artikel preciseert dat doorgifte naar derde landen slechts mag plaatsvinden indien dit noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen.

Artikel 34 bepaalt dat doorgifte naar een derde land is toegestaan ofwel wanneer de Commissie ten aanzien van dat land overeenkomstig Verordening nr. …/…/201X een besluit heeft vastgesteld waarbij het beschermingsniveau passend wordt verklaard, dan wel een besluit dat specifiek betrekking heeft op politiële samenwerking of justitiële samenwerking in strafzaken, ofwel, bij ontstentenis van dergelijke besluiten, wanneer passende garanties worden geboden. De richtlijn zorgt ervoor dat wanneer er nog geen besluit is vastgesteld waarbij het beschermingsniveau passend is verklaard, de doorgifte kan blijven plaatsvinden op basis van passende garanties en afwijkingsbepalingen. Voorts wordt bepaald aan de hand van welke criteria de Commissie beoordeelt of het beschermingsniveau al dan niet passend is, waarbij uitdrukkelijk de rechtsstaat, de toegang tot rechtsmiddelen en onafhankelijk toezicht in aanmerking worden genomen. Het artikel voorziet ook in de mogelijkheid dat de Commissie het beschermingsniveau beoordeelt dat door een gebied of een verwerkingssector in een derde land geboden wordt. Een algemeen besluit waarbij een beschermingsniveau passend wordt verklaard, dat volgens de procedure van artikel 38 van de algemene verordening gegevensbescherming is vastgesteld, is ook binnen de werkingssfeer van deze richtlijn van toepassing. Ook kan de Commissie specifiek voor de toepassing van deze richtlijn een besluit vaststellen waarbij een beschermingsniveau passend wordt verklaard.

Artikel 35 bepaalt welke passende garanties moeten worden geboden voordat een internationale doorgifte is toegestaan, indien de Commissie geen besluit heeft vastgesteld waarbij een beschermingsniveau passend is verklaard. Deze garanties kunnen worden geboden door een juridisch bindend instrument zoals een internationale overeenkomst. Ook kan de voor de verwerking verantwoordelijke op grond van een beoordeling van de omstandigheden van de doorgifte ervan uitgaan dat dergelijke passende garanties bestaan.

Artikel 36 voorziet in uitzonderingsbepalingen voor gegevensdoorgifte en is gebaseerd op artikel 26 van Richtlijn 95/46/EG en artikel 13 van Kaderbesluit 2008/977/JBZ.

Volgens artikel 37 moeten de lidstaten bepalen dat de voor de verwerking verantwoordelijke de ontvanger van de gegevens moet inlichten over eventuele beperkingen voor de verwerking en alle redelijke maatregelen moet nemen om te waarborgen dat ontvangers van persoonsgegevens in het betrokken derde land of de betrokken internationale organisatie zich aan deze beperkingen houden.

Artikel 38 voorziet uitdrukkelijk in internationale mechanismen voor samenwerking inzake de bescherming van persoonsgegevens tussen de Commissie en de toezichthoudende autoriteiten van derde landen, met name die waarvan het beschermingsniveau als passend is beoordeeld, rekening houdende met de aanbeveling van de OESO van 12 juni 2007 inzake grensoverschrijdende samenwerking bij de handhaving van wetgeving ter bescherming van de persoonlijke levenssfeer.

3.4.6. HOOFDSTUK VI – NATIONALE TOEZICHTHOUDENDE AUTORITEITEN 3.4.6.1. AFDELING 1 – ONAFHANKELIJKHEID

Artikel 39 verplicht de lidstaten ertoe een toezichthoudende autoriteit op te richten en is gebaseerd op artikel 28, lid 1, van Richtlijn 95/46/EG en artikel 25 van Kaderbesluit 2008/977/JBZ. De taakomschrijving van deze autoriteiten wordt uitgebreid: zo moeten zij bijdragen tot een consequente toepassing van de richtlijn in de gehele Unie. De toezichthoudende autoriteit die bij de algemene verordening gegevensbescherming is opgericht, kan ook optreden als de toezichthoudende autoriteit voor deze richtlijn.

Artikel 40 verduidelijkt de voorwaarden voor de onafhankelijkheid van de toezichthoudende autoriteit. Het artikel volgt de jurisprudentie van het Hof van Justitie van de EU[29] en is ook geïnspireerd op artikel 44 van Verordening (EG) nr. 45/2001[30].

Artikel 41 stelt algemene voorwaarden vast voor de leden van de toezichthoudende autoriteit. Het artikel volgt de jurisprudentie van het Hof van Justitie van de EU[31] en is ook geïnspireerd op artikel 42, leden 2 tot en met 6, van Verordening (EG) nr. 45/2001.

Artikel 42 bevat voorschriften voor de oprichting van de toezichthoudende autoriteit en de voorwaarden voor de leden ervan, die de lidstaten bij de wet moeten vaststellen.

Artikel 43 betreffende het beroepsgeheim van de leden en het personeel van de toezichthoudende autoriteit is gebaseerd op artikel 28, lid 7, van Richtlijn 95/46/EG en artikel 25, lid 4, van Kaderbesluit 2008/977/JBZ.

3.4.6.2. AFDELING 2 – TAKEN EN BEVOEGDHEDEN

Artikel 44 stelt de competentie van de toezichthoudende autoriteiten vast en is gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG en artikel 25, lid 1, van Kaderbesluit 2008/977/JBZ. Rechtbanken zijn in het kader van hun gerechtelijke taken niet onderworpen aan het toezicht van de toezichthoudende autoriteit, maar wel aan de toepassing van de materiële voorschriften inzake gegevensbescherming.

Artikel 45 bepaalt dat de lidstaten de taken van de toezichthoudende autoriteit vaststellen. Daartoe behoren het kennisnemen en onderzoeken van klachten en het voorlichten van het publiek over de risico’s, voorschriften, garanties en rechten. Deze richtlijn verleent aan de toezichthoudende autoriteiten de bijzondere taak om namens de betrokkene het toegangsrecht uit te oefenen, wanneer directe toegang is geweigerd of beperkt, en de rechtmatigheid van de gegevensverwerking te toetsen.

Artikel 46 stelt de bevoegdheden van de toezichthoudende autoriteit vast en is gebaseerd op artikel 28, lid 3, van Richtlijn 95/46/EG en artikel 25, leden 2 en 3, van Kaderbesluit 2008/977/JBZ. Artikel 47 bepaalt dat de toezichthoudende autoriteiten een jaarlijks activiteitenverslag opstellen en is gebaseerd op artikel 28 van Richtlijn 95/46/EG.

3.4.7. HOOFDSTUK VII – SAMENWERKING

Artikel 48 bevat voorschriften over de verplichting tot wederzijdse bijstand, terwijl in artikel 28, lid 6, van Richtlijn 95/46/EG slechts een algemene, niet nader gespecificeerde verplichting tot samenwerking was vervat.

Artikel 49 bepaalt dat het Europees Comité voor gegevensbescherming, dat bij de algemene verordening gegevensbescherming is opgericht, zijn taken tevens uitvoert met betrekking tot verwerkingsactiviteiten die onder deze richtlijn vallen. Met het oog op aanvullende ondersteuning vraagt de Commissie, via een deskundigengroep inzake de rechtshandhavingsaspecten van gegevensbescherming, advies van vertegenwoordigers van autoriteiten van de lidstaten die bevoegd zijn voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en van vertegenwoordigers van Europol en Eurojust.

3.4.8. HOOFDSTUK VIII – BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES

Artikel 50 voorziet in het recht van elke betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit. Het is gebaseerd op artikel 28, lid 4, van Richtlijn 95/46/EG en is van toepassing op elke inbreuk op de richtlijn ten aanzien van de klager. Het artikel bepaalt tevens welke instanties, organisaties of verenigingen een klacht mogen indienen namens de betrokkene, of betreffende een inbreuk in verband met persoonsgegevens, die losstaat van een klacht van een betrokkene.

Artikel 51 betreft het recht om tegen een toezichthoudende autoriteit beroep bij de rechter in te stellen. Het bouwt voort op de algemene bepaling van artikel 28, lid 3, van de Richtlijn 95/46/EG en bepaalt uitdrukkelijk dat de betrokkene de rechter kan verzoeken de toezichthoudende autoriteit te gelasten gevolg te geven aan een klacht.

Artikel 52 voorziet in rechtsmiddelen tegen een voor de verwerking verantwoordelijke of een verwerker. Het is gebaseerd op artikel 22 van Richtlijn 95/46/EG en artikel 20 van Kaderbesluit 2008/977/JBZ.

Artikel 53 bevat gemeenschappelijke voorschriften voor gerechtelijke procedures, waaronder de rechten van instanties, organisaties of verenigingen om betrokkenen in rechte te vertegenwoordigen en het recht van toezichthoudende instanties om gerechtelijke procedures aan te spannen. De verplichting voor de lidstaten om te voorzien in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen is geïnspireerd op artikel 18, lid 1, van de richtlijn inzake elektronische handel (Richtlijn 2000/31/EG) [32].

Artikel 54 verplicht de lidstaten ertoe te voorzien in een recht op schadevergoeding. Het is gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG en artikel 19, lid 1, van Kaderbesluit 2008/977/JBZ, maar breidt dit recht uit tot schade door toedoen van verwerkers en verduidelijkt de aansprakelijkheid van gemeenschappelijk voor de verwerking verantwoordelijken en gezamenlijke verwerkers.

Artikel 55 verplicht de lidstaten ertoe voorschriften vast te stellen inzake sancties om inbreuken op deze richtlijn te bestraffen, en toe te zien op de tenuitvoerlegging van die sancties.

3.4.9. HOOFDSTUK IX – GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 56 bevat standaardbepalingen inzake de uitvoering van bevoegdheidsdelegaties overeenkomstig artikel 290 VWEU. Dit artikel biedt de wetgever de mogelijkheid om aan de Commissie de bevoegdheid over te dragen niet-wetgevingshandelingen van algemene strekking vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van een wetgevingshandeling (quasiwetgevingshandelingen).

Artikel 57 voorziet in de vereiste comitéprocedure om aan de Commissie uitvoeringsbevoegdheden toe te kennen in gevallen waarin het nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd, zoals bedoeld in artikel 291 VWEU. De onderzoeksprocedure is van toepassing.

3.4.10. HOOFDSTUK X – SLOTBEPALINGEN

Bij artikel 58 wordt Kaderbesluit 2008/977/JBZ van de Raad ingetrokken.

Artikel 59 stelt vast dat in handelingen van de Unie opgenomen specifieke bepalingen betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die de verwerking van persoonsgegevens of de toegang tot informatiesystemen regelen die binnen de werkingssfeer van deze richtlijn vallen, onverlet worden gelaten.

Artikel 60 verduidelijkt hoe deze richtlijn zich verhoudt tot eerder door de lidstaten gesloten internationale overeenkomsten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

Artikel 61 verplicht de Commissie ertoe de tenuitvoerlegging van de richtlijn te evalueren en daarover verslag uit te brengen, teneinde te beoordelen of de in artikel 59 bedoelde eerder vastgestelde specifieke bepalingen aan deze richtlijn moeten worden aangepast.

Artikel 62 verplicht de lidstaten ertoe de richtlijn in hun nationale recht om te zetten en de Commissie mee te delen welke bepalingen zij hebben vastgesteld om aan deze richtlijn te voldoen.

Artikel 63 stelt de datum van inwerkingtreding van de richtlijn vast.

Artikel 64 stelt de adressaten van de richtlijn vast.

4. GEVOLGEN VOOR DE BEGROTING

Het financieel memorandum bij het voorstel voor de algemene verordening gegevensbescherming betreft de gevolgen voor de begroting van zowel die verordening als deze richtlijn.

2012/0010 (COD)

Voorstel voor een

RICHTLIJN VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming[33],

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1) De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie heeft eenieder het recht op bescherming van zijn persoonsgegevens.

(2) De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, hun fundamentele rechten en vrijheden te eerbiedigen, en in het bijzonder hun recht op bescherming van hun persoonsgegevens. Hiermee dient te worden bijgedragen tot de totstandkoming van een gebied van vrijheid, veiligheid en recht.

(3) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is spectaculair gestegen. Door technologie kunnen bevoegde autoriteiten bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens.

(4) Dit maakt het noodzakelijk het vrije verkeer van gegevens tussen bevoegde autoriteiten binnen de Unie en de doorgifte naar derde landen en internationale organisaties te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen. Deze ontwikkelingen maken het noodzakelijk in de Unie een solide en coherenter kader voor de bescherming van persoonsgegevens tot stand te brengen, ondersteund met robuuste handhaving.

(5) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens[34] is van toepassing op alle gegevensverwerkingsactiviteiten in de lidstaten, zowel bij de overheid als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens “die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt”, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(6) Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken[35] is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten.

(7) Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequent en hoog niveau van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd en dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardig niveau van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken, maar ook gelijke bevoegdheden inzake toezicht en handhaving van de voorschriften inzake de bescherming van persoonsgegevens in de lidstaten.

(8) Overeenkomstig artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens

(9) Op die basis worden bij Verordening (EU) nr. …/2012 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) algemene voorschriften vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.

(10) In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 van het Verdrag betreffende de werking van de Europese Unie nodig zouden kunnen blijken.

(11) In een afzonderlijke richtlijn dient derhalve rekening te worden gehouden met de specifieke aard van deze gebieden en dienen voorschriften te worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

(12) Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van wettelijk afdwingbare rechten en te voorkomen dat verschillen de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, dient de richtlijn te voorzien in geharmoniseerde voorschriften betreffende de bescherming en het vrije verkeer van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(13) Deze richtlijn biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(14) De bescherming die door deze richtlijn wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.

(15) De bescherming van natuurlijke personen dient technologieneutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van natuurlijke personen dient zowel te gelden bij geautomatiseerde verwerking van persoonsgegevens als bij niet-geautomatiseerde verwerking daarvan, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze richtlijn te vallen. Deze richtlijn dient niet van toepassing te zijn op de verwerking van persoonsgegevens in het kader van activiteiten die buiten het toepassingsgebied van het Unierecht vallen, met name in verband met de nationale veiligheid, of op gegevens die worden verwerkt door instellingen, organen, bureaus en agentschappen van de Unie, zoals Europol of Eurojust.

(16) De beschermingsbeginselen moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke of door een andere persoon worden gebruikt om de persoon te identificeren. De beschermingsbeginselen dienen niet van toepassing te zijn op gegevens die zodanig zijn geanonimiseerd dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is.

(17) Onder persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te vallen die betrekking hebben op de gezondheidstoestand van de betrokkene,             informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon, een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die persoon voor gezondheidsdoeleinden geldt, informatie over een persoon die is verzameld bij de verlening van gezondheidszorg aan die persoon, informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters, de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene, of informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron van die informatie, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnose.

(18) Elke verwerking van persoonsgegevens dient ten aanzien van de betrokkenen eerlijk en rechtmatig te geschieden. In het bijzonder dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt, uitdrukkelijk te worden vermeld.

(19) Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat de bevoegde autoriteiten persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten hebben verzameld, ook buiten dat kader bewaren en bewerken, teneinde een beeld te krijgen van criminele verschijnselen en trends, inlichtingen te verzamelen over georganiseerde criminele netwerken en verbanden te leggen tussen verschillende opgespoorde strafbare feiten.

(20) Persoonsgegevens dienen niet te worden verwerkt voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn verzameld. De persoonsgegevens dienen adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verwerkt. Alle redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist.

(21) Het beginsel van juistheid van de gegevens moet worden toegepast in het licht van de aard en het doel van de betreffende verwerking. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van personen en in sommige gevallen niet geheel te verifiëren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

(22) Bij de interpretatie en de toepassing van de algemene beginselen betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, dient rekening te worden gehouden met de specifieke kenmerken van de sector, waaronder de specifiek nagestreefde doelen.

(23) De verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking brengt met zich mee dat persoonsgegevens betreffende verschillende categorieën betrokkenen worden verwerkt. Daarom dient zo veel mogelijk een onderscheid te worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers.

(24) Voor zover mogelijk dienen persoonsgegevens te worden onderscheiden naar de mate van juistheid en betrouwbaarheid. Feiten dienen te worden onderscheiden van persoonlijke oordelen, zowel om personen te beschermen als om de kwaliteit en betrouwbaarheid van door de bevoegde autoriteiten verwerkte informatie te waarborgen.

(25) De verwerking van persoonsgegevens kan slechts rechtmatig zijn, indien zij noodzakelijk is om aan een wettelijke verplichting voor de voor de verwerking verantwoordelijke te voldoen, voor het uitvoeren van een taak van algemeen belang door een bevoegde autoriteit overeenkomstig de wet, om de vitale belangen van de betrokkene of van een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden.

(26) Persoonsgegevens die door hun aard bijzonder gevoelig zijn uit het oogpunt van de grondrechten of de persoonlijke levenssfeer, waaronder genetische gegevens, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de verwerking uitdrukkelijk is toegestaan op grond van wetgeving die in passende maatregelen voorziet om de gerechtvaardigde belangen van de betrokkene te beschermen, de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon, of de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt.

(27) Iedere natuurlijke persoon dient het recht te hebben niet te worden onderworpen aan een maatregel die uitsluitend op geautomatiseerde verwerking is gebaseerd, indien die verwerking voor die persoon ongunstige rechtsgevolgen heeft, tenzij de verwerking wettelijk is toegestaan en vergezeld gaat van passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

(28) Informatie die bestemd is voor de betrokkene dient eenvoudig toegankelijk en begrijpelijk te zijn en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten te doen gelden.

(29) Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn rechten uit hoofde van deze richtlijn uit te oefenen, zoals mechanismen waarmee de betrokkene kan verzoeken om met name toegang tot gegevens, het wissen van gegevens en uitoefening van het recht van bezwaar, zonder dat daaraan kosten mogen worden verbonden. De voor de verwerking verantwoordelijke dient verplicht te zijn om zonder onnodige vertraging op verzoeken van de betrokkene te reageren.

(30) Het beginsel van eerlijke verwerking vereist in dat de betrokkene met name wordt meegedeeld dat de verwerking plaatsvindt en met welk doel, hoe lang de gegevens worden opgeslagen, dat hij het recht van toegang, rectificatie en uitwissing heeft en dat hij het recht heeft om een klacht in te dienen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem te worden meegedeeld of hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens.

(31) De informatie over de verwerking van persoonsgegevens betreffende de betrokkene moet hem worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, op het moment van registratie van de gegevens of binnen redelijke tijd na het verzamelen ervan, met inachtneming van de specifieke omstandigheden waarin de gegevens worden verwerkt.

(32) Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens met name worden verwerkt, hoe lang zij worden bewaard, welke ontvangers de gegevens ontvangen, ook waar het ontvangers in derde landen betreft. Betrokkenen dienen de mogelijkheid te hebben een kopie te ontvangen van de hen betreffende persoonsgegevens die worden verwerkt.

(33) De lidstaten dienen te beschikken over de mogelijkheid om wettelijke maatregelen te treffen om de informatieverstrekking aan de betrokkenen of de toegang tot hun persoonsgegevens uit te stellen, te beperken of achterwege te laten, voor zover en zolang die gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de betrokkene of de rechten en vrijheden van anderen te beschermen.

(34) Iedere weigering of beperking van de toegang dient schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen.

(35) Wanneer de lidstaten wetgevingsmaatregelen hebben vastgesteld die het recht van toegang geheel of ten dele beperken, dient de betrokkene het recht te hebben om te verzoeken dat de bevoegde nationale toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert. De betrokkene moet over dit recht worden ingelicht. Indien de toezichthoudende autoriteit namens de betrokkene toegang krijgt, dient de toezichthoudende autoriteit de betrokkene ten minste mee te delen dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en hem in te lichten over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft.

(36) Eenieder dient het recht te hebben onjuiste persoonsgegevens over zichzelf te laten rectificeren en deze te laten wissen, indien de verwerking van dergelijke gegevens niet in overeenstemming is met de in deze richtlijn vastgestelde hoofdbeginselen. Indien de persoonsgegevens worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, mag het recht van rectificatie, informatie, toegang en wissing worden uitgeoefend en de beperking van de verwerking worden verricht overeenkomstig het nationale strafprocesrecht.

(37) Er dient te worden voorzien in de algehele verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke. Met name dient de voor de verwerking verantwoordelijke erop toe te zien dat de verwerking geschiedt overeenkomstig de krachtens deze richtlijn vastgestelde voorschriften.

(38) De bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de vereisten van de richtlijn wordt voldaan. Teneinde toe te zien op de naleving van de krachtens deze richtlijn vastgestelde bepalingen dient de voor de verwerking verantwoordelijke beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder in overeenstemming zijn met de beginselen van privacy by design en privacy by default.

(39) Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke.

(40) Verwerkingsactiviteiten dienen door de voor de verwerking verantwoordelijke of de verwerker te worden gedocumenteerd, zodat toezicht kan worden uitgeoefend op de naleving van deze richtlijn. Elke voor de verwerking verantwoordelijke en elke verwerker moet ertoe worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

(41) Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen door middel van preventieve maatregelen, dient de voor de verwerking verantwoordelijke of de verwerker in bepaalde gevallen vóór de verwerking plaatsvindt overleg te plegen met de toezichthoudende autoriteit.

(42) Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken persoon schade, inclusief reputatieschade, tot gevolg hebben. Zodra een voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij daarom de bevoegde nationale autoriteit daarvan op de hoogte te stellen. De personen van wie de persoonsgegevens of de persoonlijke levenssfeer als gevolg van de inbreuk negatieve gevolgen kunnen ondervinden, moeten daarvan zonder onnodige vertraging in kennis worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor iemand persoonsgegevens of persoonlijke levenssfeer, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie in samenhang met de verwerking van persoonsgegevens.

(43) Bij de vaststelling van gedetailleerde voorschriften betreffende het formaat en de procedures voor de melding van inbreuken in verband met de persoonsgegevens moet de nodige aandacht worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van misbruik in de praktijk was beperkt. Bovendien moet bij dergelijke voorschriften en procedures rekening worden gehouden met de gerechtvaardigde belangen van de bevoegde autoriteiten in gevallen waarin vroegtijdige melding van incidenten nodeloos het onderzoek naar de omstandigheden van een inbreuk zou kunnen hinderen.

(44) De voor de verwerking verantwoordelijke of de verwerker dient een persoon aan te wijzen die de voor de verwerking verantwoordelijke of de verwerker bijstaat bij het toezicht op de naleving van de bepalingen die krachtens deze richtlijn zijn vastgesteld. Er kan door verschillende entiteiten van een bevoegde autoriteit gezamenlijk een functionaris voor gegevensbescherming worden benoemd. De functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk en doeltreffend uit te voeren.

(45) De lidstaten moeten erop toezien dat doorgifte naar derde landen slechts plaatsvindt indien dit noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, en dat de voor de verwerking verantwoordelijke in het derde land of de internationale organisatie een autoriteit is die bevoegd is in de zin van deze richtlijn. Een doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het betrokken derde land of de betrokken internationale organisatie een passend beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden.

(46) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is.

(47) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(48) De Commissie moet tevens kunnen besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens naar dat derde land te worden verboden, tenzij die doorgifte geschiedt op grond van een internationale overeenkomst, passende waarborgen of een uitzonderingsbepaling. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de betrokken derde landen of internationale organisaties. Het desbetreffende besluit van de Commissie mag echter geen afbreuk doen aan de mogelijkheid om gegevens door te geven op grond van passende waarborgen of een in de richtlijn neergelegde uitzonderingsbepaling.

(49) Doorgiften die niet plaatsvinden op grond van een besluit waarbij het beschermingsniveau passend wordt verklaard, dienen slechts te zijn toegestaan indien in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens worden geboden, of indien de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of het geheel van gegevensdoorgiften heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende garanties voor de bescherming van persoonsgegevens worden geboden. In gevallen waarin er geen gronden zijn om een gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn toegestaan om een vitaal belang van de betrokkene of een andere persoon te beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen, indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen.

(50) Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden of inconsistente rechtskaders. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland.

(51) Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteiten wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.

(52) De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) …/2012 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren.

(53) De lidstaten dienen de mogelijkheid te hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen en de huisvesting en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren.

(54) De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat die leden hetzij door het parlement, hetzij door de regering van de lidstaat worden benoemd, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en de positie van de leden.

(55) Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun rechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken in stand te houden. Deze uitzondering dient echter beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(56) Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden.

(57) Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt.

(58) De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen.

(59) Het bij Verordening (EU) nr. …/2012 ingestelde Europees Comité voor gegevensbescherming dient bij te dragen tot de consequente toepassing van deze richtlijn in de Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen.

(60) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze richtlijn of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene.

(61) Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen of namens betrokkenen door wie zij naar behoren zijn gemachtigd een recht op beroep in rechte uit te oefenen, en om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk in verband met persoonsgegevens heeft voorgedaan.

(62) Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(63) Willen gerechtelijke procedures effectief zijn, dan dienen de lidstaten erop toe te zien dat daarbij snel maatregelen kunnen worden getroffen om inbreuken op deze richtlijn ongedaan te maken of te voorkomen.

(64) De schade die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht.

(65) Er moet worden voorzien in sancties jegens alle natuurlijke personen of rechtspersonen, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht vallen, die deze richtlijn niet naleven. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen.

(66) Met het oog op de verwezenlijking van de doelstellingen van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, dient aan de Commissie de bevoegdheid te worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. In het bijzonder dient de mogelijkheid te bestaan om gedelegeerde handelingen vast te stellen met betrekking tot de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.

(67) Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, met name wat versleutelingsnormen betreft, de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren[36].

(68) Voor de vaststelling van maatregelen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moet de onderzoeksprocedure worden toegepast, aangezien dit handelingen van algemene strekking zijn.

(69) Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen.

(70) Aangezien de doelstelling van deze richtlijn, namelijk het beschermen van de fundamentele rechten en vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om dit doel te verwezenlijken.

(71) Kaderbesluit 2008/977/JBZ dient bij deze richtlijn te worden ingetrokken.

(72) Specifieke bepalingen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn opgenomen in handelingen van de Unie die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven. De Commissie dient na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen.

(73) Teneinde de algehele en samenhangende bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de lidstaten voor de inwerkintreding van deze richtlijn hebben gesloten, te worden gewijzigd in overeenstemming met deze richtlijn.

(74) Deze richtlijn laat de voorschriften ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, zoals opgenomen in Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011[37], onverlet.

(75) Overeenkomstig artikel 6 bis van het Protocol betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde voorschriften, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels van de Unie betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 van het Verdrag betreffende de werking van de Europese Unie vastgestelde bepalingen moeten worden nageleefd.

(76) Overeenkomstig de artikelen 2 en 2 bis van het Protocol betreffende de positie van Denemarken, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn de bepalingen van deze richtlijn niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn een uitwerking inhoudt van het Schengenacquis overeenkomstig titel V van het derde deel van het Verdrag betreffende de werking van de Europese Unie, beslist Denemarken overeenkomstig artikel 4 van dat Protocol binnen zes maanden na de vaststelling van een maatregel of het deze maatregel in zijn nationale wetgeving zal omzetten.

(77) Wat Noorwegen en IJsland betreft, houdt deze richtlijn een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[38].

(78) Wat Zwitserland betreft, houdt deze richtlijn een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[39].

(79) Wat Liechtenstein betreft, houdt deze verordening een ontwikkeling in van de bepalingen van het Schengenacquis als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[40].

(80) Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest van de grondrechten van de Europese Unie, zoals verankerd in het Verdrag, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van deze rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

(81) Bij de Gezamenlijke politieke verklaring van 28 september 2011 van de lidstaten en de Commissie over toelichtende stukken hebben de lidstaten zich ertoe verbonden om in verantwoorde gevallen de kennisgeving van omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van dergelijke toelichtende documenten verantwoord.

(82) Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, toegang, rectificatie, uitwissing en beperking van hun persoonsgegevens die worden verwerkt in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1 Onderwerp en doelstellingen

1.           Bij deze richtlijn worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

2.           Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:

a)      de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en

b)      erop toe te zien dat de uitwisseling van persoonsgegevens binnen de Unie door bevoegde autoriteiten niet wordt beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Artikel 2 Toepassingsgebied

1.           Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de in artikel 1, lid 1, bedoelde doeleinden.

2.           Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

3.           Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:

a)      in het kader van activiteiten die buiten de werkingssfeer van het EU-recht vallen, met name activiteiten op het gebied van de nationale veiligheid;

b)      door instellingen, organen en instanties van de Unie.

Artikel 3 Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1) “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke persoon of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer elementen die kenmerkend zijn voor zijn lichamelijke, fysiologische, genetische, geestelijke, economische, culturele of sociale identiteit;

(2) “persoonsgegevens”: iedere informatie betreffende een betrokkene;

(3) “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het beperken, wissen of vernietigen van gegevens;

(4) “beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

(5) “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(6) “voor de verwerking verantwoordelijke”: een bevoegde overheidsinstantie die, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij wetgeving van de EU of van de lidstaten, kan in de wetgeving van de EU of de lidstaat worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(7) “verwerker”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die of dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(8) “ontvanger”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam aan wie, respectievelijk waaraan de persoonsgegevens worden verstrekt;

(9) “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging, met als gevolg de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstrekte, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig;

(10) “genetische gegevens”: gegevens, van welke aard ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen kenmerken van een persoon;

(11) “biometrische gegevens”: gegevens met betrekking tot de lichamelijke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of vingerafdrukken;

(12) “gezondheidsgegevens”: informatie over de lichamelijke of geestelijke gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13) “kind”: een persoon die jonger is dan achttien jaar;

(14) “bevoegde autoriteiten”: elke overheidsinstantie die bevoegd is ten aanzien van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

(15) “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 39 ingestelde overheidsinstantie.

HOOFDSTUK II

BEGINSELEN

Artikel 4 Beginselen inzake de verwerking van persoonsgegevens

De lidstaten bepalen dat persoonsgegevens:

a)      eerlijk en rechtmatig moeten worden verwerkt;

b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet op een met die doeleinden onverenigbare wijze mogen worden verwerkt;

c)      adequaat, ter zake dienend en niet excessief moeten zijn, in verhouding tot het doel waarvoor zij worden verwerkt;

d)      juist moeten zijn en zo nodig moeten worden geactualiseerd; alle redelijke maatregelen dienen te worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;

e)      moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt;

f)       moeten worden verwerkt onder de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke, die toeziet op de naleving van de krachtens deze richtlijn vastgestelde bepalingen.

Artikel 5 Onderscheid tussen verschillende categorieën betrokkenen

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke voor zover mogelijk een onderscheid maakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen, zoals:

a)      personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan plegen;

b)      personen die veroordeeld zijn voor een strafbaar feit;

c)      slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij slachtoffer zouden kunnen worden van een strafbaar feit;

d)      personen die als derden bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafprocedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen vermeld onder a) of b); en

e)      personen die onder geen van de bovengenoemde categorieën vallen.

Artikel 6 Verschillende graden van juistheid en betrouwbaarheid van persoonsgegevens

1.           De lidstaten zien erop toe dat de verschillende categorieën persoonsgegevens die worden verwerkt, voor zover mogelijk worden onderscheiden naar de graad van juistheid en betrouwbaarheid.

2.           De lidstaten zien erop toe dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk, worden onderscheiden van persoonsgegevens die op een persoonlijke oordeel zijn gebaseerd.

Artikel 7 Rechtmatigheid van de verwerking

De lidstaten bepalen dat het verwerken van persoonlijke gegevens slechts rechtmatig is wanneer en voor zover die verwerking noodzakelijk is:

a)           voor het uitvoeren van een taak door een bevoegde autoriteit, op grond van een wettelijke bepaling, voor een van de in artikel 1, lid 1, genoemde doeleinden; of

b)           om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen; of

c)           om een vitaal belang van de betrokkene of een andere persoon te beschermen; of

d)           om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen.

Artikel 8 Verwerking van bijzondere categorieën van persoonsgegevens

1.           De lidstaten verbieden de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging of lidmaatschap van een vakvereniging blijkt, van genetische gegevens en van gegevens die de gezondheid of het seksuele leven betreffen.

2.           Lid 1 is niet van toepassing wanneer:

a)      de verwerking is toegestaan op grond van wetgeving die passende waarborgen biedt; of

b)      de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon; of

c)      de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt.

Artikel 9 Maatregelen op basis van profilering en geautomatiseerde verwerking

1.           De lidstaten bepalen dat maatregelen die voor de betrokkene een nadelig rechtsgevolg hebben of voor hem wezenlijke consequenties hebben, en die uitsluitend berusten op geautomatiseerde verwerking van persoonsgegevens die bedoeld is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, worden verboden, tenzij zulks is toegestaan op grond van wetgeving die ook maatregelen bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

2.           De geautomatiseerde gegevensverwerking die bedoeld is om bepaalde aspecten van de persoonlijkheid van de betrokkene te beoordelen, wordt niet uitsluitend gebaseerd op de in artikel 8 genoemde speciale categorieën persoonsgegevens.

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

Artikel 10 Modaliteiten voor de uitoefening van de rechten van de betrokkene

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om een transparant en eenvoudig toegankelijk beleid te voeren met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene.

2.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene alle informatie en mededelingen over de verwerking van persoonsgegevens verstrekt in begrijpelijke vorm en in duidelijke en eenvoudige taal.

3.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om procedures vast te stellen voor het verstrekken van de in artikel 11 bedoelde informatie en voor de uitoefening van de in de artikelen 12 tot en met 17 genoemde rechten van de betrokkene.

4.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene zonder onnodige vertraging inlicht over het gevolg dat aan zijn verzoek is gegeven.

5.           De lidstaten bepalen dat alle informatie die de voor de verwerking verantwoordelijke verstrekt en alle maatregelen die hij neemt naar aanleiding van een verzoek als bedoeld in de leden 3 en 4, kosteloos dienen te zijn. Wanneer verzoeken vexatoir zijn, bijvoorbeeld door hun repetitieve karakter of hun omvang, mag de voor de verwerking verantwoordelijke een vergoeding voor het verstrekken van de informatie of het verrichten van de gevraagde maatregel in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het vexatoire karakter van het verzoek op de voor de verwerking verantwoordelijke.

Artikel 11 Informatieverstrekking aan de betrokkene

1.           De lidstaten zien erop toe dat wanneer persoonsgegevens worden verzameld, de voor de verwerking verantwoordelijke alle passende maatregelen treft om de betrokkene ten minste de hierna volgende informatie de verstrekken:

a)      de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en de functionaris voor gegevensbescherming;

b)      de doeleinden van de verwerking waarvoor de gegevens zijn bestemd;

c)      de periode gedurende welke de persoonsgegevens worden opgeslagen;

d)      het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

e)      het bestaan van het recht om een klacht in te dienen bij de in artikel 39 bedoelde toezichthoudende autoriteit en de contactgegevens van de toezichthoudende autoriteit;

f)       de ontvangers of categorieën ontvangers van de persoonsgegevens, ook die in derde landen of internationale organisaties;

g)      alle verdere informatie voor zover die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verwerkt.

2.           Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

3.           De voor de verwerking verantwoordelijke verstrekt de in lid 1 genoemde informatie:

a)      op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen; of

b)      indien de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verwerkt.

4.           De lidstaten kunnen wettelijke maatregelen treffen om de informatieverstrekking aan de betrokkene uit te stellen, te beperken of achterwege te laten, voor zover en zolang een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is:

a)      om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)      om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)      ter bescherming van de openbare veiligheid;

d)      ter bescherming van de nationale veiligheid;

e)      ter bescherming van de rechten en vrijheden van anderen.

5.           De lidstaten kunnen categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 4 genoemde uitzonderingsbepalingen vallen.

Artikel 12 Recht van toegang van de betrokkene

1.           De lidstaten zien erop toe dat de betrokkene het recht heeft om van de voor de verwerking verantwoordelijke uitsluitsel te verkrijgen omtrent het al dan niet plaatsvinden van verwerking van hem betreffende gegevens. Wanneer verwerkingen van dergelijke persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de volgende informatie:

a)      de doeleinden van de verwerking;

b)      de betrokken gegevenscategorieën;

c)      de ontvangers of categorieën ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen;

d)      de periode gedurende welke de persoonsgegevens worden opgeslagen;

e)      het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

f)       het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)      de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare informatie over de bron van die gegevens;

2.           De lidstaten voorzien in het recht van de betrokkene om van de voor de verwerking verantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt.

Artikel 13 Beperking van het recht van toegang

1.           De lidstaten kunnen wettelijke maatregelen treffen om het recht van toegang van de betrokkene geheel of gedeeltelijk te beperken, voor zover een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is:

a)      om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)      om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)      ter bescherming van de openbare veiligheid;

d)      ter bescherming van de nationale veiligheid;

e)      ter bescherming van de rechten en vrijheden van anderen.

2.           De lidstaten kunnen bij wet categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 1 genoemde uitzonderingen vallen.

3.           De lidstaten bepalen dat, in de gevallen bedoeld in de leden 1 en 2, de voor de verwerking verantwoordelijke de betrokkene schriftelijk de weigering of beperking van toegang en de redenen voor de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen. De inlichtingen over de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, kunnen achterwege blijven indien de verstrekking van die informatie een van de in lid 1 genoemde doeleinden in gevaar brengt.

4.           De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de redenen documenteert voor het achterwege laten van de verstrekking van de feitelijke of juridische redenen die aan het besluit ten grondslag liggen.

Artikel 14 Modaliteiten voor de uitoefening van het recht van toegang

1.           De lidstaten voorzien in het recht van de betrokkene om te verzoeken dat de toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert, met name in de gevallen bedoeld in artikel 13.

2.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene inlicht over zijn recht om te verzoeken om de tussenkomst van de toezichthoudende autoriteit als bedoeld in lid 1.

3.           Indien het in lid 1 bedoelde recht wordt uitgeoefend, deelt de toezichthoudende autoriteit de betrokkene ten minste mee dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en licht zij hem in over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft.

Artikel 15 Recht van rectificatie

1.           De lidstaten voorzien in het recht van de betrokkene op rectificatie van hem betreffende onjuiste persoonsgegevens door de voor verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke gegevens, met name door middel van een rectificerende verklaring.

2.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk de weigering van rectificatie en de redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

Artikel 16 Recht om gegevens te laten wissen

1.           De lidstaten voorzien in het recht van de betrokkene om hem betreffende persoonsgegevens door de voor de verwerking verantwoordelijke te laten wissen, indien de verwerking niet voldoet aan de bepalingen die krachtens artikel 4, onder a) tot en met e), en de artikelen 7 en 8 van deze richtlijn zijn vastgesteld.

2.           De voor de verwerking verantwoordelijke wist de gegevens onverwijld.

3.           De voor verwerking verantwoordelijke markeert de persoonsgegevens in plaats van deze te wissen wanneer:

a)      de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te verifiëren;

b)      de persoonsgegevens moeten worden bewaard om als bewijs te dienen;

c)      de betrokkene zich tegen het wissen verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt.

4.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk de weigering van wissing of markering van de gegevens en de redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

Artikel 17 Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures

De lidstaten kunnen bepalen dat, indien de persoonsgegevens zijn vervat in een rechterlijke beslissing of dossier en worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, het recht van informatie, toegang, rectificatie, wissing en beperking van de verwerking, zoals bedoeld in de artikelen 11 tot en met 16, wordt uitgeoefend overeenkomstig het nationale strafprocesrecht.

HOOFDSTUK IV VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER

AFDELING 1 ALGEMENE VERPLICHTINGEN

Artikel 18 Verantwoordelijkheden van de voor de verwerking verantwoordelijke

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke beleid vaststelt en passende maatregelen uitvoert om ervoor te zorgen dat de verwerking van persoonsgegevens in overeenstemming met de krachtens deze richtlijn vastgestelde bepalingen wordt uitgevoerd.

2.           De in lid 1 bedoelde maatregelen betreffen met name:

a)      het bewaren van documentatie overeenkomstig artikel 23;

b)      het voldoen aan de verplichting inzake voorafgaand overleg overeenkomstig artikel 26;

c)      het voldoen aan de in artikel 27 vastgestelde eisen inzake gegevensbeveiliging;

d)      het aanstellen van een functionaris voor gegevensbescherming overeenkomstig artikel 30.

3.           De voor de verwerking verantwoordelijke voorziet in mechanismen om ervoor te zorgen dat de effectiviteit van de in lid 1 bedoelde maatregelen wordt getoetst. Indien evenredig met het doel, wordt deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs.

Artikel 19 Privacy by design en by default

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke, met inachtneming van de stand van de techniek en de uitvoeringskosten, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer legt dat de verwerking aan de voorwaarden van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt.

2.           De voor de verwerking verantwoordelijke voorziet in mechanismen om te waarborgen dat, tenzij uitdrukkelijk anders wordt bepaald, slechts die persoonsgegevens worden verwerkt die voor de doeleinden van de verwerking noodzakelijk zijn.

Artikel 20 Gezamenlijk voor de verwerking verantwoordelijken

De lidstaten bepalen dat wanneer een voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt, de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling moeten vaststellen wat hun respectieve verantwoordelijkheden zijn voor de naleving van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene.

Artikel 21 Verwerker

1.           De lidstaten bepalen dat wanneer een verwerking namens een voor de verwerking verantwoordelijke wordt uitgevoerd, de voor de verwerking verantwoordelijke een verwerker kiest die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking aan de vereisten van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt.

2.           De lidstaten bepalen dat de uitvoering van verwerkingen door een verwerker wordt geregeld in een rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van gegevens is verboden.

3.           Wanneer een verwerker persoonsgegevens verwerkt anders dan in opdracht van de voor de verwerking verantwoordelijke, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 20 neergelegde regels voor gemeenschappelijk voor de verwerking verantwoordelijken gelden.

Artikel 22 Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

De lidstaten bepalen dat de verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot de persoonsgegevens, deze slechts mag verwerken in opdracht van de voor de verwerking verantwoordelijke, of wanneer hij op grond van de EU-wetgeving of de nationale wetgeving tot de verwerking verplicht is.

Artikel 23 Documentering

1.           De lidstaten bepalen dat iedere voor de verwerking verantwoordelijke en iedere verwerker documentatie bijhoudt inzake alle verwerkingssystemen en ‑procedures die onder hun verantwoordelijkheid vallen.

2.           In de documentatie worden ten minste de volgende gegevens opgenomen:

a)      de naam en de contactgegevens van de voor de verwerking verantwoordelijke en de eventuele gemeenschappelijk voor de verwerking verantwoordelijke of verwerker;

b)      de doeleinden van de verwerking;

c)      de ontvangers of categorieën ontvangers van de persoonsgegevens;

d)      het feit dat gegevens zijn doorgegeven naar een derde land of een internationale organisatie, met vermelding van de naam van dat derde land of internationale organisatie.

3.           De voor de verwerking verantwoordelijke en de verwerker stellen de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit.

Artikel 24 Bijhouden van registratie

1.           De lidstaten zien erop toe dat een registratie wordt bijgehouden van ten minste de volgende verwerkingsactiviteiten: verzameling, wijziging, raadpleging, verstrekking, combinatie of wissing. Bij de registratie van raadpleging en verstrekking wordt met name het doel, de datum en het tijdstip van die handeling aangegeven en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of verstrekt.

2.           De registratie wordt uitsluitend gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen en om de integriteit en de beveiliging van de gegevens te waarborgen.

Artikel 25 Verlening van medewerking aan de toezichthoudende autoriteit

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker desgevraagd medewerking verlenen aan de toezichthoudende autoriteit bij de uitoefening van haar taken, met name door haar alle informatie te verstrekken die zij voor de vervulling van haar taken nodig heeft.

2.           Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 46, onder a) en b), uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten.

Artikel 26 Voorafgaande raadpleging van de toezichthoudende autoriteit

1.           De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat persoonsgegevens, die in een nieuw bestand zullen worden opgenomen, worden verwerkt, wanneer:

a)      bijzondere categorieën gegevens als bedoeld in artikel 8 worden verwerkt;

b)      de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s met zich meebrengt voor de grondrechten en fundamentele vrijheden van de betrokkene, in het bijzonder zijn recht op bescherming van persoonsgegevens.

2.           De lidstaten kunnen bepalen dat de toezichthoudende autoriteit een lijst opstelt van verwerkingen waarvoor overeenkomstig lid 1 voorafgaande raadpleging moet plaatsvinden.

AFDELING 2 GEGEVENSBEVEILIGING

Artikel 27 Beveiliging van de verwerking

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek en met de kosten van uitvoering van de maatregelen.

2.           Elke lidstaat bepaalt ten aanzien van de geautomatiseerde verwerking van gegevens dat de voor de verwerking verantwoordelijke of de verwerker, na beoordeling van de risico’s, maatregelen treft om:

a)      te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);

b)      te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);

c)      te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

d)      te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);

e)      ervoor te zorgen dat degenen die bevoegd zijn een systeem voor geautomatiseerde gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);

f)       ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

g)      ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

h)      te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);

i)       ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw ingezet kunnen worden (herstel);

j)       ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen persoonsgegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit).

3.           De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde vereisten voor verschillende situaties vast te leggen, met name de normen voor versleuteling. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure.

Artikel 28 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke in geval van een inbreuk in verband met persoonsgegevens deze inbreuk zonder onnodige vertraging meldt aan de toezichthoudende autoriteit, zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding niet binnen 24 uur plaatsvindt, doet de voor de verwerking verantwoordelijke de melding vergezeld gaan van een motivering.

2.           De verwerker waarschuwt en informeert de voor de verwerking verantwoordelijke onmiddellijk nadat hij kennis heeft gekregen van een inbreuk in verband met persoonsgegevens.

3.           De in lid 1 bedoelde melding bevat ten minste:

a)      een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en de categorieën en aantallen gegevensrecords;

b)      de vermelding van de identiteit en de contactgegevens van de in artikel 30 bedoelde functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)      aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)      een omschrijving van de mogelijke gevolgen van de inbreuk in verband met persoonsgegevens;

e)      een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke voorstelt of heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken.

4.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle inbreuken op persoonsgegevens documenteert, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documentatie moet de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te controleren. De documentatie omvat uitsluitend de voor dat doel noodzakelijke informatie.

5.           De Commissie is bevoegd overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens en voor de specifieke omstandigheden waarin een voor de verwerking verantwoordelijke of een verwerker verplicht is de inbreuk in verband met persoonsgegevens te melden.

6.           De Commissie kan het standaardformaat vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documentatie, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure.

Artikel 29 Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.           De lidstaten bepalen dat wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens negatieve gevolgen voor de bescherming van de persoonsgegevens of de persoonlijke levenssfeer van de betrokkene heeft, de voor de verwerking verantwoordelijke, na de in artikel 28 bedoelde melding, de betrokkene zonder onnodige vertraging over de inbreuk in verband met persoonsgegevens inlicht.

2.           De in lid 1 bedoelde mededeling aan de betrokkene bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 28, lid 3, onder b) en c), voorgeschreven informatie en aanbevelingen.

3.           Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen moeten de gegevens onbegrijpelijk maken voor eenieder die geen recht op toegang daartoe heeft.

4.           De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten om de redenen bedoeld in artikel 11, lid 4.

AFDELING 3 FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 30 Aanstelling van de functionaris voor gegevensbescherming

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker een functionaris voor gegevensbescherming aanwijzen.

2.           De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 32 bedoelde taken te vervullen.

3.           De functionaris voor gegevensbescherming kan worden aangewezen voor meer dan een entiteit, rekening houdende met de organisatiestructuur van de bevoegde autoriteit.

Artikel 31 Positie van de functionaris voor gegevensbescherming

1.           De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker ervoor zorgen dat de functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die betrekking hebben op de bescherming van persoonsgegevens.

2.           De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming de middelen krijgt om zijn plichten en taken uit hoofde van artikel 32 doeltreffend en onafhankelijk te vervullen en geen instructies ontvangt met betrekking tot de uitoefening van de taak.

Artikel 32 Taken van de functionaris voor gegevensbescherming

De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de functionaris voor gegevensbescherming ten minste de volgende taken opdragen:

a)           het informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze richtlijn en het documenteren van deze activiteit en de ontvangen antwoorden;

b)           het toezicht houden op de uitvoering en toepassing van het beleid met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)           het toezicht houden op de uitvoering en de toepassing van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen;

d)           ervoor zorgen dat de in artikel 23 bedoelde documentatie wordt bijgehouden;

e)           het toezicht houden op de documentering en melding van inbreuken op persoonsgegevens overeenkomstig de artikelen 28 en 29;

f)            het toezicht houden op het verzoek aan de toezichthoudende autoriteit om voorafgaande raadpleging, voor zover daartoe op grond van artikel 26 een verplichting bestaat;

g)           het nagaan van het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, samenwerken met de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)           het optreden als contactpunt voor de toezichthoudende autoriteit voor aangelegenheden in verband met de verwerking en het, in voorkomend geval, op eigen initiatief van de functionaris voor gegevensbewerking raadplegen van de toezichthoudende autoriteit.

HOOFDSTUK V DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 33 Algemene beginselen inzake doorgiften van persoonsgegevens

De lidstaten bepalen dat de bevoegde autoriteiten persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, waaronder verdere doorgiften naar een ander derde land of een andere internationale organisatie, slechts mogen doorgeven indien:

a)           de doorgifte noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen; en

b)           de in dit hoofdstuk neergelegde voorwaarden door de voor de verwerking verantwoordelijke en de verwerker worden nageleefd.

Artikel 34 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.           De lidstaten bepalen dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie kan plaatsvinden, wanneer de Commissie overeenkomstig artikel 41 van Verordening (EU) ..../2012 of overeenkomstig lid 3 van dit artikel heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere toestemming nodig.  Wanneer er geen overeenkomstig artikel 41 van Verordening (EU) ..../2012 vastgesteld besluit bestaat, beoordeelt de Commissie of er een passend beschermingsniveau is, waarbij zij rekening houdt met de volgende aspecten:

a)      de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, de veiligheidsmaatregelen die in dat land of door die internationale organisatie worden nageleefd, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)      het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; en

c)      de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan.

3.           De Commissie kan binnen de werkingssfeer van deze richtlijn bij besluit vaststellen dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure.

4.           In de uitvoeringshandeling worden het geografische en het sectorale toepassingsgebied vastgelegd en, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

5.           De Commissie kan binnen de werkingssfeer van deze richtlijn bij besluit vaststellen dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor betrokkenen wier persoonsgegevens worden doorgegeven. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 57, lid 3, bedoelde procedure.

6.           De lidstaten zien erop toe dat wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie worden verboden; dit besluit laat de doorgiften op grond van artikel 35, lid 1, of overeenkomstig artikel 36 onverlet. De Commissie pleegt ten gepaste tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

7.           De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.           De Commissie ziet toe op de toepassing van de in de leden 3 en 5 bedoelde uitvoeringshandelingen.

Artikel 35 Doorgiften op basis van passende garanties

1.           Wanneer de Commissie geen besluit overeenkomstig artikel 34 heeft vastgesteld, bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een ontvanger in een derde land of een internationale organisatie kan plaatsvinden indien:

a)      in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens zijn geboden; of

b)      de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en geconcludeerd heeft dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.

1.           Het besluit tot doorgiften op grond van lid 1, onder b), moet worden vastgesteld door naar behoren bevoegd personeel. Deze doorgiften moeten worden gedocumenteerd en de documentatie moet op verzoek aan de toezichthoudende autoriteit worden verstrekt.

Artikel 36 Afwijkingen

In afwijking van de artikelen 34 en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts kan plaatsvinden op voorwaarde dat:

a)           de doorgifte noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of van een andere persoon; of

b)           de doorgifte noodzakelijk is ter vrijwaring van de rechtmatige belangen van de betrokkene, wanneer het recht van de lidstaat vanuit welke de doorgifte van persoonsgegevens plaatsvindt, aldus bepaalt; of

c)           de doorgifte van de gegevens van wezenlijk belang is ter voorkoming van een onmiddellijke en ernstige bedreiging voor de openbare veiligheid van een lidstaat of een derde land; of

d)           de doorgifte in afzonderlijke gevallen noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; of

e)           de doorgifte in afzonderlijke gevallen noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in verband met de preventie, het onderzoek, de opsporing of de vervolging van een specifiek strafbaar feit of de tenuitvoerlegging van een specifieke straf.

Artikel 37 Specifieke voorwaarden voor de doorgifte van persoonsgegevens

De lidstaten bepalen dat de voor de verwerking verantwoordelijke de ontvanger van de persoonsgegevens inlicht over eventuele beperkingen voor de verwerking en alle redelijke maatregelen neemt om te waarborgen dat deze beperkingen worden nageleefd.

Artikel 38 Internationale samenwerking voor de bescherming van persoonsgegevens

1.           Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten de nodige maatregelen om:

a)      procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;

b)      internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand in onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;

c)      belanghebbenden bij besprekingen en activiteiten te betrekken om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)      het uitwisselen en het documenteren van de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te bevorderen.

2.           Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 34, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

HOOFDSTUK VI ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1 ONAFHANKELIJKHEID

Artikel 39 Toezichthoudende autoriteit

1.           Elke lidstaat bepaalt dat één of meer overheidsinstanties worden belast met het toezicht op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.           De lidstaten kunnen bepalen dat de toezichthoudende autoriteiten die in de lidstaten overeenkomstig Verordening (EU) …./2012 zijn opgericht, verantwoordelijk zijn voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden aangewezen.

3.           Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming.

Artikel 40 Onafhankelijkheid

1.           De lidstaten zien erop toe dat de toezichthoudende autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt.

2.           Elke lidstaat ziet erop toe dat de leden van de toezichthoudende autoriteit bij de uitvoering van hun taken instructies vragen noch aanvaarden van wie dan ook.

3.           De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen andere al dan niet bezoldigde beroepswerkzaamheden.

4.           Na afloop van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

5.           Elke lidstaat ziet erop toe dat de toezichthoudende autoriteit kan beschikken over passende menselijke, technische en financiële middelen, en de lokalen en infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en actieve deelname aan het Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te oefenen.

6            Elke lidstaat ziet erop toe dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn leiding staan.

7.           De lidstaten zien erop toe dat het financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid niet in het gedrang brengt. De lidstaten zien erop toe dat de toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De begroting wordt openbaar gemaakt.

Artikel 41 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.           De lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de regering van de betrokken lidstaat worden benoemd.

2.           De leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de uitvoering van hun taken.

3.           De ambtsvervulling eindigt bij het verstrijken van de ambtstermijn, bij ontslag of bij ontslag ambtshalve, zulks met inachtneming van lid 5.

4.           Een lid kan door een bevoegde nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan komende voordelen vervallen worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is tekortgeschoten.

5.           Een lid waarvan de ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren totdat een nieuw lid is benoemd.

Artikel 42 Oprichting van de toezichthoudende autoriteit

Elke lidstaat bepaalt bij wet:

a)           de oprichting en het statuut van de toezichthoudende autoriteit overeenkomstig de artikelen 39 en 40;

b)           de kwalificaties, de ervaring en de vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende autoriteit uit te voeren;

c)           de voorschriften en de procedures voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de voorschriften in verband met handelingen en activiteiten die met de taken van het ambt onverenigbaar zijn;

d)           de ambtstermijn van de leden van de toezichthoudende autoriteit, die minstens vier jaar bedraagt, behoudens voor de eerste ambtstermijn na de inwerkingtreding van deze richtlijn, die korter kan zijn;

e)           of de leden van de toezichthoudende autoriteit opnieuw kunnen worden benoemd;

f)            het statuut en de gemeenschappelijke voorwaarden in verband met de taken van de leden en de personeelsleden van de toezichthoudende autoriteit;

g)           de voorschriften en de procedures voor de beëindiging van de ambtsvervulling van de leden van de toezichthoudende autoriteit, onder meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten.

Artikel 43 Beroepsgeheim

De lidstaten bepalen dat voor de leden en de personeelsleden van de toezichthoudende autoriteit ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun officiële taken ter kennis is gekomen, zowel tijdens hun ambtstermijn als daarna het beroepsgeheim geldt.

AFDELING 2 TAKEN EN BEVOEGDHEDEN

Artikel 44 Competentie

1.           De lidstaten bepalen dat elke toezichthoudende autoriteit op het grondgebied van haar lidstaat de bevoegdheden uitoefent die haar krachtens deze richtlijn zijn toegekend.

2.           De lidstaten bepalen dat de toezichthoudende autoriteit niet bevoegd is om toe te zien op verwerkingen door gerechtelijke instanties in het kader van hun gerechtelijke taken.

Artikel 45 Taken

1.           De lidstaten bepalen dat de toezichthoudende autoriteit:

a)      toeziet op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en de omzettingsmaatregelen daarvan, en de toepassing waarborgt;

b)      kennis neemt van klachten van betrokkenen of van een vereniging die overeenkomstig artikel 50 betrokkenen vertegenwoordigt na daartoe naar behoren door hen te zijn gemachtigd, de aangelegenheid onderzoekt in de mate waarin dat nodig is en de betrokkene of de vereniging binnen een redelijke termijn in kennis stelt van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

c)      overeenkomstig artikel 14 de rechtmatigheid controleert van de gegevensverwerking en de betrokkene binnen een redelijke termijn informeert over het resultaat van de verificatie of van de redenen waarom de verificatie niet werd verricht;

d)      wederzijdse bijstand biedt aan andere toezichthoudende autoriteiten en zorgt voor de conformiteit in de toepassing en de handhaving van de krachtens deze richtlijn vastgestelde bepalingen;

e)      onderzoeken verricht hetzij op eigen initiatief, hetzij op basis van een klacht of op verzoek van een andere toezichthoudende autoriteit, en de betrokkene, als die een klacht heeft ingediend, binnen een redelijke termijn in kennis stelt van het resultaat van de onderzoeken;

f)       de relevante ontwikkelingen volgt voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

g)      door de instellingen en organen van de lidstaat wordt geraadpleegd over wettelijke en bestuursrechtelijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens;

h)      over verwerkingen overeenkomstig artikel 26 wordt geraadpleegd;

i)       deelneemt aan de activiteiten van het Europees Comité voor gegevensbescherming.

2.           Elke toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de risico's, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens. Er wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten.

3.           De toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen en werkt daartoe, indien nodig, samen met de toezichthoudende autoriteiten van andere lidstaten.

4.           Voor de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

5.           De lidstaten bepalen dat aan het optreden van de toezichthoudende autoriteit geen kosten zijn verbonden voor de betrokkene.

6.           Wanneer verzoeken vexatoir zijn, met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een vergoeding in rekening brengen of ervoor opteren om de door de betrokkene gevraagde maatregelen niet te nemen. De bewijslast met betrekking tot het vexatoire karakter van het verzoek rust op de toezichthoudende autoriteit.

Artikel 46 Bevoegdheden

De lidstaten bepalen dat elke toezichthoudende autoriteit met name kan beschikken over:

a)           onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die voorwerp van verwerking zijn, en bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn;

b)           effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen en te zorgen voor een passende bekendmaking van het advies, of de bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale parlementen of andere politieke instellingen in te schakelen;

c)           de bevoegdheid om in rechte op te treden in geval van inbreuken op de krachtens deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van de gerechtelijke instanties te brengen.

Artikel 47 Activiteitenverslag

De lidstaten bepalen dat elke toezichthoudende autoriteit jaarlijks een verslag over haar activiteiten opstelt. Het verslag wordt ter beschikking gesteld van de Commissie en het Europees Comité voor gegevensbescherming.

HOOFDSTUK VII SAMENWERKING

Artikel 48 Wederzijdse bijstand

1.           De lidstaten bepalen dat de toezichthoudende autoriteiten elkaar relevante informatie en wederzijdse bijstand verstrekken om deze richtlijn op een conforme manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om effectief met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om voorafgaande raadplegingen, inspecties en onderzoeken te verrichten.

2.           De lidstaten bepalen dat een toezichthoudende autoriteit alle passende maatregelen neemt die nodig zijn om het verzoek van een andere toezichthoudende autoriteit te beantwoorden.

3.           De toezichthoudende autoriteit waaraan het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de vooruitgang of de maatregelen die zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit te voldoen.

Artikel 49 Taken van het Europees Comité voor gegevensbescherming

1.           Binnen de werkingssfeer van deze richtlijn voert het Europees Comité voor gegevensbescherming dat bij Verordening (EG) …./2012 is opgericht, de volgende taken in verband met verwerking uit:

a)      adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze richtlijn;

b)      onderzoeken van, op verzoek van de Commissie of op eigen initiatief of op dat van één van zijn leden, van alle kwesties in verband met de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en opstellen van richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten, teneinde te bevorderen dat deze bepalingen conform worden toegepast;

c)      evalueren van de praktische toepassing van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken en hierover regelmatig verslag uitbrengen bij de Commissie;

d)      voor de Commissie een advies uitbrengen over het beschermingsniveau in derde landen of internationale organisaties;

e)      bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en praktijken tussen de toezichthoudende autoriteiten;

f)       bevorderen van gemeenschappelijke opleidingsprogramma's en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend geval, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;

g)      bevorderen van de uitwisseling van kennis en documentatie met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd, over onder meer de wetgeving en praktijken op het gebied van gegevensbescherming.

2.           Wanneer de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij een termijn bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid.

3.           Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 57, lid 1, bedoelde comité en maakt deze bekend.

4.           De Commissie informeert het Europees Comité voor gegevensbescherming over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Europees Comité voor gegevensbescherming heeft genomen.

HOOFDSTUK VIII BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 50 Recht een klacht in te dienen bij een toezichthoudende autoriteit

1.           Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte, bepalen de lidstaten dat iedere betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan de krachtens deze richtlijn vastgestelde bepalingen voldoet.

2.           De lidstaten bepalen dat alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die op geldige wijze volgens het recht van een lidstaat zijn opgericht, het recht hebben namens een of meer betrokkenen een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat de rechten van betrokkenen uit hoofde van deze richtlijn geschonden zijn als gevolg van de verwerking van persoonsgegevens. De organisatie of vereniging moet daartoe naar behoren door de betrokkene(n) gemachtigd zijn.

3.           De lidstaten bepalen dat alle in lid 2 bedoelde organen, organisaties of verenigingen, onafhankelijk van een klacht van een betrokkene, het recht hebben een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden.

Artikel 51 Recht een beroep in rechte in te stellen tegen een toezichthoudende autoriteit

1.           De lidstaten bepalen dat er een recht bestaat een beroep in rechte in te stellen tegen de besluiten van een toezichthoudende autoriteit.

2.           Iedere betrokkene heeft het recht een beroep in rechte in te stellen teneinde de toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer de toezichthoudende autoriteit hem niet overeenkomstig artikel 45, lid 1, onder b), binnen drie maanden in kennis heeft gesteld van de voortgang van de behandeling van de klacht of van het resultaat daarvan.

3.           De lidstaten bepalen dat een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

Artikel 52 Recht een beroep in rechte in te stellen tegen een voor de verwerking verantwoordelijke of een verwerker

Onverminderd andere mogelijkheden van administratief beroep, waaronder het recht een klacht in te dienen bij een toezichthoudende autoriteit, bepalen de lidstaten dat iedere natuurlijke persoon het recht heeft een beroep in rechte in te stellen, indien hij van mening is dat zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan die bepalingen voldoet.

Artikel 53 Gemeenschappelijke voorschriften voor beroepen in rechte

1.           De lidstaten bepalen dat alle in artikel 50, lid 2, bedoelde organen, organisaties of verenigingen het recht hebben de in de artikelen 51 en 52 bedoelde rechten namens één of meer betrokkenen uit te oefenen.

2.           Elke toezichthoudende autoriteit heeft het recht in rechte op te treden en een vordering in te stellen bij een gerechtelijke instantie om de krachtens deze richtlijn vastgestelde bepalingen te doen naleven of om de conformiteit van de bescherming van persoonsgegevens in de Unie te garanderen.

3.           De lidstaten zien erop toe dat hun nationale wetgeving voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.

Artikel 54 Aansprakelijkheid en het recht op vergoeding

1.           De lidstaten bepalen dat eenieder die schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een daad die onverenigbaar is met de krachtens deze richtlijn vastgestelde bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen.

2.           Wanneer meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn alle voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden tot volledige vergoeding van de schade.

3.           De voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 55 Sancties

De lidstaten stellen de sanctieregeling vast die van toepassing is op schendingen van de krachtens deze richtlijn vastgestelde bepalingen en treffen alle maatregelen die nodig zijn om ervoor te zorgen dat deze ten uitvoer wordt gelegd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

HOOFDSTUK IX GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 56 Uitoefening van de bevoegdheidsdelegatie

1.           De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel vastgestelde voorwaarden.

2.           De in artikel 28, lid 5, bedoelde bevoegdheidsdelegatie wordt de Commissie verleend voor een onbepaalde periode vanaf de datum waarop deze richtlijn in werking treedt.

3.           Het Europees Parlement of de Raad kan de in artikel 28, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking maakt een einde aan de delegatie van de bevoegdheden die in het besluit worden vermeld. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.           Zodra de Commissie een gedelegeerde handeling vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in kennis.

5.           Een overeenkomstig artikel 28, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement of de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen geen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van de termijn van twee maanden de Commissie heeft meegedeeld daartegen geen bezwaar te zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 57 Comitéprocedure

1.           De Commissie wordt bijgestaan door een comité. Dit comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.           Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.           Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.

HOOFDSTUK X SLOTBEPALINGEN

Artikel 58 Intrekkingen

1.           Kaderbesluit 2008/977/JBZ van de Raad wordt ingetrokken.

2.           Verwijzingen naar het in lid 1 bedoelde ingetrokken kaderbesluit gelden als verwijzingen naar deze richtlijn.

Artikel 59 Verhouding met reeds vastgestelde besluiten van de Unie inzake justitiële samenwerking in strafzaken en politiële samenwerking

De specifieke bepalingen ter bescherming van persoonsgegevens in verband met de verwerking van die gegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn opgenomen in besluiten van de Unie die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte en onder het toepassingsgebied van deze richtlijn vallende informatiesystemen regelen, blijven ongewijzigd.

Artikel 60 Verhouding met reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking

De internationale overeenkomsten die door de lidstaten voorafgaand aan de inwerkingtreding van deze richtlijn zijn gesloten, worden indien nodig binnen vijf jaar na de inwerkingtreding van deze richtlijn gewijzigd.

Artikel 61 Evaluatie

1.           De Commissie evalueert de toepassing van deze richtlijn.

2.           De Commissie gaat binnen drie jaar na de inwerkingtreding van deze richtlijn na of de andere besluiten die de Europese Unie in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen heeft vastgesteld, en met name de in artikel 59 bedoelde door de Unie vastgestelde besluiten, aan deze richtlijn moeten worden aangepast en dient in voorkomend geval de nodige voorstellen in om deze besluiten te wijzigen teneinde een conforme aanpak van de bescherming van persoonsgegevens binnen de werkingssfeer van deze richtlijn te waarborgen.

3.           De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze richtlijn overeenkomstig lid 1. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze richtlijn ingediend. De volgende verslagen worden om de vier jaar ingediend. De Commissie dient indien nodig passende voorstellen in om deze richtlijn te wijzigen en de andere rechtsinstrumenten aan te passen. Het verslag wordt openbaar gemaakt.

Artikel 62 Tenuitvoerlegging

1.           De lidstaten dienen uiterlijk op [datum twee jaar na de inwerkingtreding] de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mee.

Zij passen die bepalingen toe vanaf xx.xx.201x [datum/twee jaar na de inwerkingtreding].

Wanneer de lidstaten die bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2.           De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van nationaal recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 63 Inwerkingtreding en toepassing

Deze richtlijn treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 64 Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te Brussel, op 25.1.2012

Voor het Europees Parlement                       Voor de Raad

De voorzitter                                                  De voorzitter

[1]               Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.

[2]               Zie de volledige lijst in bijlage 3 bij de effectbeoordeling (SEC(2012)72).

[3]               Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, PB L 350 van 30.12.2008, blz. 60.

[4]               In het programma van Stockholm, PB C 115 van 4.5.2010, blz. 1.

[5]               Zie de op 25 november 2009 aangenomen resolutie van het Europees Parlement over het programma van Stockholm.

[6]               COM(2010) 171 definitief.

[7]               Mededeling van de Commissie “Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie”, COM(2010) 609 definitief, 4 november 2010.

[8]               Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen (13 december 2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Speciale Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Zie de studie over de economische voordelen van privacybevorderende technologieën of de vergelijkende studie over verschillende benaderingen van de nieuwe privacyproblemen, in het bijzonder in het licht van de technologische ontwikkelingen, januari 2010           (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             De Groep gegevensbescherming artikel 29 is in 1996 opgericht bij artikel 29 van de richtlijn en heeft een adviserende taak; zij is samengesteld uit vertegenwoordigers van de nationale toezichthoudende autoriteiten inzake gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming en de Commissie. Zie voor nadere informatie over de werkzaamheden:      http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Zie met name de adviezen over de toekomst van privacy (2009, WP 168), de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (1/2010, WP 169), online reclame op basis van surfgedrag (‘behavioural advertising’) (2/2010, WP 171), het verantwoordingsbeginsel  (3/2010, WP 173),  toepasselijk recht (8/2010, WP 179),  en toestemming (15/2011, WP 187). Op verzoek van de Commissie heeft de groep ook drie raadgevende documenten vastgesteld over respectievelijk kennisgevingen, gevoelige gegevens en de toepassing van artikel 28, lid 6, van Richtlijn 95/46/EG. Deze documenten zijn beschikbaar op: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Het advies is beschikbaar op de website van de Europese Toezichthouder: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_NL.pdf.

[16]             Resolutie van het EP van 6 juli 2011 over een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (2011/2025(INI)):   http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=NL&ring=A7-2011-0244 (rapporteur Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012) 12.

[20]             Arrest van het Hof van Justitie van de EU van 9.11.2011 in gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke en Eifert [2010], Jurispr. blz. I-0000.

[21]             Artikel 52, lid 1, van het Handvest van de grondrechten bepaalt dat beperkingen op de uitoefening van het recht op gegevensbescherming bij wet moeten worden gesteld en de wezenlijke inhoud van die rechten en vrijheden moeten eerbiedigen, en dat, met inachtneming van het evenredigheidsbeginsel slechts beperkingen kunnen worden gesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

[22]             Zoals ook in artikel 2, onder a), van Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad, PB L 335 van 17.12.2011, blz. 1.

[23]             COM(2005) 475 definitief.

[24]             Artikel 14 van Besluit 2009/371/JBZ van de Raad over Europol.

[25]             Artikel 15 van Besluit 2009/426/JBZ van de Raad over Eurojust.

[26]             Artikel 14 van Besluit 2009/371/JBZ van de Raad over Europol.

[27]             Europees Hof voor de rechten van de mens, arrest van 4.12.2008, S. en Marper / Verenigd Koninkrijk (verzoekschriften nrs. 30562/04 en 30566/04).        

[28]             Goedgekeurd op de internationale conferentie van commissarissen voor de bescherming van gegevens en de persoonlijke levenssfeer op 5.11.2009.

[29]             Hof van Justitie van de EU, arrest van 9.3.2010 in zaak C-518/01, Commissie / Duitsland, Jurispr. 2010 blz. I-1885.

[30]             Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, PB L 8 van 12.1.2001, blz. 1.

[31]             Op. cit., voetnoot 27.

[32]             Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (“Richtlijn inzake elektronische handel”), PB L 178 van 17.7.2000, blz. 1.

[33]             PB C […] van […], blz. […].

[34]             PB L 281 van 23.11.1995, blz. 31.

[35]             PB L 350 van 30.12.2008, blz. 60.

[36]             PB L 55 van 28.2.2011, blz. 13.

[37]             PB L 335 van 17.12.2011, blz. 1.

[38]             PB L 176 van 10.7.1999, blz. 36.

[39]             PB L 53 van 27.2.2008, blz. 52.

[40]             PB L 160 van 18.6.2011, blz. 21.