ISSN 1977-0758

Publicatieblad

van de Europese Unie

L 295

European flag  

Uitgave in de Nederlandse taal

Wetgeving

61e jaargang
21 november 2018


Inhoud

 

I   Wetgevingshandelingen

Bladzijde

 

 

VERORDENINGEN

 

*

Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 ( 1 )

1

 

*

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG ( 1 )

39

 

*

Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011

99

 

*

Verordening (EU) 2018/1727 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad

138

 


 

(1)   Voor de EER relevante tekst.

NL

Besluiten waarvan de titels mager zijn gedrukt, zijn besluiten van dagelijks beheer die in het kader van het landbouwbeleid zijn genomen en die in het algemeen een beperkte geldigheidsduur hebben.

Besluiten waarvan de titels vet zijn gedrukt en die worden voorafgegaan door een sterretje, zijn alle andere besluiten.


I Wetgevingshandelingen

VERORDENINGEN

21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/1


VERORDENING (EU) 2018/1724 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 2 oktober 2018

tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 21, lid 2, en artikel 114, lid 1,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

De interne markt is een van de meest tastbare verwezenlijkingen van de Unie. Door vrij verkeer van personen, goederen, diensten en kapitaal toe te staan, worden burgers en bedrijven nieuwe kansen geboden. Deze verordening is een belangrijk onderdeel van de strategie voor de eengemaakte markt die is vastgesteld in de mededeling van de Commissie van 28 oktober 2015 getiteld „De eengemaakte markt verbeteren: meer mogelijkheden voor mensen en ondernemingen”. Die strategie is bedoeld om het volledige potentieel van de interne markt te benutten door het voor burgers en bedrijven eenvoudiger te maken zich binnen de Unie te bewegen en grensoverschrijdend handel te drijven, zich in een andere lidstaat te vestigen en hun zakelijke activiteiten naar een andere lidstaat uit te breiden.

(2)

In de mededeling van de Commissie van 6 mei 2015 getiteld „Strategie voor een digitale eengemaakte markt voor Europa” is de rol erkend die internet en digitale technologieën spelen bij de verandering van ons leven en van de wijze waarop burgers en bedrijven informatie en kennis vergaren, goederen en diensten kopen, deelnemen aan de markt en werken, waardoor kansen worden geboden voor innovatie, groei en werkgelegenheid. In die mededeling en in diverse resoluties van het Europees Parlement is erop gewezen dat beter kan worden voldaan aan de behoeften die burgers en bedrijven in eigen land en bij hun grensoverschrijdende activiteiten ondervinden als de bestaande Europese portalen, websites, netwerken, diensten en systemen worden uitgebreid en geïntegreerd en worden gekoppeld aan verschillende nationale oplossingen, om zo „één digitale toegangspoort” te creëren die als enig Europees toegangspunt dient („de toegangspoort”). In de mededeling van de Commissie van 19 april 2016 getiteld „EU-actieplan inzake e-overheid 2016-2020 — Voor een snellere digitalisering van overheidsdiensten” werd de toegangspoort opgenomen als een van de maatregelen voor 2017. In het verslag van de Commissie van 24 januari 2017 getiteld „Versterking van de rechten van de burgers in een Unie van democratische verandering — Verslag over het EU-burgerschap 2017” werd aangegeven dat de toegangspoort een prioriteit is voor de rechten van burgers van de Unie.

(3)

Het Europees Parlement en de Raad hebben herhaaldelijk gevraagd om een vollediger en gebruikersvriendelijker informatie- en ondersteuningspakket om burgers en bedrijven wegwijs te maken op de interne markt, en de hulpmiddelen van de interne markt te versterken en stroomlijnen om beter te voldoen aan de behoeften die burgers en bedrijven bij hun grensoverschrijdende activiteiten ondervinden.

(4)

Deze verordening geeft gehoor aan die verzoeken door burgers en bedrijven eenvoudig toegang te geven tot de informatie, procedures en diensten voor ondersteuning en probleemoplossing die zij nodig hebben om hun rechten op de interne markt uit te oefenen. De toegangspoort zou kunnen bijdragen tot meer transparantie van regels en voorschriften voor verschillende zakelijke en levensgebeurtenissen op gebieden zoals reizen, pensioen, onderwijs, werkgelegenheid, gezondheidszorg, consumentenrechten en rechten van het gezin. Bovendien kan de toegangspoort bijdragen aan het versterken van het consumentenvertrouwen, het aanpakken van het gebrek aan kennis over consumentenbeschermings- en internemarktregels en het verminderen van de nalevingskosten voor bedrijven. Bij deze verordening wordt een toegangspoort opgericht die gebruikersvriendelijk en interactief is en die de gebruikers, op basis van hun behoeften, naar de meest geschikte diensten moet leiden. In die context is voor de Commissie en de lidstaten een belangrijke rol weggelegd om deze doelstellingen te verwezenlijken.

(5)

De toegangspoort moet de interactie tussen burgers en bedrijven, enerzijds, en bevoegde instanties, anderzijds, vergemakkelijken door toegang te verlenen tot onlineoplossingen die de dagelijkse activiteiten van burgers en bedrijven vergemakkelijken en de op de interne markt ondervonden belemmeringen tot een minimum beperken. Het bestaan van één digitale toegangspoort die onlinetoegang biedt tot nauwkeurige en actuele informatie, tot procedures en tot diensten voor ondersteuning en probleemoplossing kan ertoe bijdragen dat gebruikers zich meer bewust worden van de verschillende bestaande onlinediensten en kan hun tijd en geld besparen.

(6)

Deze verordening heeft drie doelstellingen, te weten administratieve belasting beperken voor burgers en bedrijven die geheel overeenkomstig de nationale voorschriften en procedures hun rechten met betrekking tot de interne markt, waaronder het vrije verkeer van burgers, uitoefenen of willen uitoefenen, discriminatie wegnemen en de werking van de interne markt verzekeren ten aanzien van de verstrekking van informatie, procedures en diensten voor ondersteuning en probleemoplossing. Aangezien deze verordening betrekking heeft op het vrije verkeer van burgers, wat niet als slechts bijkomstig kan worden beschouwd, moet zij op artikel 21, lid 2, en artikel 114, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) worden gebaseerd.

(7)

Om burgers en bedrijven van de Unie in staat te stellen hun recht op vrij verkeer binnen de interne markt uit te oefenen, moet de Unie specifieke, niet-discriminerende maatregelen vaststellen om hun eenvoudig toegang te bieden tot voldoende uitvoerige en betrouwbare informatie over hun rechten krachtens het Unierecht, alsmede tot informatie over de toepasselijke nationale voorschriften en procedures die zij moeten volgen wanneer zij naar een andere dan hun eigen lidstaat verhuizen of daar wonen of studeren of wanneer zij daar een bedrijf vestigen of uitoefenen. Informatie moet voldoende uitvoerig worden geacht indien zij alle inlichtingen bevat die noodzakelijk zijn opdat de gebruikers begrijpen wat hun rechten en plichten zijn en aangeeft welke regels op hen van toepassing zijn in verband met de activiteiten die zij als grensoverschrijdende gebruikers willen ondernemen. De informatie moet worden aangeboden op een duidelijke, beknopte en begrijpelijke wijze en moet operationeel en aangepast aan de doelgroep. Informatie over procedures moet alle te verwachten procedurele stappen bestrijken die voor de gebruiker relevant zijn. Het is voor burgers en bedrijven die te maken hebben met een complex regelgevingskader, zoals die welke die actief zijn in elektronische handel en de deeleconomie, van belang dat zij gemakkelijk kunnen uitvinden welke de toepasselijke regels zijn en hoe die van toepassing zijn op hun activiteiten. Onder eenvoudige en gebruikersvriendelijke toegang tot informatie wordt verstaan dat de gebruikers in staat worden gesteld op eenvoudige wijze de informatie terug te vinden, op eenvoudige wijze te bepalen welke informatie-elementen relevant zijn voor hun specifieke situatie en de relevante informatie vlot te begrijpen. De informatie die op nationaal niveau verstrekt moet worden, dient niet alleen betrekking te hebben op de nationale voorschriften tot uitvoering van het recht van de Unie, maar ook op andere nationale voorschriften die zowel van toepassing zijn op niet-grensoverschrijdende als op grensoverschrijdende gebruikers.

(8)

De regels over de verstrekking van informatie in deze verordening mogen niet van toepassing zijn op nationale rechterlijke organisaties, aangezien informatie op dat gebied die van belang is voor grensoverschrijdende gebruikers al op het e-justitieportaal te vinden is. In sommige situaties waarop deze verordening betrekking heeft, moeten rechtbanken worden geacht bevoegde instanties zijn, bijvoorbeeld wanneer rechtbanken bedrijfsregisters beheren. Het beginsel van non-discriminatie moet bovendien ook van toepassing zijn op onlineprocedures die toegang geven tot gerechtelijke procedures.

(9)

Het is duidelijk dat burgers en bedrijven uit andere lidstaten nadeel kunnen ondervinden doordat zij niet goed op de hoogte zijn van de nationale voorschriften en overheidssystemen, door verschillen in de gebruikte talen en doordat zij zich niet in de nabijheid bevinden van de bevoegde instanties in een andere dan hun eigen lidstaat. De hieruit voortvloeiende belemmeringen voor de interne markt kunnen het meest efficiënt worden aangepakt door grensoverschrijdende en niet-grensoverschrijdende gebruikers onlinetoegang tot informatie te geven in een taal die zij begrijpen, teneinde hun de mogelijkheid te bieden procedures voor de naleving van nationale voorschriften volledig online af te handelen en ondersteuning te bieden wanneer de voorschriften en procedures niet duidelijk genoeg zijn of wanneer zij stuiten op belemmeringen voor de uitoefening van hun rechten.

(10)

Een aantal handelingen van de Unie had tot doel oplossingen aan te reiken in de vorm van sectorgebonden één-loketsystemen, zoals de één-loketten die bij Richtlijn 2006/123/EG van het Europees Parlement en de Raad (3) zijn opgericht, die online informatie, ondersteunende diensten en toegang tot procedures in verband met de verlening van diensten aanbieden, de productcontactpunten die bij Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad (4) zijn ingesteld, de productcontactpunten voor de bouw die zijn ingesteld bij Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad (5) en die toegang verlenen tot productspecifieke technische voorschriften, en de nationale assistentiecentra voor beroepskwalificaties die zijn opgericht bij Richtlijn 2005/36/EG van het Europees Parlement en de Raad (6), die beroepsbeoefenaren helpen bij grensoverschrijdende mobiliteit. Daarnaast zijn er netwerken zoals het netwerk van Europese consumentencentra opgericht om het inzicht in de consumentenrechten binnen de Unie te vergroten en te helpen bij de afhandeling van klachten in verband met aankopen die tijdens reizen of online in andere lidstaten van het netwerk zijn gedaan. Voorts beoogt het in aanbeveling 2013/461/EU van de Commissie (7) bedoelde Solvitnetwerk snelle, effectieve en informele oplossingen te vinden voor problemen die burgers en ondernemingen ondervinden wanneer overheidsinstanties hun hun rechten ontzeggen die zij uit hoofde van de interne markt genieten. Ten slotte zijn verscheidene informatieportalen in verband met de interne markt, zoals Uw Europa, en het Europees e-justitieportaal, op het gebied van justitie, opgericht om gebruikers over Unie- en nationale voorschriften te informeren.

(11)

Door de sectorgebonden aard van deze handelingen van de Unie blijven de online beschikbare informatie, de diensten voor ondersteuning en probleemoplossing en de bijbehorende onlineprocedures voor burgers en bedrijven sterk versnipperd. Er zijn discrepanties in de onlinebeschikbaarheid van informatie en procedures, de kwaliteit van de diensten laat te wensen over, en de informatie en de diensten voor ondersteuning en probleemoplossing genieten onvoldoende bekendheid. Bovendien ondervinden grensoverschrijdende gebruikers problemen om deze diensten te vinden en er toegang toe te krijgen.

(12)

Bij deze verordening moet één digitale toegangspoort worden opgericht die fungeert als het enkele toegangspunt waar burgers en bedrijven terechtkunnen voor informatie over de voorschriften en vereisten waaraan zij uit hoofde van het Unierecht of het nationale recht moeten voldoen. Door die toegangspoort moet het voor burgers en bedrijven eenvoudiger worden contact op te nemen met op het niveau van de Unie of de lidstaten opgerichte diensten voor ondersteuning en probleemoplossing en moet dat contact doeltreffender worden. De toegangspoort moet bovendien de toegang tot onlineprocedures en de afhandeling daarvan vergemakkelijken. Daarom mag deze verordening op generlei wijze raken aan de bestaande rechten en plichten uit hoofde van het Unie- of nationale recht op deze beleidsterreinen. Voor de in bijlage II bij deze verordening opgesomde procedures en de in de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU (8) en 2014/25/EU (9) van het Europees Parlement en de Raad genoemde procedures moet deze verordening de toepassing van het eenmaligheidsbeginsel voor de uitwisseling van bewijs tussen de bevoegde instanties in verschillende lidstaten ondersteunen en het grondrecht op bescherming van persoonsgegevens in dat kader ten volle eerbiedigen.

(13)

De toegangspoort en de inhoud ervan moeten gebruikersgericht en gebruikersvriendelijk zijn. De toegangspoort moet gericht zijn op het vermijden van overlappingen en moet links aanbieden naar bestaande diensten. Zij moet burgers en bedrijven de mogelijkheid geven te interageren met overheidsinstanties op nationaal en Unieniveau, door hen in de gelegenheid te stellen feedback te geven over de via de toegangspoort verleende diensten en de door hen ervaren werking van de interne markt. Het hulpmiddel voor gebruikersreacties moet de gebruiker de mogelijkheid bieden om — op een wijze die de gebruiker in staat stelt anoniem te blijven — ondervonden problemen, tekortkomingen en behoeften te melden om te bevorderen dat de kwaliteit van de diensten voortdurend wordt verbeterd.

(14)

Het succes van de toegangspoort zal afhangen van de gezamenlijke inspanning van de Commissie en de lidstaten. De toegangspoort moet een gemeenschappelijke gebruikersinterface omvatten die wordt geïntegreerd in het bestaande portaal Uw Europa, dat door de Commissie moet worden beheerd. In de gemeenschappelijke gebruikersinterface moeten links worden opgenomen naar informatie, procedures en diensten voor ondersteuning of probleemoplossing die beschikbaar zijn op door de bevoegde instanties in de lidstaten en door de Commissie beheerde portalen. Om het gebruik van de toegangspoort te vergemakkelijken, moet de gemeenschappelijke gebruikersinterface in alle officiële talen van de instellingen van de Unie („officiële talen van de Unie”) beschikbaar zijn. Het bestaande portaal Uw Europa en de voornaamste toegangspagina daartoe moeten, aangepast aan de vereisten van de toegangspoort, deze meertalige benadering van de verstrekte informatie behouden. De werking van de toegangspoort moet worden ondersteund met technische hulpmiddelen die de Commissie in nauwe samenwerking met de lidstaten ontwikkelt.

(15)

In het „Charter for the electronic Points of Single Contact under Directive 2006/123/EC” (Handvest voor de elektronische één-loketten in het kader van Richtlijn 2006/123/EG), dat in 2013 door de Raad werd goedgekeurd, hebben de lidstaten de vrijwillige toezegging gedaan bij de verstrekking van informatie via de één-loketten een gebruikersgerichte aanpak te zullen volgen, zodat gebieden worden bestreken die van bijzonder belang zijn voor bedrijven, waaronder btw, inkomstenbelastingen, sociale zekerheid en arbeidswetgeving. Op basis van dat handvest en gelet op de ervaring met het portaal Uw Europa, moet in die informatie ook een beschrijving worden opgenomen van de diensten voor ondersteuning en probleemoplossing. Burgers en bedrijven moeten zich tot die diensten kunnen wenden wanneer zij de informatie niet goed begrijpen, niet weten hoe de informatie op hun situatie van toepassing is of problemen ondervinden bij de afhandeling van een procedure.

(16)

In deze verordening moeten de informatiegebieden worden vermeld die voor burgers en bedrijven van belang zijn bij de uitoefening van hun rechten en de naleving van hun verplichtingen binnen de interne markt. Op die gebieden moet voldoende uitgebreide informatie worden verstrekt op het nationale niveau, met inbegrip van het regionale en het lokale niveau, alsook op Unieniveau, waarbij toelichting wordt gegeven over de toepasselijke regels en geldende verplichtingen en over de procedures die burgers en bedrijven moeten volgen om daaraan te voldoen. Om de kwaliteit van de geboden diensten te waarborgen, moet de via de toegangspoort verstrekte informatie duidelijk, juist en actueel zijn, moet er zo weinig mogelijk gebruik worden gemaakt van ingewikkelde terminologie en mogen acroniemen alleen worden gebruikt als het om vereenvoudigde en gemakkelijk te begrijpen termen gaat waarvoor geen voorafgaande kennis van het thema of het rechtsgebied vereist is. Die informatie moet op een zodanige wijze worden verstrekt dat de gebruikers de basisregels en -vereisten die op die gebieden op hun situatie van toepassing zijn, gemakkelijk kunnen begrijpen. De gebruikers moeten ook worden geïnformeerd over het feit dat er in sommige lidstaten geen nationale regels zijn op de in bijlage I opgesomde informatiegebieden, vooral wanneer er in andere lidstaten op die gebieden wel nationale regels gelden. Dergelijke informatie over het ontbreken van nationale regels zou in het portaal Uw Europa kunnen worden opgenomen.

(17)

Informatie die de Commissie al bij de lidstaten heeft ingewonnen op grond van bestaande Uniewetgeving of van vrijwillige regelingen — zoals informatie die is verzameld voor het Eures-portaal, ingesteld bij Verordening (EU) 2016/589 van het Europees Parlement en de Raad (10), het e-justitieportaal, ingesteld bij Beschikking 2001/470/EG van de Raad (11) of de Gegevensbank gereglementeerde beroepen, ingesteld bij Richtlijn 2005/36/EG — moet telkens wanneer dat mogelijk is worden gebruikt om een deel van de informatie te bestrijken die overeenkomstig deze verordening aan burgers en bedrijven op Unie- en nationaal niveau moet worden verstrekt. Van de lidstaten mag niet worden verlangd dat zij op hun nationale websites informatie verstrekken die al in de desbetreffende door de Commissie beheerde gegevensbanken beschikbaar is. Wanneer lidstaten al online-informatie moeten verstrekken krachtens andere Uniehandelingen, zoals Richtlijn 2014/67/EU van het Europees Parlement en de Raad (12), moet het voldoende zijn dat de lidstaten links aanbieden naar de bestaande online-informatie. Wanneer bepaalde beleidsterreinen al volledig geharmoniseerd zijn via Uniewetgeving, bijvoorbeeld consumentenrechten, moet op het niveau van de Unie verstrekte informatie in het algemeen volstaan opdat de gebruikers kunnen begrijpen wat hun relevante rechten of plichten zijn. In dergelijke gevallen hoeven de lidstaten alleen maar aanvullende informatie te verstrekken over hun nationale administratieve procedures en diensten voor ondersteuning of andere nationale administratieve voorschriften indien deze voor de gebruikers relevant is. Zo mag informatie over consumentenrechten bijvoorbeeld niet raken aan het overeenkomstenrecht, maar dient zij de gebruikers enkel te informeren over hun rechten op grond van het Unie- of nationale recht in het kader van commerciële transacties.

(18)

Deze verordening moet de internemarktdimensie van onlineprocedures vergroten en aldus bijdragen aan de digitalisering van de interne markt, door onder meer in verband met de toegang van burgers of bedrijven tot onlineprocedures die reeds op basis van Unie- of nationaal recht op nationaal niveau zijn vastgesteld en in verband met de procedures die overeenkomstig deze verordening volledig online beschikbaar moeten worden gemaakt, aan het algemene non-discriminatiebeginsel vast te houden. Indien een gebruiker die zich in een situatie bevindt die uitsluitend onder één lidstaat ressorteert, in die lidstaat online toegang kan hebben tot een onder deze verordening vallende procedure en deze kan doorlopen, dan moet een grensoverschrijdende gebruiker ook online toegang kunnen hebben tot dezelfde procedure en deze kunnen doorlopen, via dezelfde technische oplossing dan wel via een andere, technisch onderscheiden oplossing die tot hetzelfde resultaat leidt, zonder discriminerende belemmeringen. Dergelijke belemmeringen kunnen bestaan uit op nationaal niveau ontworpen oplossingen, zoals velden van formulieren waarin alleen nationale telefoonnummers, nationale voorvoegsels voor telefoonnummers of nationale postcodes kunnen worden ingevuld, vergoedingen die alleen met systemen zonder grensoverschrijdende betaalmogelijkheden kunnen worden betaald, het ontbreken van uitvoerige toelichtingen in een taal die door grensoverschrijdende gebruikers wordt begrepen, het ontbreken van mogelijkheden om elektronische bewijzen van instanties uit een andere lidstaat in te dienen en het niet-aanvaarden van elektronische identificatiemiddelen die in andere lidstaten zijn afgegeven. De lidstaten moeten oplossingen voor die belemmeringen bieden.

(19)

Wanneer gebruikers onlineprocedures in een grensoverschrijdende context doorlopen, moeten zij alle relevante toelichting kunnen verkrijgen in een officiële taal van de Unie die door zo veel mogelijk grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat betekent niet dat de lidstaten hun administratieve formulieren in verband met de procedure of het resultaat van de procedure in die taal moeten vertalen. De lidstaten worden echter wel aangemoedigd om technische oplossingen te gebruiken die de gebruikers in staat stellen om de procedures in zo veel mogelijk gevallen in die taal te doorlopen, met inachtneming van de regels van de lidstaten inzake het gebruik van talen.

(20)

Het antwoord op de vraag welke nationale onlineprocedures voor grensoverschrijdende gebruikers relevant zijn met het oog op de uitoefening van hun rechten uit hoofde van de interne markt, is afhankelijk van het antwoord op de vraag of die gebruikers ingezetene zijn van dan wel gevestigd zijn in de betrokken lidstaat dan wel of zij toegang tot de procedures van die lidstaat willen terwijl zij ingezetene zijn van dan wel gevestigd zijn in een andere lidstaat. Deze verordening mag de lidstaten niet verhinderen van grensoverschrijdende gebruikers die ingezetene zijn van of gevestigd zijn op hun grondgebied, te verlangen dat zij een nationaal identificatienummer verkrijgen met het oog op toegang tot de nationale onlineprocedures, voor zover dit voor die gebruikers geen ongerechtvaardigde extra belasting of kosten met zich brengt. Voor grensoverschrijdende gebruikers die geen ingezetene zijn van of niet gevestigd zijn in de desbetreffende lidstaat, hoeven nationale onlineprocedures die niet relevant zijn voor de uitoefening van hun rechten uit hoofde van de interne markt, bijvoorbeeld inschrijving om lokale dienstverlening zoals afvalophaling en parkeervergunningen te genieten, niet volledig online toegankelijk te zijn.

(21)

Deze verordening moet voortbouwen op Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (13), waarin voorwaarden zijn vastgesteld waaronder lidstaten bepaalde elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onderworpen zijn aan een aangemeld stelsel voor elektronische identificatie van een andere lidstaat. In Verordening (EU) nr. 910/2014 zijn de voorwaarden neergelegd waaronder gebruikers gebruik mogen maken van hun elektronische identificatie- en authenticatiemiddelen om toegang te verkrijgen tot online publieke diensten in grensoverschrijdende situaties. De instellingen, organen, instanties en agentschappen van de Unie worden aangespoord om elektronische identificatie- en authenticatiemiddelen te accepteren voor de procedures waarvoor zij verantwoordelijk zijn.

(22)

In een aantal sectorale handelingen van de Unie, zoals de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU, is voorgeschreven dat de procedures volledig online beschikbaar moeten zijn. Deze verordening moet voorschrijven dat een aantal andere procedures die van wezenlijk belang zijn voor de meeste burgers en bedrijven die hun rechten uitoefenen en verplichtingen naleven in een grensoverschrijdende context, volledig online beschikbaar zijn.

(23)

Om burgers en bedrijven in staat te stellen rechtstreeks te profiteren van de voordelen van de interne markt zonder onnodige extra administratieve belasting, moet deze verordening voorschrijven dat de gebruikersinterface van bepaalde, in bijlage II bij deze verordening vermelde belangrijke procedures voor grensoverschrijdende gebruikers volledig gedigitaliseerd worden. In deze verordening moeten ook criteria worden gegeven om te bepalen hoe die procedures als volledig online kunnen worden aangemerkt. De verplichting om een dergelijke procedure volledig online beschikbaar te maken dient enkel te gelden indien de procedure in de betrokken lidstaten is vastgesteld. Deze verordening moet niet van toepassing zijn op de initiële inschrijving van een bedrijfsactiviteit, op de procedures die leiden tot de oprichting van een vennootschap als rechtspersoon of op latere indieningen door die vennootschappen, aangezien dergelijke procedures een alomvattende benadering vereisen om digitale oplossingen in de gehele levenscyclus van een onderneming te vergemakkelijken. Wanneer bedrijven zich in een andere lidstaat vestigen, moeten zij zich bij een socialezekerheidsregeling en een verzekeringsregeling inschrijven om hun werknemers daarbij aan te melden en bijdragen aan beide regelingen te betalen. Het is mogelijk dat zij hun bedrijfsactiviteiten moeten melden, vergunningen moeten verkrijgen of veranderingen in hun bedrijfsactiviteiten moeten registreren. Deze registratieprocedures gelden voor bedrijven in talrijke sectoren van de economie en het is bijgevolg passend te verlangen dat zij online beschikbaar worden gesteld.

(24)

Deze verordening moet verduidelijken wat het volledig online aanbieden van een procedure inhoudt. Een procedure moet als volledig online worden beschouwd wanneer de gebruiker alle stappen vanaf de toegang tot de voltooiing van de procedure, waarbij interactie plaatsvindt tussen hem en de bevoegde instantie (het „frontoffice”), elektronisch, op afstand en via een onlinedienst kan doorlopen. Deze onlinedienst moet de gebruiker wegwijs maken in een lijst van alle te vervullen voorwaarden en van alle aan te leveren ondersteunende bewijsstukken, moet de gebruiker in staat stellen de informatie en het bewijs van naleving van al die voorwaarden te verstrekken en moet de gebruiker een automatische ontvangstbevestiging sturen, tenzij de output van de procedure onmiddellijk wordt geleverd. Dit mag de bevoegde instanties niet beletten om rechtstreeks contact op te nemen met de gebruikers wanneer dat nodig is om voor de procedure benodigde nadere toelichting te verkrijgen. De bevoegde instanties dienen de output van de procedure, als bepaald in deze verordening, eveneens langs elektronische weg aan de gebruiker te sturen, waar mogelijk op grond van geldende Unie- en nationale wetgeving.

(25)

Deze verordening mag geen afbreuk doen aan de essentie van de in bijlage II opgesomde procedures die op nationaal, regionaal of lokaal niveau zijn vastgesteld, en mag geen materiële op procedurele regels vastleggen op de onder bijlage II vallende gebieden, met inbegrip van belastingen. Het doel van deze verordening moet zijn de technische vereisten vast te stellen om ervoor te zorgen dat dergelijke procedures, wanneer die in de betrokken lidstaat zijn vastgesteld, volledig online beschikbaar worden gemaakt.

(26)

Deze verordening mag geen afbreuk doen aan de bevoegdheden van nationale instanties in een procedure, waaronder de verificatie van de juistheid en geldigheid van verstrekte informatie of vertrekt bewijs en de verificatie van de authenticiteit wanneer het bewijs op een andere wijze wordt ingediend dan via het op het eenmaligheidsbeginsel gebaseerde technische systeem. Evenmin mag deze verordening raken aan de — al dan niet gedigitaliseerde — procedurele werkstromen binnen en tussen de bevoegde instanties (het „backoffice”). Wanneer zulks noodzakelijk is in het kader van sommige van de procedures voor het registreren van bedrijfsactiviteiten, moeten de lidstaten kunnen blijven vereisen dat er een notaris of jurist wordt ingeschakeld die gebruik zou kunnen willen maken van verificatiemiddelen, zoals videoconferenties of andere onlinemiddelen die een audiovisuele realtimeverbinding mogelijk maken. Het inschakelen van een notaris of jurist mag echter niet beletten dat procedures voor het registreren van zulke veranderingen volledig online worden afgehandeld.

(27)

In sommige gevallen kan van de gebruikers worden verlangd dat zij bewijs overleggen ter staving van feiten die niet online kunnen worden vastgesteld. Dat bewijs kan bijvoorbeeld een medische verklaring, een bewijs van in leven zijn, een keuringsbewijs voor motorvoertuigen of de bevestiging van de chassisnummers ervan zijn. Als zulk bewijs via elektronische weg kan worden verstrekt, zou dit geen uitzondering mogen vormen op het beginsel dat een procedure volledig online moet worden aangeboden. In andere gevallen kan het nog nodig zijn dat gebruikers in het kader van een onlineprocedure in persoon bij een bevoegde instantie verschijnen. Dergelijke uitzonderingen moeten, als zij niet voortvloeien uit Uniewetgeving, worden beperkt tot situaties die gerechtvaardigd worden door een dwingende reden van algemeen belang op het gebied van openbare veiligheid, volksgezondheid of fraudebestrijding. Ter waarborging van de transparantie moeten de lidstaten met de Commissie en de andere lidstaten informatie delen over zulke uitzonderingen en de redenen waarom en de omstandigheden waarin die kunnen worden toegepast. Van de lidstaten mag niet worden verlangd dat zij verslag uitbrengen over elk afzonderlijk geval waarin bij wijze van uitzondering fysieke aanwezigheid werd vereist, maar zij moeten wel meedelen welke nationale bepalingen er ter zake bestaan. Beste praktijken op nationaal niveau en technische ontwikkelingen die verdere digitalisering op dit gebied mogelijk maken, moeten regelmatig in een toegangspoortcoördinatiegroep worden besproken.

(28)

In grensoverschrijdende situaties kan de procedure voor het registreren van een adreswijziging bestaan uit twee afzonderlijke procedures: een procedure in de lidstaat van herkomst om de uitschrijving voor het oude adres te vragen en een procedure in de lidstaat van bestemming om de inschrijving op het nieuwe adres te vragen. Beide procedures moeten onder deze verordening vallen.

(29)

Aangezien de digitalisering van de verplichtingen, procedures en formaliteiten voor de erkenning van beroepskwalificaties reeds onder Richtlijn 2005/36/EG valt, dient deze verordening uitsluitend betrekking te hebben op de digitalisering van de procedure waarbij om academische erkenning van diploma’s, certificaten of andere bewijzen van voltooide opleidingen wordt verzocht met betrekking tot een persoon die een studie wenst te beginnen of voort te zetten of die een academische titel wenst te voeren, die niet de formaliteiten inzake de erkenning van beroepskwalificaties betreffen.

(30)

Deze verordening moet de bepalingen betreffende de coördinatie van de socialezekerheidsstelsels van de Verordeningen (EG) nr. 883/2004 (14) en (EG) nr. 987/2009 van het Europees Parlement en de Raad (15), waarin de rechten en verplichtingen van verzekerden en socialezekerheidsinstellingen en de toepasselijke procedures op het gebied van de coördinatie van de sociale zekerheid vastgesteld zijn, onverlet laten.

(31)

Op Unie- en nationaal niveau zijn verscheidene netwerken en diensten opgericht om burgers en bedrijven te ondersteunen bij hun grensoverschrijdende activiteiten. Het is belangrijk dat die diensten, waaronder bestaande diensten voor ondersteuning of probleemoplossing die op Unieniveau zijn opgezet, zoals de Europese consumentencentra, Uw Europa — Advies, Solvit, de helpdesk intellectuele-eigendomsrechten, Europe Direct en het Enterprise Europe Network, in de toegangspoort worden opgenomen, om ervoor te zorgen dat alle potentiële gebruikers ze kunnen vinden. De in bijlage III vermelde diensten zijn opgericht bij bindende handelingen van de Unie, terwijl andere diensten op vrijwillige basis functioneren. De diensten die bij bindende handelingen van de Unie zijn opgericht moeten gebonden zijn aan de in deze verordening vastgestelde kwaliteitseisen, terwijl de op vrijwillige basis functionerende diensten aan die kwaliteitseisen moeten voldoen als de bedoeling is om ze via de toegangspoort toegankelijk te maken. De reikwijdte en de aard van die diensten, hun governanceregelingen, de bestaande termijnen en de vrijwillige, contractuele of andere grondslag waarop zij opereren, mogen niet door deze verordening worden gewijzigd. Wanneer bijvoorbeeld de ondersteuning die zij bieden een informeel karakter heeft, mag deze verordening er niet toe leiden dat die ondersteuning wordt veranderd in juridisch advies met een bindend karakter.

(32)

Bovendien moeten de lidstaten en de Commissie, onder de in deze verordening vastgestelde voorwaarden, in staat zijn om andere nationale diensten voor ondersteuning of probleemoplossing in de toegangspoort op te nemen die verleend worden door bevoegde instanties of particuliere of semi-particuliere instanties dan wel door openbare instanties zoals handelskamers of niet-gouvernementele ondersteuningsdiensten voor burgers. In beginsel moeten de bevoegde instanties verantwoordelijk zijn voor de ondersteuning van burgers en bedrijven die vragen over de toepasselijke voorschriften en procedures hebben die door de onlinediensten niet volledig kunnen worden beantwoord. Als het echter zeer specialistische gebieden betreft en een door een particulier of semi-particulier orgaan verleende dienst aan de behoeften van de gebruikers voldoet, kunnen de lidstaten aan de Commissie voorstellen een dergelijke dienst in de toegangspoort op te nemen, mits die diensten aan alle voorwaarden van deze verordening voldoet en hierdoor geen doublure ontstaat met reeds opgenomen diensten voor ondersteuning of probleemoplossing.

(33)

Om gebruikers de juiste dienst te helpen vinden, moet deze verordening een hulpmiddel zoekfunctie voor ondersteunende diensten bieden dat de gebruikers automatisch naar de juiste dienst leidt.

(34)

Voor het succes van de toegangspoort is het cruciaal dat een minimumreeks kwaliteitseisen wordt nageleefd om te waarborgen dat de verstrekte informatie en diensten betrouwbaar zijn, aangezien de geloofwaardigheid van de toegangspoort als geheel anders ernstig zou worden ondermijnd. De overkoepelende doelstelling van die naleving is ervoor te zorgen dat de informatie of dienst wordt aangeboden op een duidelijke en gebruiksvriendelijke manier. Het is de verantwoordelijkheid van de lidstaten om te bepalen hoe de informatie met dat doel tijdens het gebruikerstraject wordt gepresenteerd. Zo is het bijvoorbeeld voor gebruikers nuttig om, voordat zij een procedure starten, geïnformeerd te worden over de algemeen beschikbare verhaalmiddelen wanneer de procedure tot een negatief resultaat leidt, maar is het veel gebruiksvriendelijker om specifieke informatie te verstrekken over de mogelijke stappen die in dat geval aan het einde van de procedure moeten worden ondernomen.

(35)

De toegankelijkheid van informatie voor grensoverschrijdende gebruikers kan aanzienlijk worden verbeterd wanneer die informatie beschikbaar wordt gesteld in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat kan in de meeste gevallen de vreemde taal zijn die het meest wordt gestudeerd door gebruikers in de gehele Unie, maar in sommige specifieke gevallen, meer bepaald wanneer informatie op plaatselijk niveau moet worden verstrekt door kleine gemeenten in de nabijheid van de grens van een lidstaat, kan de meest geschikte taal de taal zijn die als eerste taal wordt gesproken door de grensoverschrijdende gebruikers in de buurlidstaat. De vertaling van de officiële taal of talen van de lidstaat in kwestie in die andere officiële taal van de Unie moet de inhoud van de in de oorspronkelijke taal of talen verstrekte informatie accuraat weergeven. De vertaling kan beperkt worden tot de informatie die gebruikers nodig hebben om de basisregels en -vereisten te begrijpen die op hun situatie van toepassing zijn. De lidstaten moeten worden aangemoedigd om zo veel mogelijk informatie te vertalen in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, maar de hoeveelheid informatie die krachtens deze verordening moet worden vertaald zal afhangen van de financiële middelen die voor dat doel beschikbaar zijn, in het bijzonder binnen de begroting van de Unie. De Commissie moet de nodige regelingen treffen om te zorgen voor een efficiënte levering van vertalingen aan de lidstaten indien zij daarom verzoeken. De toegangspoortcoördinatiegroep moet bespreken in welke taal of talen van de Unie die informatie moet worden vertaald en moet daar richtsnoeren voor aanreiken.

(36)

In overeenstemming met Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad (16) moeten de lidstaten erop toezien dat de websites van hun overheidsinstanties toegankelijk zijn in overeenstemming met de beginselen van waarneembaarheid, bedienbaarheid, begrijpelijkheid en robuustheid en dat zij voldoen aan de vereisten van die richtlijn. De Commissie en de lidstaten moeten zorgen voor naleving van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap, met name de artikelen 9 en 21 daarvan, en om personen met een verstandelijke handicap betere toegang te bieden tot informatie moeten er zo veel mogelijk alternatieven in gemakkelijk leesbare taal worden aangeboden, overeenkomstig het evenredigheidsbeginsel. De lidstaten en de Unie hebben, door dit Verdrag te ratificeren respectievelijk te sluiten (17), zich ertoe verbonden passende maatregelen te nemen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot nieuwe informatie- en communicatietechnologieën en -systemen, met inbegrip van het internet, door de toegang tot informatie voor personen met een verstandelijke handicap te vergemakkelijken door, binnen de grenzen van het redelijke, zo veel mogelijk alternatieven in gemakkelijk leesbare taal aan te bieden.

(37)

Richtlijn (EU) 2016/2102 is niet van toepassing op websites en mobiele toepassingen van instellingen, organen, instanties en agentschappen van de Unie, maar de Commissie moet ervoor zorgen dat de onder haar verantwoordelijkheid vallende gemeenschappelijke gebruikersinterface en websites die in de toegangspoort moeten worden opgenomen, toegankelijk zijn voor personen met een handicap, wat betekent dat zij waarneembaar, bedienbaar, begrijpelijk en robuust moeten zijn. Onder waarneembaarheid wordt verstaan dat de informatie en de componenten van de gemeenschappelijke gebruikersinterface zodanig aan gebruikers moeten kunnen worden gepresenteerd dat zij kunnen worden waargenomen, onder bedienbaarheid wordt verstaan dat de componenten van de gemeenschappelijke gebruikersinterface en de navigatie bedienbaar moeten zijn, onder begrijpelijkheid wordt verstaan dat de informatie en de werking van de gemeenschappelijke gebruikersinterface begrijpelijk moeten zijn, en onder robuustheid wordt verstaan dat content voldoende robuust moet zijn opdat hij op betrouwbare wijze wordt geïnterpreteerd door uiteenlopende useragents, waaronder hulptechnologieën. Met betrekking tot de termen waarneembaar, bedienbaar, begrijpelijk en robuust wordt de Commissie aangespoord om aan de desbetreffende geharmoniseerde normen te voldoen.

(38)

Om de betaling van vergoedingen die worden verlangd als onderdeel van onlineprocedures of voor het verlenen van diensten voor ondersteuning of probleemoplossing te vergemakkelijken, moeten grensoverschrijdende gebruikers overmakingen of automatische afschrijvingen overeenkomstig Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad (18) of andere algemeen gebruikte grensoverschrijdende betaalmiddelen, waaronder debet- of kredietkaarten, kunnen gebruiken.

(39)

Het is nuttig om gebruikers in te lichten over de verwachte duur van een procedure. Aldus moeten gebruikers worden geïnformeerd over de geldende termijnen of de regelingen „stilzwijgende goedkeuring” of „administratieve stilte” of, indien deze niet van toepassing zijn, ten minste over de gemiddelde, geraamde of indicatieve termijn die de betrokken procedure gewoonlijk vereist. Die ramingen of indicaties mogen gebruikers alleen helpen bij het plannen van hun activiteiten of eventuele administratieve vervolgstappen en mogen geen rechtsgevolgen hebben.

(40)

Deze verordening moet ook de verificatie van door gebruikers in elektronische vorm verstrekt bewijs toestaan wanneer dat bewijs zonder elektronisch zegel of certificatie van de uitgevende bevoegde instantie wordt verstrekt of wanneer het bij deze verordening ingestelde technische hulpmiddel of een ander systeem voor rechtstreekse uitwisseling of verificatie van bewijs tussen de bevoegde instanties van verschillende lidstaten niet beschikbaar is. Voor die gevallen moet deze verordening voorzien in een doeltreffend mechanisme voor de administratieve samenwerking tussen de bevoegde instanties van de lidstaten op basis van het bij Verordening (EU) nr. 1024/2012 van het Europees Parlement en de Raad (19) ingestelde Informatiesysteem interne markt (IMI). In dergelijke gevallen moet het besluit van een bevoegde instantie om het IMI te gebruiken vrijwillig zijn, maar zodra die instantie een verzoek om informatie of samenwerking via het IMI heeft ingediend, dient de aangezochte bevoegde instantie verplicht te zijn samen te werken en te antwoorden. Het verzoek kan via het IMI worden toegezonden aan de bevoegde instantie die het bewijs afgeeft, of aan de centrale instantie die door de lidstaten moet worden aangewezen overeenkomstig hun eigen administratieve voorschriften. Om onnodige doublures te voorkomen en aangezien Verordening (EU) 2016/1191 van het Europees Parlement en de Raad (20) van toepassing is op een deel van de bewijzen die relevant zijn voor de onder deze verordening vallende procedures, kunnen de in Verordening (EU) 2016/1191 vastgestelde samenwerkingsregelingen voor het IMI ook worden gebruikt voor andere bewijzen die nodig zijn voor onder deze verordening vallende procedures. Verordening (EU) nr. 1024/2012 moet worden gewijzigd om toe te staan dat organen, instanties of agentschappen van de Unie actoren binnen het IMI worden.

(41)

Om de kwaliteit en veiligheid van de dienstverlening aan burgers en bedrijven te verbeteren, zijn onlinediensten van de bevoegde instanties cruciaal. Overheidsdiensten binnen de lidstaten streven steeds meer naar het hergebruik van gegevens en verlangen steeds minder vaak van burgers en bedrijven dat zij dezelfde informatie meerdere keren verstrekken. Het hergebruiken van gegevens moet worden bevorderd voor grensoverschrijdende gebruikers om extra lasten te beperken.

(42)

Om rechtmatige grensoverschrijdende uitwisseling van bewijs en informatie middels Uniebrede toepassing van het eenmaligheidsbeginsel mogelijk te maken, moet de toepassing van deze verordening en van het eenmaligheidsbeginsel voldoen aan alle toepasselijke gegevensbeschermingsregels, waaronder de beginselen van minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, noodzakelijkheid, evenredigheid en doelbinding. Bij de tenuitvoerlegging ervan moeten ook de beginselen van ingebouwde veiligheid en ingebouwde privacy ten volle worden nageleefd en moeten de grondrechten van personen, waaronder die inzake billijkheid en de transparantie, worden geëerbiedigd.

(43)

De lidstaten moeten ervoor zorgen dat de gebruikers van procedures duidelijke informatie krijgen over de wijze waarop op hen betrekking hebbende persoonsgegevens zullen worden verwerkt overeenkomstig de artikelen 13 en 14 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (21) en de artikelen 15 en 16 van Verordening (EU) 2018/1725 (22).

(44)

Om het gebruik van onlineprocedures verder te vergemakkelijken, moet deze verordening overeenkomstig het eenmaligheidsbeginsel de grondslag leggen voor het opzetten en gebruiken van een volledig operationeel, veilig en beveiligd technisch systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs tussen de bij de procedure betrokken actoren, wanneer burgers en bedrijven daarom uitdrukkelijk verzoeken. Wanneer de uitwisseling van bewijs ook persoonsgegevens betreft, dient het verzoek als uitdrukkelijk te worden beschouwd indien het een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie geeft omtrent de wens van het individu om de desbetreffende persoonsgegevens te laten uitwisselen, hetzij door een verklaring, hetzij door een actieve handeling. Indien de gebruiker niet de persoon is op wie de gegevens betrekking hebben, mag de onlineprocedure geen afbreuk doen aan diens rechten uit hoofde van Verordening (EU) 2016/679. De grensoverschrijdende toepassing van het eenmaligheidsbeginsel moet ertoe leiden dat burgers en bedrijven dezelfde gegevens slechts één keer aan overheidsinstanties hoeven te verstrekken en dat die gegevens op verzoek van de gebruiker ook kunnen worden gebruikt om grensoverschrijdende onlineprocedures waarbij grensoverschrijdende gebruikers betrokken zijn, te voltooien. Voor de uitgevende bevoegde instantie moet de verplichting om het technische systeem te gebruiken voor de geautomatiseerde uitwisseling van bewijzen tussen verschillende lidstaten alleen gelden indien instanties in hun eigen lidstaat op rechtmatige wijze bewijs uitgeven in een elektronische vorm die die geautomatiseerde uitwisseling mogelijk maakt.

(45)

Voor de grensoverschrijdende uitwisseling van bewijzen moet er een passende rechtsgrond zijn, zoals Richtlijn 2005/36/EG, 2006/123/EG, 2014/24/EU of 2014/25/EU, of — voor de in bijlage II vermelde procedures — andere Unie- of nationale wetgeving.

(46)

Het is passend dat in deze verordening, als algemene regel, wordt bepaald dat de grensoverschrijdende geautomatiseerde uitwisseling van bewijs plaatsvindt op uitdrukkelijk verzoek van de gebruiker. Dit vereiste mag evenwel niet gelden indien het toepasselijke Unierecht of nationale recht voorziet in een geautomatiseerde grensoverschrijdende uitwisseling zonder uitdrukkelijk verzoek van de gebruiker.

(47)

Het gebruik van het bij deze verordening ingestelde technische systeem moet vrijwillig blijven en de gebruiker moet de mogelijkheid behouden om bewijs over te leggen op andere manieren dan via dit technische systeem. De gebruiker moet de mogelijkheid hebben om het bewijs vooraf in te zien en het recht om ervoor te kiezen om niet over te gaan tot de uitwisseling van bewijs indien hij bij inzage van het uit te wisselen bewijs ontdekt dat de informatie niet accuraat of verouderd is of verder gaat dan wat nodig is voor de desbetreffende procedure. De gegevens voor inzage mogen niet langer worden opgeslagen dan technisch gezien noodzakelijk is.

(48)

Het beveiligde technische systeem dat voor de uitwisseling van bewijs in het kader van deze verordening moet worden ingesteld, moet bevoegde instanties die een verzoek indienen zekerheid bieden dat het bewijs door de juiste uitgevende instantie is verstrekt. Alvorens de door een gebruiker in het kader van een procedure verstrekte informatie te aanvaarden, moet de bevoegde instantie de informatie kunnen verifiëren indien deze twijfel doet rijzen en moet zij kunnen concluderen dat deze juist is.

(49)

Er bestaan een aantal bouwstenen die basismogelijkheden bieden, welke kunnen worden gebruikt om het technische systeem op te zetten, zoals de financieringsfaciliteit voor Europese verbindingen, welke is vastgesteld bij Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad (23), en de bouwstenen voor e-levering en elektronische identiteitskaarten die daarvan deel uitmaken. Die bouwstenen bestaan uit technische specificaties, voorbeeldsoftware en ondersteunende diensten en hebben tot doel te zorgen voor interoperabiliteit tussen de bestaande informatie- en communicatietechnologiesystemen (ICT-systemen) in verschillende lidstaten, zodat burgers, bedrijven en overheden, op om het even welke plaats in de Unie, kunnen profiteren van naadloos aansluitende digitale overheidsdiensten.

(50)

Het bij deze verordening ingestelde technische systeem moet beschikbaar zijn naast andere systemen die mechanismen voor samenwerking tussen instanties bieden, zoals het IMI, en het mag niet van invloed zijn op andere systemen, waaronder het bij Verordening (EG) nr. 987/2009 ingestelde systeem, het Uniform Europees Aanbestedingsdocument uit hoofde van Richtlijn 2014/24/EU, de elektronische uitwisseling van gegevens betreffende sociale zekerheid uit hoofde van Verordening (EG) nr. 987/2009, de Europese beroepskaart krachtens Richtlijn 2005/36/EG, de koppeling van nationale registers en de koppeling van centrale, handels- en vennootschapsregisters in het kader van Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad (24) en de koppeling van insolventieregisters in het kader van Verordening (EU) 2015/848 van het Europees Parlement en de Raad (25).

(51)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van een technisch systeem voor de geautomatiseerde uitwisseling van bewijzen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om met name de technische en operationele specificaties vast te stellen van een systeem voor de verwerking van een verzoek van een gebruiker om uitwisseling van bewijs en voor de overdracht van dergelijk bewijs, alsook om de regels vast te stellen die nodig zijn teneinde de integriteit en vertrouwelijkheid van de overdracht te waarborgen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26).

(52)

Om te verzekeren dat het technische systeem een hoog niveau van beveiliging biedt voor de grensoverschrijdende toepassing van het eenmaligheidsbeginsel, dient de Commissie bij de vaststelling van uitvoeringshandelingen waarin de specificaties voor een dergelijk technisch systeem worden vastgelegd terdege rekening te houden met de normen en technische kenmerken die zijn opgesteld door Europese en internationale organisaties en organen voor normalisatie, in het bijzonder het Europees Comité voor Normalisatie (CEN), het Europees Instituut voor telecommunicatienormen (ETSI), de Internationale Organisatie voor normalisatie (ISO), en de Internationale Telecommunicatie-unie (ITU), alsook de in artikel 32 van Verordening (EU) 2016/679 en artikel 22 van Verordening (EU) 2018/1725 bedoelde veiligheidsnormen.

(53)

Wanneer zulks nodig is om de ontwikkeling, de beschikbaarheid, het onderhoud, de supervisie, de monitoring en het beveiligingsbeheer van de onderdelen van het technische systeem waarvoor de Commissie verantwoordelijk is te waarborgen, moet de Commissie het advies inwinnen van de Europese Toezichthouder voor gegevensbescherming.

(54)

De bevoegde instanties en de Commissie moeten waarborgen dat de informatie, procedures en diensten waarvoor zij verantwoordelijk zijn, aan de kwaliteitscriteria voldoen. De krachtens deze verordening aangewezen nationale coördinatoren en de Commissie moeten met regelmatige tussenpozen toezien op de naleving van de kwaliteits- en veiligheidscriteria op het niveau van de lidstaten, respectievelijk het niveau van de Unie, en eventuele problemen oplossen. Voorts moeten de nationale coördinatoren de Commissie bijstaan bij het toezicht op de werking van het technisch systeem dat de grensoverschrijdende uitwisseling van bewijzen mogelijk maakt. Deze verordening moet de Commissie een reeks middelen verschaffen om elke verslechtering van de kwaliteit van de via de toegangspoort aangeboden diensten, rekening houdend met de ernst en het voortduren van de verslechtering, aan te pakken, waarbij — indien nodig — de toegangspoortcoördinatiegroep wordt betrokken. Dit mag geen afbreuk doen aan de algemene verantwoordelijkheid van de Commissie voor het toezicht op de naleving van deze verordening.

(55)

Bij deze verordening moeten de belangrijkste functies worden gespecificeerd van de technische hulpmiddelen die het functioneren van de toegangspoort ondersteunen, en in het bijzonder de gemeenschappelijke gebruikersinterface, het register voor links en de gemeenschappelijke zoekfunctie voor ondersteunende diensten. De gemeenschappelijke gebruikersinterface moet ervoor zorgen dat de gebruikers op websites op nationaal en Unieniveau gemakkelijk informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden. De lidstaten en de Commissie moeten ernaar streven om te voorzien in links naar één enkele bron met de informatie die vereist is voor de toegangspoort, teneinde verwarring bij gebruikers als gevolg van verschillende, geheel of gedeeltelijk duplicerende informatiebronnen te voorkomen. Dit mag niet de mogelijkheid uitsluiten om te voorzien in links naar dezelfde informatie die door lokale of regionale bevoegde instanties over verschillende geografische gebieden wordt verstrekt. Het mag ook niet beletten dat informatie wordt gedupliceerd wanneer dit onvermijdelijk of wenselijk is, bijvoorbeeld wanneer op nationale webpagina’s bepaalde Unierechten, -verplichtingen en -regels worden herhaald of beschreven om de gebruikersvriendelijkheid te verbeteren. Om de rol van personen bij het actualiseren van de links in de gemeenschappelijke gebruikersinterface tot een minimum te beperken, moet, waar technisch mogelijk, een directe verbinding tussen de relevante technische systemen van de lidstaten en het register voor links tot stand worden gebracht. De gemeenschappelijke ICT-ondersteunende instrumenten kunnen eventueel gebruikmaken van de Core Public Services Vocabulary (CPSV) om de interoperabiliteit met nationale dienstencatalogi en de semantiek te vergemakkelijken. De lidstaten dienen te worden aangespoord de CPSV te gebruiken, maar kunnen besluiten nationale oplossingen aan te wenden. Om hergebruik mogelijk te maken moet de informatie in het register voor links in een open, algemeen gebruikte en machineleesbare vorm publiek toegankelijk worden gemaakt, bijvoorbeeld door applicatieprogramma-interfaces (API’s).

(56)

De zoekfunctie in de gemeenschappelijke gebruikersinterface moet de gebruikers leiden naar de informatie die zij nodig hebben, ongeacht of die zich op webpagina’s van de Unie of nationale webpagina’s bevindt. Als alternatieve wijze om de gebruikers naar nuttige informatie te leiden zal de zoekfunctie behulpzaam blijven bij het maken van links tussen bestaande en aanvullende websites of webpagina’s door die zo veel mogelijk te stroomlijnen en te groeperen, en bij het maken van links tussen webpagina’s en websites op Unie- en nationaal niveau die toegang verlenen tot onlinediensten en -informatie.

(57)

In deze verordening dienen ook de kwaliteitseisen voor de gemeenschappelijke gebruikersinterface te worden gespecificeerd. De Commissie moet erop toezien dat de gemeenschappelijke gebruikersinterface voldoet aan deze eisen en met name online beschikbaar en toegankelijk is via diverse kanalen en eenvoudig te gebruiken is.

(58)

Om eenvormige voorwaarden te waarborgen voor de toepassing van de technische oplossingen die de toegangspoort ondersteunen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om, waar nodig, de toepasselijke normen en interoperabiliteitseisen vast te stellen om het gemakkelijker te maken informatie te vinden over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing waarvoor de lidstaten en de Commissie verantwoordelijk zijn. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(59)

Bij deze verordening moet de verantwoordelijkheid voor de ontwikkeling, de beschikbaarheid, het onderhoud en de beveiliging van de ICT-toepassingen die de toegangspoort ondersteunen, bovendien duidelijk worden verdeeld tussen de Commissie en de lidstaten. In het kader van hun taken op het gebied van het onderhoud moeten de Commissie en de lidstaten regelmatig controleren of die ICT-toepassingen goed functioneren.

(60)

Om het volledige potentieel van de in de toegangspoort op te nemen informatiegebieden, procedures en diensten voor ondersteuning en probleemoplossing te ontwikkelen, moet bij de doelgroepen aanzienlijk meer bekendheid worden gegeven aan het bestaan en de werking ervan. Door de opname ervan in de toegangspoort moeten gebruikers veel gemakkelijker de nodige informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden, zelfs als zij met geen van deze elementen vertrouwd zijn. Voorts zullen gecoördineerde promotiecampagnes nodig zijn om ervoor te zorgen dat burgers en bedrijven in de hele Unie zich bewust worden van het bestaan van de toegangspoort en de voordelen ervan. Dergelijke promotieactiviteiten moeten onder meer bestaan uit zoekmachineoptimalisatie en andere digitale bewustmakingsacties, aangezien deze het meest kosteneffectief zijn en de grootst mogelijke doelgroep kunnen bereiken. Voor maximale efficiëntie moeten die promotieactiviteiten gecoördineerd worden door de toegangspoortcoördinatiegroep en moeten de lidstaten hun promotiecampagnes zodanig vormgeven dat er in elke situatie naar een gemeenschappelijk merk wordt verwezen, met de mogelijkheid om het merk van de toegangspoort aan dat van nationale initiatieven te koppelen.

(61)

Alle instellingen, organen en instanties van de Unie moeten worden aangespoord de toegangspoort te promoten door het logo van die toegangspoort en links naar die toegangspoort op te nemen op alle onder hun verantwoordelijkheid vallende webpagina’s.

(62)

De naam waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot, moet „Your Europe” zijn. De gemeenschappelijke gebruikersinterface dient nadrukkelijk aanwezig te zijn en gemakkelijk te vinden zijn, in het bijzonder op relevante webpagina’s van de Unie en de lidstaten. Het logo van de toegangspoort moet te zien zijn op relevante websites van de Unie en de lidstaten.

(63)

Om voldoende informatie te vergaren aan de hand waarvan de prestaties van de toegangspoort kunnen worden gemeten en verbeterd, dienen de bevoegde instanties en de Commissie bij deze verordening ertoe te worden verplicht om de gegevens over het gebruik van de via de toegangspoort aangeboden informatiegebieden, procedures en diensten te verzamelen en te analyseren. Het verzamelen van statistische gebruikersgegevens, zoals gegevens inzake het aantal bezoeken aan specifieke webpagina’s, het aantal gebruikers uit een lidstaat in vergelijking met het aantal gebruikers uit andere lidstaten, de gebruikte zoektermen, de meest bezochte webpagina’s, de doorverwijssites of het aantal, de oorsprong en het onderwerp van ondersteuningsverzoeken, moet de toegangspoort beter doen functioneren, omdat die gegevens het mogelijk maken de doelgroep af te bakenen, promotieactiviteiten te ontwikkelen en de kwaliteit van de aangeboden diensten te verbeteren. Bij het verzamelen van dergelijke gegevens moet rekening worden gehouden met de jaarlijkse benchmarking van e-overheid door de Commissie, teneinde overlappingen te vermijden.

(64)

Om eenvormige voorschriften voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om eenvormige regels vast te stellen betreffende de methode voor het verzamelen en uitwisselen van gebruikersstatistieken. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(65)

De kwaliteit van de toegangspoort hangt af van de kwaliteit van de diensten van de Unie en de lidstaten die via de toegangspoort worden verleend. Met het oog daarop moet de kwaliteit van de via de toegangspoort ter beschikking gestelde informatie, procedures en diensten voor ondersteuning en probleemoplossing ook regelmatig worden bewaakt met een hulpmiddel voor gebruikersreacties dat de gebruikers vraagt om een beoordeling van en reacties op de volledigheid en kwaliteit van de door hen gebruikte informatie, procedure of dienst voor ondersteuning en probleemoplossing. Deze reacties moeten worden verzameld met een gemeenschappelijk hulpmiddel waartoe de Commissie, de bevoegde instanties en de nationale coördinatoren toegang moeten hebben. Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening ten aanzien van de algemene functies van hulpmiddelen voor gebruikersreacties en de gedetailleerde regelingen voor het verzamelen en delen van de gebruikersreacties, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011. De Commissie moet in geanonimiseerde vorm beknopte online-overzichten publiceren van de problemen die blijken uit de informatie, de voornaamste gebruikersstatistieken en de voornaamste gebruikersreacties die overeenkomstig deze verordening zijn verzameld.

(66)

Daarnaast moet de toegangspoort een hulpmiddel voor gebruikersreacties bevatten dat de gebruikers de mogelijkheid biedt om op vrijwillige en anonieme basis problemen en moeilijkheden te melden die zij bij de uitoefening van hun rechten uit hoofde van de interne markt hebben ondervonden. Dat hulpmiddel moet slechts beschouwd worden als aanvulling op de mechanismen voor de behandeling van klachten, aangezien het niet voorziet in de mogelijkheid gebruikers een persoonlijk antwoord te geven. De ontvangen informatie moet worden gecombineerd met samengevoegde informatie van diensten voor ondersteuning en probleemoplossing over door hen behandelde zaken, met het oog op het opstellen van een overzicht van de perceptie van de interne markt door de gebruikers en het vaststellen van knelpunten met betrekking waartoe in de toekomst mogelijk maatregelen ter verbetering van de werking van de interne markt kunnen worden genomen. Dat overzicht moet worden gekoppeld aan bestaande rapportage-instrumenten zoals het scorebord van de interne markt.

(67)

Het recht van de lidstaten om te beslissen wie de rol van nationale coördinator moet vervullen, moet door deze verordening onverlet worden gelaten. De lidstaten moeten de mogelijkheid hebben om de functies en verantwoordelijkheden van hun nationale coördinatoren met betrekking tot de toegangspoort aan hun interne administratieve structuren aan te passen. De lidstaten moeten de mogelijkheid hebben aanvullende nationale coördinatoren aan te wijzen om de taken in het kader van deze verordening alleen of samen met anderen uit te voeren, met verantwoordelijkheid voor een administratieve afdeling, een geografische regio of volgens andere criteria. De lidstaten moeten de Commissie in kennis stellen van de identiteit van de enkele nationale coördinator die zij hebben aangewezen voor het onderhouden van contacten met de Commissie.

(68)

Om de toepassing van deze verordening te vergemakkelijken, met name door uitwisseling van beste praktijken en samenwerking om de informatie op consistentere wijze te presenteren, zoals vereist bij deze verordening, moet een toegangspoortcoördinatiegroep worden opgericht, die uit de nationale coördinatoren bestaat en door een vertegenwoordiger van de Commissie wordt voorgezeten. Bij de werkzaamheden van de toegangspoortcoördinatiegroep moet rekening worden gehouden met de doelstellingen in het jaarlijkse werkprogramma, dat de Commissie ter overweging aan deze groep moet voorleggen. Het jaarlijkse werkprogramma moet bestaan uit richtsnoeren of aanbevelingen, die niet bindend zijn voor de lidstaten. Op verzoek van het Europees Parlement kan de Commissie besluiten om het Parlement te verzoeken deskundigen te sturen om de vergaderingen van de toegangspoortcoördinatiegroep bij te wonen.

(69)

In deze verordening moet worden aangegeven welke delen van de toegangspoort uit de begroting van de Unie worden gefinancierd en welke delen onder de verantwoordelijkheid van de lidstaten vallen. De Commissie dient de lidstaten bij te staan bij het vinden van herbruikbare ICT-bouwstenen en financiering die via diverse fondsen en programma’s op Unieniveau beschikbaar is en die kan bijdragen in de kosten van ICT-aanpassingen en -ontwikkelingen die op nationaal niveau nodig zijn om aan deze verordening te voldoen. De begrotingsmiddelen die nodig zijn voor de tenuitvoerlegging van deze verordening moeten verenigbaar zijn met het toepasselijke meerjarig financieel kader.

(70)

De lidstaten worden aangemoedigd meer met elkaar te coördineren, uit te wisselen en samen te werken teneinde hun strategische, operationele, onderzoeks- en ontwikkelingscapaciteiten op het gebied van cyberveiligheid te vergroten, met name door de uitvoering van de netwerk- en informatiebeveiliging als bedoeld in Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (27), om de beveiliging en de veerkracht van hun overheidsadministratie en diensten te versterken. De lidstaten worden aangemoedigd om de veiligheid van transacties te vergroten en te zorgen voor een voldoende mate van vertrouwen in elektronische middelen door gebruikmaking van het in Verordening (EU) nr. 910/2014 vastgestelde eIDAS-kader en met name adequate veiligheidsniveaus. De lidstaten kunnen maatregelen nemen overeenkomstig het Unierecht om de cyberveiligheid te waarborgen en identiteitsfraude of andere vormen van fraude te voorkomen.

(71)

Wanneer de toepassing van deze verordening de verwerking van persoonsgegevens vergt, dient deze verwerking te geschieden overeenkomstig het recht van de Unie inzake de bescherming van persoonsgegevens, en met name Verordening (EU) 2016/679 en Verordening (EU) 2018/1725. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (28) moet ook van toepassing zijn in het kader van deze verordening. Zoals bepaald in Verordening (EU) 2016/679 kunnen de lidstaten andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van gegevens over gezondheid handhaven of invoeren, en kunnen zij ook meer specifieke regels vaststellen voor de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsverhouding.

(72)

Deze verordening moet het stroomlijnen van de governanceregelingen voor de onder de toegangspoort vallende diensten bevorderen en vergemakkelijken. Daartoe dient de Commissie, in nauwe samenwerking met de lidstaten, de bestaande governanceregelingen te evalueren en waar nodig aan te passen om doublures en inefficiëntie te voorkomen.

(73)

Deze verordening heeft tot doel ervoor te zorgen dat gebruikers die in andere lidstaten actief zijn, onlinetoegang hebben tot volledige, betrouwbare, toegankelijke en begrijpelijke informatie van de Unie en de lidstaten over rechten, voorschriften en verplichtingen, tot onlineprocedures die volledig grensoverschrijdend afgehandeld kunnen worden en tot diensten voor ondersteuning en probleemoplossing. Daar die doelstelling niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de gevolgen van deze verordening beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(74)

Om de lidstaten en de Commissie de gelegenheid te geven de nodige hulpmiddelen voor de tenuitvoerlegging van deze verordening te ontwikkelen en in gebruik te nemen, moet een aantal bepalingen van deze verordening van toepassing zijn vanaf twee jaar na de inwerkingtreding van deze verordening. De gemeentelijke instanties moeten tot vier jaar na de inwerkingtreding van deze verordening de tijd krijgen uitvoering te geven aan het vereiste om informatie te verstrekken over de regels, procedures en diensten voor ondersteuning en probleemoplossing die onder hun verantwoordelijkheid vallen. De bepalingen van deze verordening inzake procedures die volledig online moeten worden aangeboden, de grensoverschrijdende toegang tot onlineprocedures en het technische systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs overeenkomstig het eenmaligheidsbeginsel moeten uiterlijk vijf jaar na de inwerkingtreding van deze verordening uitgevoerd zijn.

(75)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en moet worden uitgevoerd overeenkomstig die rechten en beginselen.

(76)

Overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (29) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 1 augustus 2017 heeft hij een advies uitgebracht (30),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

1.   Bij deze verordening worden voorschriften vastgesteld voor:

a)

de oprichting en werking van één digitale toegangspoort om burgers en bedrijven eenvoudig toegang te verlenen tot informatie van goede kwaliteit, efficiënte procedures en doeltreffende diensten voor ondersteuning en probleemoplossing met betrekking tot regels van de Unie en van de lidstaten die van toepassing zijn op burgers en bedrijven die hun op de rechtsorde van de Unie gebaseerde rechten op het gebied van de in artikel 26, lid 2, VWEU, bedoelde interne markt uitoefenen of wensen uit te oefenen;

b)

het gebruik van procedures door grensoverschrijdende gebruikers en de toepassing van het eenmaligheidsbeginsel in verband met de in bijlage II bij deze verordening en in de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU vermelde procedures;

c)

de rapportage over belemmeringen op de interne markt op basis van het verzamelen van gebruikersreacties en -statistieken betreffende de in de toegangspoort opgenomen diensten.

2.   Indien deze verordening strijdig is met een bepaling van een andere handeling van de Unie betreffende specifieke aspecten van het onder deze verordening vallende onderwerp, heeft de bepaling van die andere handeling van de Unie voorrang.

3.   Deze verordening doet geen afbreuk aan de inhoud van of de rechten die verleend zijn door procedures die op de onder deze verordening vallende terreinen op het niveau van de Unie of de lidstaten zijn vastgesteld. Voorts doet deze verordening geen afbreuk aan overeenkomstig het Unierecht genomen maatregelen om de cyberbeveiliging te waarborgen en fraude te voorkomen.

Artikel 2

Oprichting van één digitale toegangspoort

1.   De Commissie en de lidstaten richten overeenkomstig deze verordening één digitale toegangspoort op („de toegangspoort”). De toegangspoort bestaat uit een door de Commissie beheerde gemeenschappelijke gebruikersinterface („de gemeenschappelijke gebruikersinterface”), die geïntegreerd is in het portaal Uw Europa en toegang biedt tot relevante webpagina’s van de Unie en de lidstaten.

2.   De toegangspoort biedt toegang tot:

a)

informatie over de in het recht van de Unie en de lidstaten vastgestelde rechten, verplichtingen en regels die van toepassing zijn op gebruikers die hun op de rechtsorde van de Unie gebaseerde rechten op het gebied van de interne markt op de in bijlage I vermelde terreinen uitoefenen of wensen uit te oefenen;

b)

informatie over online- en offlineprocedures en links naar onlineprocedures, met inbegrip van onder bijlage II vallende procedures, die op het niveau van de Unie of de lidstaten zijn vastgesteld om de gebruikers in staat te stellen hun rechten uit te oefenen en de verplichtingen en regels op het gebied van de interne markt op de in bijlage I vermelde terreinen na te leven;

c)

informatie over en links naar de in bijlage III vermelde of in artikel 7 bedoelde diensten voor ondersteuning en probleemoplossing waartoe burgers en bedrijven zich kunnen richten als zij vragen of problemen hebben in verband met de onder a) en b) van dit lid bedoelde rechten, verplichtingen, regels of procedures.

3.   De gemeenschappelijke gebruikersinterface is beschikbaar in alle officiële talen van de Unie.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1.

„gebruiker”: een burger van de Unie, een natuurlijke persoon met verblijfplaats in een lidstaat of een rechtspersoon met statutaire zetel in een lidstaat, die via de toegangspoort toegang krijgt tot de in artikel 2, lid 2, bedoelde informatie, procedures of diensten voor ondersteuning of probleemoplossing;

2.

„grensoverschrijdende gebruiker”: een gebruiker in een situatie die niet in alle opzichten tot één lidstaat is beperkt;

3.

„procedure”: reeks handelingen die gebruikers moeten verrichten om aan de voorschriften te voldoen of een bevoegde instantie een beslissing te laten nemen om hun in artikel 2, lid 2, onder a), bedoelde rechten te kunnen uitoefenen;

4.

„bevoegde instantie”: een instantie of orgaan van een lidstaat waaraan op nationaal, regionaal of lokaal niveau specifieke verantwoordelijkheden zijn toegewezen in verband met de onder deze verordening vallende informatie, procedures of diensten voor ondersteuning en probleemoplossing;

5.

„bewijs”: documenten of gegevens, met inbegrip van teksten en geluids- en/of beeldopnamen, ongeacht de gebruikte drager, die door een bevoegde instantie worden verlangd ter staving van feiten of van de naleving van in artikel 2, lid 2, onder b), bedoelde procedurele vereisten.

HOOFDSTUK II

DIENSTEN VAN DE TOEGANGSPOORT

Artikel 4

Toegang tot informatie

1.   De lidstaten bieden de gebruikers op hun nationale webpagina’s gemakkelijk onlinetoegang tot:

a)

informatie over de in artikel 2, lid 2, onder a), bedoelde rechten, verplichtingen en regels die ontleend zijn aan het nationale recht;

b)

informatie over de in artikel 2, lid 2, onder b), bedoelde procedures die op nationaal niveau zijn vastgesteld;

c)

informatie over de in artikel 2, lid 2, onder c), bedoelde informatie betreffende diensten voor ondersteuning en probleemoplossing die op nationaal niveau worden verleend.

2.   De Commissie biedt de gebruikers via het portaal Uw Europa gemakkelijk onlinetoegang tot:

a)

informatie over de in artikel 2, lid 2, onder a), bedoelde rechten, verplichtingen en regels die ontleend zijn aan het Unierecht;

b)

informatie over de in artikel 2, lid 2, onder b), bedoelde procedures die op het niveau van de Unie zijn vastgesteld;

c)

informatie over de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing die op het niveau van de Unie worden verleend.

Artikel 5

Toegang tot niet in bijlage I opgenomen informatie

1.   De lidstaten en de Commissie kunnen links aanbieden naar informatie op niet in bijlage I opgenomen gebieden die door bevoegde instanties, de Commissie of organen, instanties en agentschappen van de Unie wordt aangeboden, mits die informatie onder het toepassingsgebied van de toegangspoort valt zoals gedefinieerd in artikel 1, lid 1, onder a), en voldoet aan de kwaliteitseisen van artikel 9.

2.   De links naar de in lid 1 van dit artikel bedoelde informatie worden verstrekt in overeenstemming met artikel 19, leden 2 en 3.

3.   Voordat zij een link activeert, vergewist de Commissie zich ervan dat aan de voorwaarden van lid 1 is voldaan en raadpleegt zij de toegangspoortcoördinatiegroep.

Artikel 6

Procedures die volledig online moeten worden aangeboden

1.   Elke lidstaat zorgt ervoor dat gebruikers volledig online toegang hebben tot de in bijlage II vermelde procedures en deze volledig online kunnen afhandelen, mits de betreffende procedure in de lidstaat in kwestie is vastgesteld.

2.   De in lid 1 bedoelde procedures worden als volledig online beschouwd wanneer:

a)

de identificatie van gebruikers, de verstrekking van informatie en ondersteunend bewijs, de ondertekening en de definitieve indiening allemaal elektronisch op afstand kunnen worden verricht, via een dienstverleningskanaal dat gebruikers op gebruiksvriendelijke en gestructureerde wijze in staat stelt de procedurele vereisten na te leven;

b)

de gebruikers een automatische ontvangstbevestiging krijgen, tenzij het resultaat van de procedure onmiddellijk wordt geleverd;

c)

het resultaat van de procedure elektronisch wordt geleverd of — indien nodig om te voldoen aan toepasselijke Unie- of nationale wetgeving — fysiek wordt geleverd; en

d)

de gebruikers een elektronische kennisgeving van de afronding van de procedure ontvangen.

3.   Als, in uitzonderlijke gevallen die gerechtvaardigd worden door dwingende redenen van algemeen belang op het gebied van openbare veiligheid, volksgezondheid of fraudebestrijding, het nagestreefde doel niet volledig online kan worden bereikt, kunnen de lidstaten als procedurestap vereisen dat de gebruiker in persoon bij de bevoegde instantie verschijnt. In dergelijke uitzonderlijke gevallen beperken de lidstaten die fysieke aanwezigheid tot hetgeen strikt noodzakelijk is en objectief gezien gerechtvaardigd is, en zorgen zij ervoor dat de overige stappen van de procedure volledig online kunnen worden afgehandeld. De lidstaten zorgen er ook voor dat de vereisten inzake fysieke aanwezigheid niet tot discriminatie van grensoverschrijdende gebruikers leiden.

4.   De lidstaten melden via een gemeenschappelijk register dat toegankelijk is voor de Commissie en de andere lidstaten de redenen waarom en de omstandigheden waarin fysieke aanwezigheid kan worden vereist voor de in lid 3 bedoelde procedurestappen, en lichten die redenen en omstandigheden toe; zij melden tevens de redenen waarom en de omstandigheden waarin de fysieke levering noodzakelijk is, als bedoeld in lid 2, onder c), en lichten ook die redenen en omstandigheden toe.

5.   Dit artikel staat er niet aan in de weg dat lidstaten gebruikers de aanvullende mogelijkheid geven om op een andere wijze dan via een onlinekanaal toegang te krijgen tot de in artikel 2, lid 2, onder b), bedoelde procedures en die op een andere wijze af te handelen, of dat lidstaten rechtstreeks contact opnemen met gebruikers.

Artikel 7

Toegang tot diensten voor ondersteuning en probleemoplossing

1.   De lidstaten en de Commissie bieden de gebruikers, met inbegrip van grensoverschrijdende gebruikers, via verschillende kanalen gemakkelijk onlinetoegang tot de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing.

2.   De in artikel 28 bedoelde nationale coördinatoren en de Commissie kunnen overeenkomstig artikel 19, leden 2 en 3, links opnemen naar andere dan de in bijlage III vermelde diensten voor ondersteuning en probleemoplossing die door de bevoegde instanties, de Commissie of de organen, instanties en agentschappen van de Unie worden verleend, mits die diensten aan de kwaliteitseisen in de artikelen 11 en 16 voldoen.

3.   De nationale coördinator kan, indien dat nodig is om in de behoeften van de gebruikers te voorzien, de Commissie voorstellen in de toegangspoort links op te nemen naar diensten voor ondersteuning of probleemoplossing die door particuliere of semi-particuliere entiteiten worden verleend, mits die diensten aan de volgende voorwaarden voldoen:

a)

zij bieden informatie of ondersteuning op de terreinen en voor de doeleinden die onder deze verordening vallen en vormen een aanvulling op diensten die al in de toegangspoort zijn opgenomen;

b)

zij worden kosteloos of tegen een voor micro-ondernemingen, organisaties zonder winstoogmerk en burgers betaalbare prijs aangeboden, en

c)

zij voldoen aan de voorschriften in de artikelen 8, 11 en 16.

4.   Als de nationale coördinator overeenkomstig lid 3 van dit artikel heeft voorgesteld een link op te nemen en die link overeenkomstig artikel 19, lid 3, verstrekt, beoordeelt de Commissie of de via de link op te nemen dienst aan de voorwaarden van lid 3 van dit artikel voldoet en activeert zij de link indien dat het geval is.

Als de Commissie tot de bevinding komt dat de op te nemen dienst niet aan de voorwaarden van lid 3 voldoet, deelt zij de nationale coördinator mee waarom zij de link niet activeert.

Artikel 8

Kwaliteitseisen inzake webtoegankelijkheid

De Commissie maakt de websites en webpagina’s waarop zij toegang biedt tot de in artikel 4, lid 2, bedoelde informatie en tot de in artikel 7 bedoelde diensten voor ondersteuning en probleemoplossing toegankelijker door ze waarneembaar, bedienbaar, begrijpelijk en robuust te maken.

HOOFDSTUK III

KWALITEITSEISEN

DEEL 1

Kwaliteitseisen voor informatie over rechten, verplichtingen en regels, over procedures en over diensten voor ondersteuning en probleemoplossing

Artikel 9

Kwaliteit van informatie over rechten, verplichtingen en regels

1.   Wanneer de lidstaten en de Commissie overeenkomstig artikel 4 verantwoordelijk zijn voor het waarborgen van de toegang tot de in artikel 2, lid 2, onder a), bedoelde informatie, vergewissen zij zich ervan dat die informatie:

a)

gebruiksvriendelijk is, zodat de gebruiker de informatie gemakkelijk kan vinden en begrijpen en gemakkelijk kan bepalen welke informatie-elementen relevant zijn voor zijn specifieke situatie;

b)

accuraat en volledig genoeg is om de informatie te bevatten die gebruikers nodig hebben om hun rechten geheel overeenkomstig de toepasselijke regels en verplichtingen uit te oefenen;

c)

zo nodig verwijzingen en links naar rechtshandelingen, technische specificaties en richtsnoeren omvat;

d)

de naam omvat van de bevoegde instantie of entiteit die verantwoordelijk is voor de inhoud van de informatie;

e)

de contactgegevens omvat van eventuele relevante diensten voor ondersteuning of probleemoplossing, zoals een telefoonnummer, een e-mailadres, een onlineformulier of een ander gangbaar elektronisch communicatiemiddel dat het meest geschikt is voor de aangeboden soort dienst en voor het doelpubliek van die dienst;

f)

in voorkomend geval de datum vermeldt waarop de informatie voor het laatst is geactualiseerd of als de informatie niet is geactualiseerd, de datum waarop de datum is gepubliceerd;

g)

een duidelijke structuur en presentatie heeft, zodat gebruikers snel de informatie vinden die zij nodig hebben;

h)

voortdurend actueel is; en

i)

is geschreven in duidelijke en begrijpelijke taal, die op de behoeften van de beoogde gebruikers is afgestemd.

2.   De lidstaten maken de in lid 1 van dit artikel bedoelde informatie toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 10

Kwaliteit van informatie over procedures

1.   Om aan artikel 4 te voldoen, zorgen de lidstaten en de Commissie ervoor dat de gebruikers, voordat zij zich moeten identificeren alvorens aan een procedure te beginnen, toegang hebben tot een voldoende volledige, duidelijke en gebruikersvriendelijke uitleg van de hieronder vermelde elementen van de procedures als bedoeld in artikel 2, lid 2, onder b), indien van toepassing:

a)

de relevante stappen van de procedure die de gebruiker moet volgen, met inbegrip van eventuele uitzonderingen uit hoofde van artikel 6, lid 3, op de verplichting van de lidstaten om de procedure volledig online aan te bieden;

b)

de naam van de bevoegde instantie die verantwoordelijk is voor de procedure, met inbegrip van haar contactgegevens;

c)

de voor de procedure geaccepteerde wijzen van authenticatie, identificatie en ondertekening;

d)

de aard en vorm van de te verstrekken bewijzen;

e)

de rechtsmiddelen en beroepsmogelijkheden die algemeen beschikbaar zijn bij geschillen met de bevoegde instanties;

f)

de verschuldigde vergoedingen en de onlinebetaalmethode;

g)

de eventuele uiterste termijnen die de gebruiker of de bevoegde instantie moet aanhouden en — wanneer er geen uiterste termijnen zijn — de gemiddelde, geraamde of indicatieve tijd die de bevoegde instantie nodig heeft om de procedure af te ronden;

h)

eventuele regels inzake het uitblijven van een antwoord van de bevoegde instantie en de rechtsgevolgen daarvan voor de gebruikers, met inbegrip van regelingen inzake stilzwijgende goedkeuring of administratieve stilte;

i)

eventuele aanvullende talen waarin de procedure kan worden uitgevoerd.

2.   Als er geen regelingen inzake stilzwijgende goedkeuring of administratieve stilte of soortgelijke regelingen bestaan, stellen de bevoegde instanties, in voorkomend geval, de gebruikers op de hoogte van de eventuele uiterste termijnen en de eventuele verlenging van termijnen of de eventuele gevolgen daarvan.

3.   Als de in lid 1 bedoelde uitleg al beschikbaar is gesteld aan niet-grensoverschrijdende gebruikers, kan voor de doeleinden van deze verordening dezelfde uitleg worden gebruikt of hergebruikt, mits die uitleg, in voorkomend geval, tevens van toepassing is op de situatie van grensoverschrijdende gebruikers.

4.   De lidstaten maken de in lid 1 van dit artikel bedoelde uitleg toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 11

Kwaliteit van informatie over diensten voor ondersteuning en probleemoplossing

1.   Om aan artikel 4 te voldoen, zorgen de lidstaten en de Commissie ervoor dat de gebruikers, alvorens zij een verzoek indienen voor een dienst als bedoeld in artikel 2, lid 2, onder c), toegang hebben tot een duidelijke en gebruikersvriendelijke uitleg van:

a)

de aard, het doel en de verwachte resultaten van de geboden dienst;

b)

de contactgegevens van de entiteiten die verantwoordelijk zijn voor de dienst, zoals een telefoonnummer, een e-mailadres, een onlineformulier of een ander gangbaar elektronisch communicatiemiddel dat het meest geschikt is voor de aangeboden soort dienst en voor het doelpubliek van die dienst;

c)

de eventueel verschuldigde vergoedingen en de onlinebetaalmethode;

d)

eventuele uiterste termijnen die moeten worden aangehouden en — als er geen uiterste termijnen zijn — de gemiddelde of geschatte tijd die nodig is om de dienst te verlenen;

e)

eventuele aanvullende talen waarin het verzoek kan worden ingediend en die in latere contacten kunnen worden gebruikt.

2.   De lidstaten maken de in lid 1 bedoelde uitleg toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 12

Vertaling van informatie

1.   Als een lidstaat de informatie, uitleg en instructies als bedoeld in de artikelen 9, 10 en 11 en artikel 13, lid 2, onder a), niet verstrekt in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, verzoekt hij de Commissie om vertalingen in die taal, binnen de grenzen van het beschikbare Uniebudget als bedoeld in artikel 32, lid 1, onder c).

2.   De lidstaten zorgen ervoor dat de op grond van lid 1 van dit artikel ter vertaling aangeboden teksten ten minste de essentiële informatie op alle in bijlage I genoemde gebieden omvatten en — indien er voldoende Uniebudget beschikbaar is — alle verdere informatie, uitleg en instructies als bedoeld in de artikelen 9, 10 en 11 en artikel 13, lid 2, onder a), gelet op de belangrijkste behoeften van grensoverschrijdende gebruikers. De lidstaten verstrekken de links naar deze vertaalde informatie aan het in artikel 19 bedoelde register voor links.

3.   De in lid 1 bedoelde taal is de officiële taal van de Unie die het meest als vreemde taal wordt gestudeerd door gebruikers in de hele Unie. Wanneer kan worden verondersteld dat de te vertalen informatie, uitleg of instructies vooral van belang zijn voor grensoverschrijdende gebruikers die uit één andere lidstaat afkomstig zijn, kan de in lid 1 bedoelde taal — bij wijze van uitzondering — de officiële taal van de Unie zijn die deze grensoverschrijdende gebruikers als eerste taal gebruiken.

4.   Als een lidstaat verzoekt om vertaling in een andere officiële taal van de Unie dan die welke het meest als vreemde taal wordt gestudeerd door gebruikers in de hele Unie, motiveert hij dat verzoek. Zo de Commissie van oordeel is dat er niet is voldaan aan de voorwaarden van lid 3 om voor een dergelijke andere taal te kiezen, kan zij het verzoek afwijzen en stelt zij de lidstaat in kennis van de redenen voor die afwijzing.

DEEL 2

Vereisten voor onlineprocedures

Artikel 13

Grensoverschrijdende toegang tot onlineprocedures

1.   De lidstaten zorgen ervoor dat elke in artikel 2, lid 2, onder b), bedoelde procedure die op nationaal niveau is vastgesteld en online toegankelijk en af te handelen is voor niet-grensoverschrijdende gebruikers, op niet-discriminerende wijze door middel van dezelfde of een alternatieve technische oplossing ook online toegankelijk en af te handelen is voor grensoverschrijdende gebruikers.

2.   De lidstaten zorgen ervoor dat wat de in lid 1 van dit artikel bedoelde procedures betreft, ten minste aan de volgende vereisten wordt voldaan:

a)

de gebruikers krijgen toegang tot de instructies voor de afhandeling van de procedure in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12;

b)

grensoverschrijdende gebruikers kunnen de vereiste informatie verstrekken, ook als de structuur van deze informatie verschilt van soortgelijke informatie in de betrokken lidstaat;

c)

in alle gevallen waarin dit ook voor niet-grensoverschrijdende gebruikers mogelijk is, kunnen grensoverschrijdende gebruikers zich elektronisch identificeren en authenticeren en documenten elektronisch ondertekenen of verzegelen als bepaald in Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad;

d)

in alle gevallen waarin dit ook voor niet-grensoverschrijdende gebruikers mogelijk is, kunnen grensoverschrijdende gebruikers in elektronische vorm bewijzen verstrekken waaruit blijkt dat de toepasselijke vereisten zijn nageleefd en kunnen zij het resultaat van de procedures ontvangen;

e)

indien een betaling vereist is om de procedure af te ronden, kunnen de gebruikers de verschuldigde vergoeding online betalen met behulp van algemeen beschikbare grensoverschrijdende betaaldiensten, zonder discriminatie op grond van de plaats binnen de Unie waar de betalingsdienstaanbieder is gevestigd, waar het betaalinstrument is afgegeven of waar de betaalrekening zich bevindt.

3.   Als de procedure geen elektronische identificatie of authenticatie in de zin van lid 2, onder c), vereist en als de bevoegde instanties volgens de toepasselijke nationale wetgeving of administratieve praktijk gemachtigd zijn gedigitaliseerde kopieën van niet-elektronische identiteitsbewijzen, zoals identiteitskaarten of paspoorten, van niet-grensoverschrijdende gebruikers te aanvaarden, aanvaarden die instanties dergelijke gedigitaliseerde kopieën ook van grensoverschrijdende gebruikers.

Artikel 14

Technisch systeem voor de grensoverschrijdende geautomatiseerde uitwisseling van bewijs en de toepassing van het „eenmaligheidsbeginsel”

1.   De Commissie stelt in samenwerking met de lidstaten een technisch systeem in voor de geautomatiseerde uitwisseling van bewijs tussen de bevoegde instanties in verschillende lidstaten („het technische systeem”) met het oog op de uitwisseling van bewijs voor de in bijlage II bij deze verordening vermelde onlineprocedures en de bij de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU vastgestelde procedures.

2.   Als de bevoegde instanties op wettige wijze in hun eigen lidstaat en in een elektronische vorm die geautomatiseerde uitwisseling mogelijk maakt, bewijs verstrekken dat relevant is voor de in lid 1 bedoelde onlineprocedures, stellen zij dergelijk bewijs ook ter beschikking van de verzoekende bevoegde instanties van andere lidstaten in een elektronische vorm die geautomatiseerde uitwisseling mogelijk maakt.

3.   Het technische systeem zorgt met name voor het volgende:

a)

het maakt het mogelijk verzoeken om bewijzen op uitdrukkelijk verzoek van de gebruiker te verwerken;

b)

het biedt toegangs- en uitwisselingsmogelijkheden voor de verwerking van verzoeken om bewijzen;

c)

het biedt bevoegde instanties de mogelijkheid bewijzen naar elkaar te verzenden;

d)

het biedt de verzoekende bevoegde instantie de mogelijkheid het bewijs te verwerken;

e)

het waarborgt de vertrouwelijkheid en integriteit van het bewijs;

f)

het biedt de gebruiker de mogelijkheid het door de verzoekende bevoegde instantie te gebruiken bewijs vooraf te bekijken en te kiezen of hij al dan niet wil doorgaan met de uitwisseling van bewijs;

g)

het waarborgt een passende mate van interoperabiliteit met andere relevante systemen;

h)

het waarborgt een hoog beveiligingsniveau voor het toezenden en verwerken van bewijs;

i)

het verwerkt geen andere gegevens dan die welke strikt noodzakelijk zijn om bewijs te kunnen uitwisselen, en uitsluitend gedurende de tijd die daartoe nodig is.

4.   Het gebruik van het technische systeem is niet verplicht voor gebruikers en is alleen op hun uitdrukkelijk verzoek toegestaan, tenzij krachtens Unie- of nationaal recht anders is bepaald. De gebruikers wordt toegestaan om bewijs op een andere manier dan via het technische systeem rechtstreeks aan de verzoekende bevoegde instantie over te leggen.

5.   De in lid 3, onder f), van dit artikel bedoelde mogelijkheid om het bewijs vooraf te bekijken, wordt niet vereist voor procedures waarbij geautomatiseerde grensoverschrijdende gegevensuitwisseling zonder die mogelijkheid is toegestaan krachtens het toepasselijke Unie- of nationale recht. Die mogelijkheid om het bewijs vooraf te bekijken laat de verplichting om de in de artikelen 13 en 14 van Verordening (EU) 2016/679 bedoelde informatie te verstrekken onverlet.

6.   De lidstaten integreren het volledig operationele technische systeem in de in lid 1 bedoelde procedures.

7.   Op uitdrukkelijk, vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig verzoek van de betrokken gebruiker dienen de bevoegde instanties die verantwoordelijk zijn voor de in lid 1 bedoelde onlineprocedures, via het technische systeem rechtstreeks een verzoek om een bewijs in bij bevoegde instanties die bewijzen verstrekken in andere lidstaten. De in lid 2 bedoelde bevoegde instanties die bewijzen verstrekken, stellen die bewijzen, overeenkomstig lid 3, onder e), via hetzelfde systeem ter beschikking.

8.   Het aan de verzoekende bevoegde instantie ter beschikking gestelde bewijs is beperkt tot hetgeen gevraagd is en die instantie gebruikt het uitsluitend voor het doeleinde van de procedure waarvoor het bewijs is uitgewisseld. De via het technische systeem uitgewisselde bewijzen worden voor de doeleinden van de verzoekende bevoegde instantie geacht authentiek te zijn.

9.   Uiterlijk op 12 juni 2021 stelt de Commissie uitvoeringshandelingen vast waarin de voor de uitvoering van dit artikel benodigde technische en operationele specificaties van het technische systeem worden bepaald. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

10.   De leden 1 tot en met 8 zijn niet van toepassing op procedures die op het niveau van de Unie zijn vastgesteld en die voorzien in andere mechanismen voor de uitwisseling van bewijs, tenzij het voor de toepassing van dit artikel benodigde technische systeem in die procedures is geïntegreerd overeenkomstig de regels van de Unie waarbij die procedures zijn vastgesteld.

11.   De Commissie en elk van de lidstaten zijn verantwoordelijk voor de ontwikkeling, de beschikbaarheid, het onderhoud, de supervisie, de monitoring en het beveiligingsbeheer van hun respectieve onderdelen van het technische systeem.

Artikel 15

Verificatie van bewijs tussen de lidstaten

Als het technische systeem of andere systemen voor het uitwisselen of verifiëren van bewijs tussen de lidstaten niet beschikbaar of niet van toepassing zijn, of als de gebruiker niet verzoekt om het technische systeem te gebruiken, werken de bevoegde instanties samen via het Informatiesysteem interne markt (IMI) als dat nodig is om de authenticiteit te controleren van bewijs dat gebruikers in elektronische vorm bij één van hen hebben ingediend voor een onlineprocedure.

DEEL 3

Kwaliteitseisen voor diensten voor ondersteuning en probleemoplossing

Artikel 16

Kwaliteitseisen voor diensten voor ondersteuning en probleemoplossing

De bevoegde instanties en de Commissie zorgen er binnen hun respectieve bevoegdheden voor dat de in bijlage III vermelde diensten voor ondersteuning en probleemoplossing, alsook de diensten die overeenkomstig artikel 7, leden 2, 3 en 4, in de toegangspoort zijn opgenomen, aan de volgende kwaliteitseisen voldoen:

a)

zij worden binnen een redelijke termijn uitgevoerd, rekening houdend met de complexiteit van het verzoek;

b)

als de uiterste termijnen worden verlengd, worden de gebruikers vooraf geïnformeerd over de redenen daarvoor en in kennis gesteld van de nieuwe uiterste termijn;

c)

indien een betaling vereist is om de procedure af te ronden, kunnen de gebruikers de verschuldigde vergoeding online betalen met behulp van algemeen beschikbare grensoverschrijdende betaaldiensten, zonder discriminatie op grond van de plaats binnen de Unie waar de betalingsdienstaanbieder is gevestigd, waar het betaalinstrument is afgegeven of waar de betaalrekening zich bevindt.

DEEL 4

Kwaliteitsbewaking

Artikel 17

Kwaliteitsbewaking

1.   De in artikel 28 bedoelde nationale coördinatoren en de Commissie controleren binnen hun respectieve bevoegdheden regelmatig of de via de toegangspoort ter beschikking gestelde informatie, procedures en diensten voor ondersteuning en probleemoplossing voldoen aan de kwaliteitseisen in de artikelen 8 tot en met 13, en 16. Zij doen dit aan de hand van de overeenkomstig de artikelen 24 en 25 verzamelde gegevens.

2.   Als de kwaliteit verslechtert van de in lid 1 bedoelde informatie, procedures en diensten voor ondersteuning of probleemoplossing die door de bevoegde instanties worden verstrekt, treft de Commissie een of meer van de volgende maatregelen, rekening houdend met de ernst en het voortduren van de verslechtering:

a)

de betrokken nationale coördinator informeren en om corrigerende maatregelen vragen;

b)

aanbevolen maatregelen om de kwaliteitseisen beter te doen naleven, in de toegangspoortcoördinatiegroep laten bespreken;

c)

een brief met aanbevelingen aan de betrokken lidstaat sturen;

d)

de verbinding van de informatie, de procedure of de dienst voor ondersteuning of probleemoplossing met de toegangspoort tijdelijk verbreken.

3.   Als een dienst voor ondersteuning of probleemoplossing waarnaar overeenkomstig artikel 7, lid 3, links zijn opgenomen, consequent niet aan de vereisten van de artikelen 11 en 16 beantwoordt of blijkens de overeenkomstig de artikelen 24 en 25 verzamelde gegevens niet meer aan de behoeften van de gebruikers voldoet, kan de Commissie de verbinding met de toegangspoort verbreken na overleg met de bevoegde nationale coördinator en zo nodig met de toegangspoortcoördinatiegroep.

HOOFDSTUK IV

TECHNISCHE OPLOSSINGEN

Artikel 18

Gemeenschappelijke gebruikersinterface

1.   De Commissie verstrekt in nauwe samenwerking met de lidstaten een gemeenschappelijke, in het portaal Uw Europa geïntegreerde, gebruikersinterface om de toegangspoort naar behoren te doen functioneren.

2.   De gemeenschappelijke gebruikersinterface biedt door middel van links naar de desbetreffende websites of webpagina’s op het niveau van de Unie en de lidstaten die in het in artikel 19 bedoelde register voor links zijn opgenomen, toegang tot de informatie, procedures en diensten voor ondersteuning of probleemoplossing.

3.   De lidstaten en de Commissie zorgen er bij het vervullen van hun in artikel 4 vastgelegde taken en verantwoordelijkheden voor dat de informatie over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing op zodanige wijze wordt geordend en aangeduid dat zij gemakkelijker via de gemeenschappelijke gebruikersinterface te vinden is.

4.   De Commissie zorgt ervoor dat de gemeenschappelijke gebruikersinterface aan de volgende kwaliteitseisen voldoet:

a)

hij is gebruiksvriendelijk;

b)

hij is online toegankelijk via diverse elektronische apparaten;

c)

hij is voor verschillende webbrowsers ontwikkeld en geoptimaliseerd;

d)

hij voldoet aan de volgende eisen voor webtoegankelijkheid: waarneembaarheid, bedienbaarheid, begrijpelijkheid en robuustheid.

5.   De Commissie kan uitvoeringshandelingen aannemen waarin interoperabiliteitseisen worden vastgelegd om ervoor te zorgen dat de informatie over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing gemakkelijker kan worden gevonden via de gemeenschappelijke gebruikersinterface. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 19

Register voor links

1.   In nauwe samenwerking met de lidstaten wordt door de Commissie een elektronisch register opgesteld en bijgehouden voor links naar de in artikel 2, lid 2, bedoelde informatie, procedures en diensten voor ondersteuning en probleemoplossing, waardoor die diensten verbonden kunnen worden met de gemeenschappelijke gebruikersinterface.

2.   De Commissie voorziet dit register van links naar de informatie, procedures en diensten voor ondersteuning en probleemoplossing die toegankelijk zijn via de webpagina’s die op het niveau van de Unie worden beheerd, en zorgt ervoor dat die links juist en actueel blijven.

3.   De nationale coördinatoren voorzien dit register van links naar de informatie, procedures en diensten voor ondersteuning en probleemoplossing die toegankelijk zijn via de webpagina’s die door de bevoegde instanties of door de in artikel 7, lid 3, bedoelde particuliere of semi-particuliere entiteiten worden beheerd, en zorgen ervoor dat die links juist en actueel blijven.

4.   Indien technisch mogelijk, kan het in lid 3 bedoelde aanmaken van de links tussen de relevante systemen van de lidstaten en het register voor links worden geautomatiseerd.

5.   De Commissie maakt de in het register voor links opgenomen informatie openbaar in een open en machineleesbare vorm.

6.   De Commissie en de nationale coördinatoren zorgen ervoor dat de via de toegangspoort geboden links naar informatie, procedures en diensten voor ondersteuning of probleemoplossing geen onnodige volledige of gedeeltelijke doublures en overlappingen bevatten waardoor gebruikers in verwarring kunnen raken.

7.   Als de in artikel 4 bedoelde informatie uit hoofde van andere bepalingen van Unierecht beschikbaar moet worden gesteld, kunnen de Commissie en de nationale coördinatoren aan de voorschriften van dat artikel voldoen door te voorzien in links naar die informatie.

Artikel 20

Gemeenschappelijke zoekfunctie voor ondersteunende diensten

1.   Om de toegang tot de in bijlage III vermelde of in artikel 7, leden 2 en 3, bedoelde diensten voor ondersteuning en probleemoplossing te vergemakkelijken, zorgen de bevoegde instanties en de Commissie ervoor dat de gebruikers toegang tot deze diensten hebben via een gemeenschappelijke zoekfunctie voor diensten voor ondersteuning en probleemoplossing („de gemeenschappelijke zoekfunctie voor ondersteunende diensten”) die beschikbaar is via de toegangspoort.

2.   De Commissie ontwikkelt en beheert de gemeenschappelijke zoekfunctie voor ondersteunende diensten en beslist over de structuur en de vorm waarin de beschrijvingen en contactgegevens van de diensten voor ondersteuning en probleemoplossing moeten worden verstrekt, om te waarborgen dat de gemeenschappelijke zoekfunctie voor ondersteunende diensten naar behoren functioneert.

3.   De nationale coördinatoren verstrekken de in lid 2 bedoelde beschrijvingen en contactgegevens aan de Commissie.

Artikel 21

Verantwoordelijkheid voor de ICT-toepassingen die de toegangspoort ondersteunen

1.   De Commissie is verantwoordelijk voor de ontwikkeling, de beschikbaarheid, de monitoring, het actualiseren, het onderhoud, de beveiliging en de hosting van de volgende ICT-toepassingen en webpagina’s:

a)

het in artikel 2, lid 1, bedoelde portaal Uw Europa;

b)

de in artikel 18, lid 1, bedoelde gemeenschappelijke gebruikersinterface, met inbegrip van de zoekmachine of een ander ICT-hulpmiddel waarmee naar informatie of diensten op internet kan worden gezocht;

c)

het in artikel 19, lid 1, bedoelde register voor links;

d)

de in artikel 20, lid 1, bedoelde gemeenschappelijke zoekfunctie voor ondersteunende diensten;

e)

de in artikel 25, lid 1, en artikel 26, lid 1, onder a), bedoelde hulpmiddelen voor gebruikersreacties.

De Commissie werkt nauw samen met de lidstaten om de ICT-toepassingen te ontwikkelen.

2.   De lidstaten zijn verantwoordelijk voor de ontwikkeling, de beschikbaarheid, de monitoring, het actualiseren, het onderhoud en de beveiliging van ICT-toepassingen in verband met hun nationale websites en webpagina’s die zij beheren en die gelinkt zijn aan de gemeenschappelijke gebruikersinterface.

HOOFDSTUK V

PROMOTIE

Artikel 22

Naam, logo en kwaliteitslabel

1.   De naam waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot, is „Your Europe”.

De Commissie beslist uiterlijk op 12 juni 2019, in nauwe samenwerking met de toegangspoortcoördinatiegroep, over het logo waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot.

Het logo van de toegangspoort en een link naar de toegangspoort zijn zichtbaar en beschikbaar op de met de toegangspoort verbonden relevante websites op het niveau van de Unie en de lidstaten.

2.   De naam en het logo van de toegangspoort fungeren ook als een kwaliteitslabel, dat aantoont dat aan de in de artikelen 9, 10 en 11 bedoelde kwaliteitseisen is voldaan. Het logo van de toegangspoort wordt echter enkel als een kwaliteitslabel gebruikt door webpagina’s en websites die zijn opgenomen in het in artikel 19 bedoelde register voor links.

Artikel 23

Promotie

1.   De lidstaten en de Commissie bevorderen de bekendheid en het gebruik van de toegangspoort onder burgers en bedrijven en zorgen ervoor dat de toegangspoort en de informatie, procedures en diensten voor ondersteuning en probleemoplossing ervan zichtbaar zijn voor het publiek en gemakkelijk kunnen worden gevonden door voor het publiek beschikbare zoekmachines.

2.   De lidstaten en de Commissie coördineren hun in lid 1 bedoelde promotieactiviteiten, en verwijzen daarbij naar de toegangspoort en gebruiken het logo, eventueel in combinatie met andere merknamen.

3.   De lidstaten en de Commissie zorgen ervoor dat de toegangspoort gemakkelijk gevonden kan worden via de verwante websites waarvoor zij verantwoordelijk zijn, en dat op alle relevante websites op het niveau van de Unie en de lidstaten duidelijke links naar de gemeenschappelijke gebruikersinterface beschikbaar zijn.

4.   De nationale coördinatoren promoten de toegangspoort bij de bevoegde nationale instanties.

HOOFDSTUK VI

VERZAMELEN VAN GEBRUIKERSREACTIES EN -STATISTIEKEN

Artikel 24

Gebruikersstatistieken

1.   De bevoegde instanties en de Commissie zorgen ervoor dat er, op een wijze die de anonimiteit van de gebruikers garandeert, statistische gegevens worden verzameld betreffende de bezoekersaantallen van de toegangspoort en van de aan de toegangspoort gekoppelde webpagina’s teneinde de doelmatigheid van de toegangspoort te verbeteren.

2.   De bevoegde instanties, de verleners van diensten voor ondersteuning of probleemoplossing als bedoeld in artikel 7, lid 3, en de Commissie verzamelen het aantal, de herkomst en het onderwerp van de verzoeken om diensten voor ondersteuning en probleemoplossing, alsook de reactietijden, en wisselen deze gegevens in geaggregeerde vorm uit.

3.   De overeenkomstig de leden 1 en 2 verzamelde statistieken met betrekking tot de informatie, procedures en diensten voor ondersteuning en probleemoplossing waarnaar de toegangspoort verwijst, omvatten de volgende gegevenscategorieën:

a)

gegevens met betrekking tot het aantal, de herkomst en het type gebruikers van de toegangspoort;

b)

gegevens met betrekking tot gebruikersvoorkeuren en gebruikersreizen;

c)

gegevens met betrekking tot de bruikbaarheid, vindbaarheid en kwaliteit van de informatie, procedures en diensten voor ondersteuning en probleemoplossing.

Die gegevens worden in een open, gangbaar en machineleesbare vorm publiek toegankelijk gemaakt.

4.   De Commissie stelt uitvoeringshandelingen vast waarin de methode voor het verzamelen en uitwisselen van de in de leden 1, 2 en 3 van dit artikel bedoelde gebruikersstatistieken wordt vastgelegd. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 25

Gebruikersreacties betreffende de diensten van de toegangspoort

1.   Om rechtstreeks informatie van gebruikers over hun tevredenheid met de via de toegangspoort verleende diensten en de daarin verstrekte informatie te verzamelen, biedt de Commissie de gebruikers via de toegangspoort een gebruikersvriendelijk hulpmiddel voor gebruikersreacties waarmee zij onmiddellijk na gebruik van de in artikel 2, lid 2, bedoelde diensten anoniem opmerkingen kunnen maken over de kwaliteit en de beschikbaarheid van de via de toegangspoort verleende diensten en de daarin verstrekte informatie alsook van de gemeenschappelijke gebruikersinterface.

2.   De bevoegde instanties en de Commissie waarborgen dat gebruikers op alle webpagina’s die deel uitmaken van de toegangspoort, toegang hebben tot het in lid 1 bedoelde hulpmiddel.

3.   De Commissie, de bevoegde instanties en de nationale coördinatoren hebben rechtstreeks toegang tot de via het in lid 1 bedoelde hulpmiddel verzamelde gebruikersreacties zodat zij gemelde problemen kunnen oplossen.

4.   De bevoegde instanties zijn niet verplicht om gebruikers op hun webpagina’s die deel uitmaken van de toegangspoort, toegang te verlenen tot het in lid 1 bedoelde hulpmiddel voor gebruikersreacties indien op hun webpagina’s reeds een ander hulpmiddel voor gebruikersreacties met soortgelijke functionaliteit als het in lid 1 bedoelde hulpmiddel beschikbaar is om de kwaliteit van de dienstverlening te bewaken. De bevoegde instanties verzamelen de via hun eigen hulpmiddel voor gebruikersreacties ontvangen gebruikersreacties en delen die met de Commissie en de nationale coördinatoren van de andere lidstaten.

5.   De Commissie stelt uitvoeringshandelingen vast waarin voorschriften voor het verzamelen en delen van de gebruikersreacties worden bepaald. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 26

Rapportage over de werking van de interne markt

1.   De Commissie:

a)

biedt de gebruikers van de toegangspoort een gebruikersvriendelijk hulpmiddel waarmee zij anoniem melding kunnen maken van en feedback kunnen geven over eventuele belemmeringen die zij bij de uitoefening van hun rechten uit hoofde van de interne markt ondervinden;

b)

verzamelt geaggregeerde informatie over de diensten voor ondersteuning en probleemoplossing die deel uitmaken van de toegangspoort, betreffende het onderwerp van verzoeken en antwoorden.

2.   De Commissie, de bevoegde instanties en de nationale coördinatoren hebben rechtstreeks toegang tot de overeenkomstig lid 1, onder a), verzamelde reacties.

3.   De lidstaten en de Commissie analyseren en onderzoeken de krachtens dit artikel door de gebruikers gemelde problemen en lossen die zo mogelijk op passende wijze op.

Artikel 27

Beknopte online-overzichten

De Commissie publiceert in geanonimiseerde vorm beknopte online-overzichten van de problemen die in de overeenkomstig artikel 26, lid 1, verzamelde informatie gesignaleerd worden, de voornaamste in artikel 24 bedoelde gebruikersstatistieken en de voornaamste in artikel 25 bedoelde reacties van de gebruikers.

HOOFDSTUK VII

BEHEER VAN DE TOEGANGSPOORT

Artikel 28

Nationale coördinatoren

1.   Elke lidstaat benoemt een nationale coördinator. Naast het vervullen van hun verplichtingen uit hoofde van de artikelen 7, 17, 19, 20, 23 en 25 doen de nationale coördinatoren het volgende:

a)

zij fungeren binnen hun respectieve overheidsapparaten als contactpunt voor alle aangelegenheden met betrekking tot de toegangspoort;

b)

zij bevorderen de uniforme toepassing van de artikelen 9 tot en met 16 door hun respectieve bevoegde instanties;

c)

zij zorgen ervoor dat de in artikel 17, lid 2, onder c), bedoelde aanbevelingen naar behoren worden uitgevoerd.

2.   Elke lidstaat kan, overeenkomstig zijn interne administratieve structuur, een of meer coördinatoren benoemen om de in lid 1 vermelde taken uit te voeren. Voor elke lidstaat is één nationale coördinator verantwoordelijk voor de contacten met de Commissie voor alle aangelegenheden die met de toegangspoort verband houden.

3.   Elke lidstaat deelt de naam en de contactgegevens van zijn nationale coördinator mee aan de andere lidstaten en de Commissie.

Artikel 29

Coördinatiegroep

Er wordt een coördinatiegroep opgericht („toegangspoortcoördinatiegroep”). Deze groep bestaat uit één nationale coördinator per lidstaat en wordt voorgezeten door een vertegenwoordiger van de Commissie. De toegangspoortcoördinatiegroep stelt haar reglement van orde vast. Het secretariaat wordt door de Commissie verzorgd.

Artikel 30

Taken van de toegangspoortcoördinatiegroep

1.   De toegangspoortcoördinatiegroep ondersteunt de uitvoering van deze verordening. De groep doet met name het volgende:

a)

zij vergemakkelijkt de uitwisseling en de regelmatige aanpassing van beste praktijken;

b)

zij moedigt het gebruik aan van volledig online uitgevoerde procedures, ook als die niet in bijlage II bij deze verordening vermeld zijn, alsook van onlinemiddelen voor authenticatie, identificatie en ondertekening, in het bijzonder als bedoeld in Verordening (EU) 910/2014;

c)

zij bespreekt verbeteringen voor de gebruikersvriendelijke presentatie van informatie op de in bijlage I vermelde gebieden, met name op basis van de overeenkomstig de artikelen 24 en 25 verzamelde gegevens;

d)

zij helpt de Commissie bij het ontwikkelen van de gemeenschappelijke ICT-oplossingen ter ondersteuning van de toegangspoort;

e)

zij bespreekt het ontwerp van het jaarlijkse werkprogramma;

f)

zij ondersteunt de Commissie bij het toezicht op de uitvoering van het jaarlijkse werkprogramma;

g)

zij bespreekt overeenkomstig artikel 5 verstrekte aanvullende informatie teneinde andere lidstaten aan te moedigen om soortgelijke informatie te verstrekken als dat relevant is voor de gebruikers;

h)

zij ondersteunt de Commissie bij het toezicht op de naleving van de voorschriften in de artikelen 8 tot en met 16, in overeenstemming met artikel 17;

i)

zij informeert over de uitvoering van artikel 6, lid 1;

j)

zij bespreekt en doet aanbevelingen voor maatregelen aan de bevoegde instanties en de Commissie om onnodige doublures van de via de toegangspoort beschikbare diensten te vermijden of weg te nemen;

k)

zij geeft adviezen over procedures of maatregelen om door de gebruikers gemelde problemen betreffende de kwaliteit van de diensten doeltreffend aan te pakken of suggesties voor kwaliteitsverbetering te doen;

l)

zij bespreekt de toepassing van de beginselen van ingebouwde privacy („privacy by design”) en ingebouwde veiligheid („security by design”) in de context van deze verordening;

m)

zij bespreekt problemen met betrekking tot het verzamelen van de in de artikelen 24 en 25 bedoelde gebruikersreacties en -statistieken, opdat de op het niveau van de Unie en op het nationale niveau aangeboden diensten voortdurend worden verbeterd;

n)

zij bespreekt vraagstukken in verband met de kwaliteitseisen voor de via de toegangspoort verleende diensten;

o)

zij wisselt beste praktijken uit en ondersteunt de Commissie op het gebied van de ordening, de structuur en de presentatie van de in artikel 2, lid 2, bedoelde diensten teneinde de gemeenschappelijke gebruikersinterface goed te laten functioneren;

p)

zij bevordert de ontwikkeling en uitvoering van de gecoördineerde promotie;

q)

zij werkt samen met de beheersorganen of -netwerken van informatiediensten en diensten voor ondersteuning of probleemoplossing;

r)

zij verstrekt richtsnoeren met betrekking tot de aanvullende officiële taal of talen van de Unie die de bevoegde instanties moeten gebruiken overeenkomstig artikel 9, lid 2, artikel 10, lid 4, artikel 11, lid 2 en artikel 13, lid 2, onder a).

2.   De Commissie kan de toegangspoortcoördinatiegroep raadplegen over elke aangelegenheid betreffende de toepassing van deze verordening.

Artikel 31

Jaarlijks werkprogramma

1.   De Commissie stelt het jaarlijkse werkprogramma vast, waarin in het bijzonder het volgende wordt gespecificeerd:

a)

maatregelen ter verbetering van de presentatie van specifieke informatie op de in bijlage I vermelde gebieden en maatregelen om de tijdige uitvoering van de verplichte informatieverstrekking door de bevoegde instanties op alle niveaus, ook op gemeentelijk niveau, te vergemakkelijken;

b)

maatregelen om de naleving van de artikelen 6 en 13 te vergemakkelijken;

c)

de vereiste maatregelen om te waarborgen dat de artikelen 9 tot en met 12 consequent worden nageleefd;

d)

activiteiten betreffende de promotie van de toegangspoort overeenkomstig artikel 23.

2.   Bij het opstellen van het ontwerp van het jaarlijkse werkprogramma houdt de Commissie rekening met de overeenkomstig artikelen 24 en 25 verzamelde gebruikersstatistieken en -reacties, evenals met mogelijke suggesties van de lidstaten. Vóór goedkeuring legt de Commissie het ontwerp van het jaarlijkse werkprogramma ter bespreking voor aan de toegangspoortcoördinatiegroep.

HOOFDSTUK VIII

SLOTBEPALINGEN

Artikel 32

Kosten

1.   De algemene begroting van de Europese Unie dekt de kosten van:

a)

de ontwikkeling en het onderhoud van de ICT-hulpmiddelen voor de uitvoering van deze verordening op het niveau van de Unie;

b)

de promotie van de toegangspoort op het niveau van de Unie;

c)

de vertaling van informatie, uitleg en instructies overeenkomstig artikel 12, binnen een maximale jaarlijkse hoeveelheid per lidstaat, met de mogelijkheid die hoeveelheid zo nodig te herverdelen om het beschikbare budget volledig te benutten.

2.   De kosten in verband met nationale webportalen, informatieplatforms, ondersteuningsdiensten en procedures die op het niveau van de lidstaten worden opgericht, worden betaald uit de begrotingen van de respectieve lidstaten, tenzij in de wetgeving van de Unie anders is bepaald.

Artikel 33

Bescherming van persoonsgegevens

De verwerking van persoonsgegevens in het kader van deze verordening door de bevoegde instanties geschiedt overeenkomstig Verordening (EU) 2016/679. De verwerking van persoonsgegevens in het kader van deze verordening door de Commissie geschiedt overeenkomstig Verordening (EU) 2018/1725.

Artikel 34

Samenwerking met andere informatie- en ondersteuningsnetwerken

1.   Na raadpleging van de lidstaten besluit de Commissie welke bestaande informele bestuursregelingen voor de in bijlage III vermelde diensten voor ondersteuning of probleemoplossing of voor de onder bijlage I vallende informatiegebieden onder de verantwoordelijkheid van de toegangspoortcoördinatiegroep worden gebracht.

2.   Indien de informatiediensten of -netwerken of de ondersteunende diensten of netwerken voor onder bijlage I vallende informatiegebieden zijn ingevoerd bij een wettelijk bindende handeling van de Unie, coördineert de Commissie de werkzaamheden van de toegangspoortcoördinatiegroep en de bestuursorganen van die diensten of netwerken teneinde synergieën te creëren en dubbel werk te voorkomen.

Artikel 35

Informatiesysteem interne markt

1.   Het bij Verordening (EU) nr. 1024/2012 ingestelde Informatiesysteem interne markt (IMI) wordt gebruikt ten behoeve van en in overeenstemming met artikel 6, lid 4, en artikel 15.

2.   De Commissie kan besluiten het IMI te gebruiken als het in artikel 19, lid 1, bedoelde elektronisch register voor links.

Artikel 36

Rapportage en toetsing

Uiterlijk op 12 december 2022, en vervolgens elke twee jaar, verricht de Commissie op basis van de overeenkomstig de artikelen 24, 25 en 26 verzamelde statistische gegevens en reacties een evaluatie van de toepassing van deze verordening en stuurt zij een beoordelingsverslag over het functioneren van de toegangspoort en de werking van de interne markt naar het Europees Parlement en de Raad. Bij de evaluatie wordt met name gekeken naar de reikwijdte van artikel 14 in het licht van de ontwikkeling van de technologie, de markt en het recht ten aanzien van de uitwisseling van bewijs tussen bevoegde instanties.

Artikel 37

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 38

Wijziging in Verordening (EU) nr. 1024/2012

Verordening (EU) nr. 1024/2012 wordt als volgt gewijzigd:

1)

Artikel 1 wordt vervangen door:

„Artikel 1

Onderwerp

Deze verordening bepaalt de regels voor het gebruik van het Informatiesysteem interne markt („IMI”) ten behoeve van de administratieve samenwerking tussen de IMI-actoren, met inbegrip van de verwerking van persoonsgegevens.”.

2)

In artikel 3 wordt lid 1 vervangen door:

„1.   IMI wordt gebruikt voor de uitwisseling tussen de IMI-actoren van informatie, met inbegrip van persoonsgegevens, en voor de verwerking van die informatie voor een van de volgende doeleinden:

a)

administratieve samenwerking die ingevolge de in de bijlage vermelde handelingen vereist is;

b)

administratieve samenwerking die is opgenomen in een overeenkomstig artikel 4 uitgevoerd proefproject.”.

3)

In artikel 5 wordt de tweede alinea als volgt gewijzigd:

a)

punt a) wordt vervangen door:

„a)

„IMI”: het elektronische instrument dat door de Commissie ter beschikking wordt gesteld ter bevordering van de administratieve samenwerking tussen de IMI-actoren;”;

b)

punt b) wordt vervangen door:

„b)

„administratieve samenwerking”: de samenwerking tussen de IMI-actoren door het uitwisselen en verwerken van informatie met het oog op een betere toepassing van het recht van de Unie;”;

c)

punt g) wordt vervangen door:

„g)

„IMI-actoren”: de bevoegde instanties, de IMI-coördinatoren, de Commissie en de organen en instanties van de Unie;”.

4)

Aan artikel 8, lid 1, wordt het volgende punt toegevoegd:

„f)

de coördinatie met en toegang tot IMI voor de organen en instanties van de Unie verzekeren.”.

5)

In artikel 9 wordt lid 4 vervangen door:

„4.   De lidstaten, de Commissie en de organen en instanties van de Unie dienen adequate middelen te verschaffen om te waarborgen dat IMI-gebruikers uitsluitend op een „need-to-know”-basis en uitsluitend op het/de internemarktgebied(en) waarvoor zij overeenkomstig lid 3 over toegangsrechten beschikken, toegang hebben tot persoonsgegevens die in IMI worden verwerkt.”.

6)

Artikel 21 wordt als volgt gewijzigd:

a)

lid 2 wordt vervangen door:

„2.   De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op en zorgt voor de toepassing van deze verordening wanneer de Commissie of de organen en instanties van de Unie, in hun rol als IMI-actoren, persoonsgegevens verwerken. De in de artikelen 57 en 58 van Verordening (EU) 2018/1725 (*1) bedoelde taken en bevoegdheden zijn van overeenkomstige toepassing.

(*1)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).”;"

b)

lid 3 wordt vervangen door:

„3.   De nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, handelend binnen het bestek van hun eigen bevoegdheden, met elkaar samen om te zorgen voor het gecoördineerd toezicht op IMI en het gebruik ervan door de IMI-actoren, overeenkomstig artikel 62 van Verordening (EU) 2018/1725.”;

c)

lid 4 wordt geschrapt.

7)

In artikel 29 wordt lid 1 wordt geschrapt;

8)

Aan de bijlage worden de volgende punten toegevoegd:

„11.

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (*2): artikel 56, de artikelen 60 tot en met 66 en artikel 70, lid 1.

12.

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 (*3): artikel 6, lid 4, artikel 15 en artikel 19.

(*2)  PB L 119 van 4.5.2016, blz. 1."

(*3)  PB L 295 van 21.11.2018, blz. 39”."

Artikel 39

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 2, artikel 4, de artikelen 7 tot en met 12, artikel 16, artikel 17, artikel 18, leden 1 tot en met 4, artikel 19, artikel 20, artikel 24, leden 1, 2 en 3, artikel 25, leden 1 tot en met 4, artikel 26 en artikel 27 zijn van toepassing met ingang van 12 december 2020.

Artikel 6, artikel 13, artikel 14, leden 1 tot en met 8 en lid 10, en artikel 15 zijn van toepassing met ingang van 12 december 2023.

Niettegenstaande de toepassingsdatum van de artikelen 2, 9, 10 en 11, stellen de gemeentelijke instanties de informatie, uitleg en instructies als bedoeld in die artikelen uiterlijk op 12 december 2022 ter beschikking.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 2 oktober 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

J. BOGNER-STRAUSS


(1)  PB C 81 van 2.3.2018, blz. 88.

(2)  Standpunt van het Europees Parlement van 13 september 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 27 september 2018.

(3)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(4)  Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van procedures voor de toepassing van bepaalde nationale technische voorschriften op goederen die in een andere lidstaat rechtmatig in de handel zijn gebracht, en tot intrekking van Beschikking nr. 3052/95/EG (PB L 218 van 13.8.2008, blz. 21).

(5)  Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad van 9 maart 2011 tot vaststelling van geharmoniseerde voorwaarden voor het verhandelen van bouwproducten en tot intrekking van Richtlijn 89/106/EEG van de Raad (PB L 88 van 4.4.2011, blz. 5).

(6)  Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 betreffende de erkenning van beroepskwalificaties (PB L 255 van 30.9.2005, blz. 22).

(7)  Aanbeveling 2013/461/EU van de Commissie van 17 september 2013 inzake de beginselen voor de werking van Solvit (PB L 249 van 19.9.2013, blz. 10).

(8)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

(9)  Richtlijn 2014/25/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten en houdende intrekking van Richtlijn 2004/17/EG (PB L 94 van 28.3.2014, blz. 243).

(10)  Verordening (EU) 2016/589 van het Europees Parlement en de Raad van 13 april 2016 inzake een Europees netwerk van diensten voor arbeidsvoorziening (Eures), de toegang van werknemers tot mobiliteitsdiensten en de verdere integratie van de arbeidsmarkten en tot wijziging van Verordeningen (EU) nr. 492/2011 en (EU) nr. 1296/2013 (PB L 107 van 22.4.2016, blz. 1).

(11)  Beschikking 2001/470/EG van de Raad van 28 mei 2001 betreffende de oprichting van een Europees justitieel netwerk in burgerlijke en handelszaken (PB L 174 van 27.6.2001, blz. 25).

(12)  Richtlijn 2014/67/EU van het Europees Parlement en de Raad van 15 mei 2014 inzake de handhaving van Richtlijn 96/71/EG betreffende de terbeschikkingstelling van werknemers met het oog op het verrichten van diensten en tot wijziging van Verordening (EU) nr. 1024/2012 betreffende de administratieve samenwerking via het Informatiesysteem interne markt („de IMI-verordening”) (PB L 159 van 28.5.2014, blz. 11).

(13)  Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).

(14)  Verordening (EG) nr. 883/2004 van het Europees Parlement en de Raad van 29 april 2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 166 van 30.4.2004, blz. 1).

(15)  Verordening (EG) nr. 987/2009 van het Europees Parlement en de Raad van 16 september 2009 tot vaststelling van de wijze van toepassing van Verordening (EG) nr. 883/2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 284 van 30.10.2009, blz. 1).

(16)  Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties (PB L 327 van 2.12.2016, blz. 1).

(17)  Besluit van de Raad 2010/48/EG van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(18)  Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad van 14 maart 2012 tot vaststelling van technische en bedrijfsmatige vereisten voor overmakingen en automatische afschrijvingen in euro en tot wijziging van Verordening (EG) nr. 924/2009 (PB L 94 van 30.3.2012, blz. 22).

(19)  Verordening (EU) nr. 1024/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende de administratieve samenwerking via het Informatiesysteem interne markt en tot intrekking van Beschikking 2008/49/EG van de Commissie („de IMI-verordening”) (PB L 316 van 14.11.2012, blz. 1).

(20)  Verordening (EU) 2016/1191 van het Europees Parlement en de Raad van 6 juli 2016 inzake de bevordering van het vrije verkeer van burgers door vereenvoudigde overlegging van bepaalde openbare documenten in de Europese Unie en tot wijziging van Verordening (EU) nr. 1024/2012 (PB L 200 van 26.7.2016, blz. 1).

(21)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(22)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (zie bladzijde 39 van dit Publicatieblad).

(23)  Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad van 11 december 2013 tot vaststelling van de financieringsfaciliteit voor Europese verbindingen, tot wijziging van Verordening (EU) nr. 913/2010 en tot intrekking van Verordeningen (EG) nr. 680/2007 en (EG) nr. 67/2010 (PB L 348 van 20.12.2013, blz. 129).

(24)  Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht (PB L 169 van 30.6.2017, blz. 46).

(25)  Verordening (EU) 2015/848 van het Europees Parlement en de Raad van 20 mei 2015 betreffende insolventieprocedures (PB L 141 van 5.6.2015, blz. 19).

(26)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(27)  Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(28)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(29)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(30)  PB C 340 van 11.10.2017, blz. 6.


BIJLAGE I

Lijst van informatiegebieden die voor burgers en bedrijven van belang zijn bij de uitoefening van hun in artikel 2, lid 2, onder a), bedoelde rechten uit hoofde van de interne markt

Informatiegebieden in verband met burgers:

Gebied

INFORMATIE OVER RECHTEN, VERPLICHTINGEN EN REGELS DIE VOORTVLOEIEN UIT HET UNIERECHT OF HET NATIONALE RECHT

A.

Reizen binnen de Unie:

1.

documenten die van EU-burgers, hun gezinsleden die geen EU-burgers zijn, alleenreizende minderjarigen en niet-EU-burgers verlangd worden wanneer zij EU-binnengrenzen overschrijden (identiteitsbewijs, visum, paspoort);

2.

rechten en verplichtingen van reizigers die per vliegtuig, trein, schip of bus in of vanuit de Unie reizen en van personen die pakketreizen of gekoppelde reisarrangementen kopen;

3.

ondersteuning in geval van beperkte mobiliteit bij reizen in of vanuit de Unie;

4.

vervoer van dieren, planten, alcohol, tabak, sigaretten en andere goederen bij reizen in de Unie;

5.

spraaktelefonie en verzending en ontvangst van elektronische berichten en elektronische gegevens binnen de Unie.

B.

Werk en pensionering binnen de Unie:

1.

werk zoeken in een andere lidstaat;

2.

gaan werken in een andere lidstaat;

3.

erkenning van kwalificaties met het oog op werk in een andere lidstaat;

4.

belastingheffing in een andere lidstaat;

5.

regels inzake aansprakelijkheid en verplichte verzekeringen in verband met verblijf of werk in een andere lidstaat;

6.

bij wet of wettelijk instrument vastgestelde arbeidsvoorwaarden en -omstandigheden, ook voor gedetacheerde werknemers (met inbegrip van informatie over werktijden, betaald verlof, vakantierechten, rechten en verplichtingen in verband met overuren, medisch onderzoek, beëindiging van contracten en ontslag);

7.

gelijke behandeling (regels die discriminatie op het werk verbieden, regels inzake gelijke betaling van mannen en vrouwen en inzake gelijke betaling van werknemers met contracten voor bepaalde of onbepaalde tijd);

8.

verplichtingen in verband met gezondheid en veiligheid voor verschillende soorten activiteiten;

9.

socialezekerheidsrechten en -verplichtingen in de Unie, onder meer in verband met pensioenen.

C.

Voertuigen in de Unie:

1.

tijdelijke of permanente verplaatsing van motorvoertuigen naar een andere lidstaat;

2.

verkrijging en verlenging van rijbewijzen;

3.

verplichte motorrijtuigenverzekering;

4.

koop en verkoop van motorvoertuigen in een andere lidstaat;

5.

nationale verkeersregels en voorschriften voor bestuurders, met inbegrip van algemene regels voor het gebruik van de nationale wegeninfrastructuur: tijdsgebonden heffingen (vignet), afstandsgebonden heffingen (tol), emissiestickers.

D.

Verblijf in een andere lidstaat:

1.

tijdelijke of permanente verhuizing naar een andere lidstaat;

2.

koop en verkoop van vastgoed, met inbegrip van voorwaarden en verplichtingen met betrekking tot belasting, eigendom of gebruik van dergelijk vastgoed, waaronder het gebruik ervan als tweede verblijf;

3.

deelname aan gemeentelijke verkiezingen en verkiezingen voor het Europees Parlement;

4.

voorschriften betreffende verblijfskaarten voor EU-burgers en hun gezinsleden, waaronder gezinsleden die geen EU-burgers zijn;

5.

voorwaarden voor de naturalisatie van onderdanen van een andere lidstaat;

6.

regels die gelden in geval van overlijden, met inbegrip van regels inzake de repatriëring van stoffelijke overschotten naar een andere lidstaat.

E.

Onderwijs of stage in een andere lidstaat:

1.

onderwijsstelsel in een andere lidstaat, met inbegrip van voor- en vroegschoolse educatie en opvang, basis- en secundair onderwijs, hoger onderwijs en volwassenenonderwijs;

2.

vrijwilligerswerk doen in een andere lidstaat;

3.

stage lopen in een andere lidstaat;

4.

onderzoek doen in een andere lidstaat in het kader van een onderwijsprogramma.

F.

Gezondheidszorg:

1.

een medische behandeling ondergaan in een andere lidstaat;

2.

online of in persoon geneesmiddelen kopen in een andere lidstaat dan die waar zij door een arts zijn voorgeschreven;

3.

regels inzake ziekteverzekering die van toepassing zijn tijdens een kort of langdurig verblijf in een andere lidstaat, met inbegrip van regels over de wijze waarop een Europese ziekteverzekeringskaart moet worden aangevraagd;

4.

algemene informatie over toegangsrechten en verplichtingen om deel te nemen aan beschikbare preventieve openbare gezondheidsmaatregelen;

5.

diensten die worden verstrekt via nationale noodnummers zoals „112” en „116”;

6.

rechten en voorwaarden om naar een woonzorgcentrum te verhuizen.

G.

Burger- en familierechten:

1.

geboorte, ouderlijk gezag over minderjarige kinderen, ouderlijke verantwoordelijkheden, regels inzake draagmoederschap en adoptie, met inbegrip van stiefouderadoptie, onderhoudsverplichtingen voor kinderen in een grensoverschrijdende gezinssituatie;

2.

samenleven van partners met verschillende nationaliteiten, met inbegrip van partners van hetzelfde geslacht (huwelijk, geregistreerd partnerschap, scheiding van tafel en bed, echtscheiding, huwelijksvermogensrechten, rechten van samenwonenden);

3.

regels inzake erkenning van de genderidentiteit;

4.

erfrechten en -plichten in een andere lidstaat, met inbegrip van belastingregels;

5.

rechten en regels die gelden bij grensoverschrijdende ontvoering van kinderen door een van de ouders.

H.

Consumentenrechten:

1.

online of in persoon goederen, digitale inhoud of diensten (waaronder financiële diensten) in een andere lidstaat kopen;

2.

een bankrekening hebben in een andere lidstaat;

3.

aansluiting op nutsvoorzieningen, zoals gas, elektriciteit, water, verwijdering van huishoudelijk afval, telecommunicatie en internet;

4.

betalingen, waaronder overmakingen, en termijnen voor grensoverschrijdende betalingen;

5.

consumentenrechten en -waarborgen bij aankoop van goederen en diensten, met inbegrip van procedures voor de beslechting van en vergoeding bij consumentengeschillen;

6.

veiligheid en beveiliging van consumentenproducten;

7.

huur van motorvoertuigen.

I.

Bescherming van persoonsgegevens:

1.

uitoefening van de rechten van de betrokkenen met betrekking tot de bescherming van persoonsgegevens.

Informatiegebieden in verband met bedrijven:

Gebied

INFORMATIE OVER RECHTEN, VERPLICHTINGEN EN REGELS

J.

Starten, exploiteren en sluiten van een bedrijf:

1.

registratie, wijziging van de rechtsvorm of sluiting van een bedrijf (registratieprocedures en rechtsvormen voor bedrijven);

2.

verplaatsing van een bedrijf naar een andere lidstaat;

3.

intellectuele-eigendomsrechten (octrooiaanvragen, registratie van handelsmerken, tekeningen of modellen, verwerving van licenties voor reproductie);

4.

billijkheid en transparantie bij handelspraktijken, met inbegrip van consumentenrechten en -waarborgen in verband met de verkoop van goederen en diensten;

5.

aanbieden van grensoverschrijdende onlinebetaalfuncties bij de onlineverkoop van goederen en diensten;

6.

rechten en verplichtingen uit hoofde van het overeenkomstenrecht, met inbegrip van verschuldigde rente wegens achterstallige betaling;

7.

insolventieprocedures en liquidatie van bedrijven;

8.

kredietverzekering;

9.

bedrijfsfusies of verkoop van een bedrijf;

10.

wettelijke aansprakelijkheid van bestuurders en commissarissen van een bedrijf;

11.

regels en verplichtingen met betrekking tot de verwerking van persoonsgegevens.

K.

Werknemers:

1.

bij wet of wettelijk instrument vastgestelde arbeidsvoorwaarden (met inbegrip van werktijden, betaald verlof, vakantierechten, rechten en verplichtingen in verband met overuren, medisch onderzoek, beëindiging van contracten en ontslag);

2.

socialezekerheidsrechten en -verplichtingen in de Unie (aanmelding als werkgever, aanmelding van werknemers, kennisgeving van beëindiging van een arbeidsovereenkomst, betaling van sociale bijdragen, rechten en verplichtingen in verband met pensioenen);

3.

tewerkstelling van werknemers in andere lidstaten (detachering, regels betreffende het vrij verrichten van diensten, woonplaatsvereisten voor werknemers);

4.

gelijke behandeling (regels die discriminatie op het werk verbieden, regels inzake gelijke betaling van mannen en vrouwen en inzake gelijke betaling van werknemers met contracten voor bepaalde of onbepaalde tijd);

5.

regels voor personeelsvertegenwoordiging.

L.

Belastingen:

1.

btw: informatie over de algemene regels, tarieven en vrijstellingen, registratie voor en betaling van btw, verkrijging van teruggave;

2.

accijnzen: informatie over de algemene regels, tarieven en vrijstellingen, registratie voor en betaling van accijnzen, verkrijging van teruggave;

3.

douanerechten en andere belastingen en rechten op ingevoerde producten;

4.

douaneprocedures voor invoer en uitvoer in het kader van het douanewetboek van de Unie;

5.

overige belastingen: betaling, tarieven, belastingaangiften.

M.

Goederen:

1.

verkrijging van CE-markering;

2.

voorschriften en vereisten voor producten;

3.

vaststelling van toepasselijke normen, technische specificaties en productcertificering;

4.

wederzijdse erkenning van producten waarvoor geen EU-specificaties gelden;

5.

voorschriften voor de indeling, etikettering en verpakking van gevaarlijke stoffen;

6.

verkoop op afstand en buiten verkoopruimten: informatie die vooraf aan klanten moet worden gegeven, schriftelijke bevestiging van overeenkomsten, herroeping van overeenkomsten, aflevering van goederen, andere specifieke verplichtingen;

7.

producten met gebreken: consumentenrechten en garantie, verantwoordelijkheid na verkoop, rechtsmiddelen voor benadeelde partij;

8.

certificering, keurmerken (EMAS, energielabels, ecodesign, EU-milieukeur);

9.

recyclage en afvalbeheer.

N.

Diensten:

1.

verkrijging van licenties, vergunningen en toestemming om een bedrijf te starten;

2.

kennisgeving van grensoverschrijdende activiteiten aan de autoriteiten;

3.

erkenning van beroepskwalificaties, met inbegrip van beroepsonderwijs en -opleiding.

O.

Bedrijfsfinanciering:

1.

verkrijging van toegang tot financiering op Unieniveau, met inbegrip van financieringsprogramma’s en bedrijfssubsidies van de Unie;

2.

verkrijging van toegang tot financiering op nationaal niveau;

3.

op ondernemers gerichte initiatieven (uitwisselingen voor nieuwe ondernemers, mentorprogramma’s enz.).

P.

Overheidsopdrachten:

1.

deelname aan openbare aanbestedingen: regels en procedures;

2.

online-inschrijving op openbare aanbestedingen;

3.

melding van onregelmatigheden in verband met aanbestedingsprocedures.

Q.

Gezondheid en veiligheid op het werk:

1.

verplichtingen in verband met gezondheid en veiligheid voor verschillende soorten activiteiten, waaronder risicopreventie, voorlichting en opleiding.


BIJLAGE II

In artikel 6, lid 1, bedoelde procedures

Gebeurtenis

Procedures

Verwacht resultaat, behoudens beoordeling van de aanvraag door de bevoegde instantie overeenkomstig de nationale wetgeving, indien van toepassing

Geboorte

Aanvraag van bewijs van registratie van een geboorte

Bewijs van registratie van een geboorte of geboorteakte

Verblijf

Aanvraag van bewijs van verblijf

Bevestiging van inschrijving op huidig adres

Studie

Aanvraag bij een overheidsorgaan of -instantie van studiefinanciering, zoals studiebeurzen en studieleningen, voor tertiair onderwijs

Besluit over de aanvraag van financiering of ontvangstbevestiging

Indiening van een initieel verzoek om toelating tot een openbare instelling voor tertiair onderwijs

Bevestiging van ontvangst van het verzoek

Verzoek om academische erkenning van diploma’s, getuigschriften of andere bewijzen van studies of opleidingen

Besluit over verzoek om erkenning

Werk

Verzoek tot bepaling van de toepasselijke wetgeving overeenkomstig titel II van Verordening (EU) nr. 883/2004 (1)

Besluit over de toepasselijke wetgeving

Kennisgeving van wijzigingen in de persoonlijke of beroepssituatie van de persoon die socialezekerheidsuitkeringen ontvangt, voor zover die wijzigingen voor die uitkeringen van belang zijn

Bevestiging van ontvangst van de kennisgeving van die wijzigingen

Aanvraag van een Europese ziekteverzekeringskaart (EHIC)

Europese ziekteverzekeringskaart (EHIC)

Indiening van een aangifte voor de inkomstenbelasting

Bevestiging van ontvangst van de aangifte

Verhuizing

Registratie van adreswijziging

Bevestiging van uitschrijving op het vorige adres en van inschrijving op het nieuwe adres

Inschrijving van een motorvoertuig dat van oorsprong is uit een lidstaat of daar al is ingeschreven, volgens de standaardprocedures (2)

Bewijs van inschrijving van een motorvoertuig

Verkrijging van stickers voor het gebruik van de nationale wegeninfrastructuur: door een overheidsinstantie of -orgaan opgelegde tijdsgebonden heffingen (vignet) of afstandsgebonden heffingen (tol)

Ontvangst van tolsticker of vignet of ander betalingsbewijs

Verkrijging van door een overheidsinstantie of -orgaan afgegeven emissiestickers

Ontvangst van emissiesticker of ander betalingsbewijs

Pensionering

Aanvraag (pre)pensioenuitkering van verplichte regelingen

Bevestiging van ontvangst van de aanvraag of besluit betreffende de aanvraag voor een (pre)pensioenuitkering

Verzoek om informatie over pensioengegevens van verplichte regelingen

Overzicht van persoonlijke pensioengegevens

Starten, exploiteren en sluiten van een bedrijf

Kennisgeving van bedrijfsactiviteit, vergunningen voor de uitoefening van een bedrijfsactiviteit, wijzigingen van bedrijfsactiviteit en beëindiging van een bedrijfsactiviteit zonder insolventie- of liquidatieprocedures, met uitzondering van de initiële inschrijving van een bedrijfsactiviteit in het bedrijfsregister en met uitzondering van procedures voor de oprichting van vennootschappen in de zin van artikel 54, tweede alinea, VWEU of bestanden die deze vennootschappen later indienen

Bevestiging van ontvangst van de kennisgeving of wijziging of van de aanvraag van een vergunning voor bedrijfsactiviteit

Aanmelding van een werkgever (een natuurlijke persoon) bij verplichte pensioen- en verzekeringsregelingen

Bevestiging van aanmelding of registratienummer sociale zekerheid

Aanmelding van werknemers bij verplichte pensioen- en verzekeringsregelingen

Bevestiging van aanmelding of registratienummer sociale zekerheid

Indiening van een aangifte voor de vennootschapsbelasting

Bevestiging van ontvangst van de aangifte

Kennisgeving van beëindiging van een arbeidsovereenkomst met een werknemer aan socialezekerheidsregelingen, met uitzondering van procedures voor de collectieve beëindiging van arbeidsovereenkomsten

Bevestiging van ontvangst van de kennisgeving

Betaling van sociale bijdragen voor werknemers

Kwitantie of andere betalingsbevestiging voor sociale bijdragen voor werknemers


(1)  Verordening (EG) nr. 883/2004 van het Europees Parlement en de Raad van 29 april 2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 166 van 30.4.2004, blz. 1).

(2)  Dit betreft de volgende voertuigen: a) alle motorvoertuigen of aanhangwagens als bedoeld in artikel 3 van Richtlijn 2007/46/EG van het Europees Parlement en de Raad (PB L 263 van 9.10.2007, blz. 1) en b) alle twee- of driewielige motorvoertuigen, al dan niet met dubbellucht, die bestemd zijn om aan het wegverkeer deel te nemen, als bedoeld in artikel 1 van Verordening (EU) nr. 168/2013 van het Europees Parlement en de Raad (PB L 60 van 2.3.2013, blz. 52).


BIJLAGE III

Lijst van de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing

1.

Eén-loketten (1)

2.

Productcontactpunten (2)

3.

Productcontactpunten voor de bouw (3)

4.

Nationale assistentiecentra voor beroepskwalificaties (4)

5.

Nationale contactpunten voor grensoverschrijdende gezondheidszorg (5)

6.

EURES (6)

7.

Onlinegeschillenbeslechting (7)


(1)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(2)  Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van procedures voor de toepassing van bepaalde nationale technische voorschriften op goederen die in een andere lidstaat rechtmatig in de handel zijn gebracht, en tot intrekking van Beschikking nr. 3052/95/EG (PB L 218 van 13.8.2008, blz. 21).

(3)  Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad van 9 maart 2011 tot vaststelling van geharmoniseerde voorwaarden voor het verhandelen van bouwproducten en tot intrekking van Richtlijn 89/106/EEG van de Raad (PB L 88 van 4.4.2011, blz. 5).

(4)  Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 betreffende de erkenning van beroepskwalificaties (PB L 255 van 30.9.2005, blz. 22).

(5)  Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(6)  Verordening (EU) 2016/589 van het Europees Parlement en de Raad van 13 april 2016 inzake een Europees netwerk van diensten voor arbeidsvoorziening (EURES), de toegang van werknemers tot mobiliteitsdiensten en de verdere integratie van de arbeidsmarkten en tot wijziging van Verordeningen (EU) nr. 492/2011 en (EU) nr. 1296/2013 (PB L 107 van 22.4.2016, blz. 1).

(7)  Verordening (EU) nr. 524/2013 van het Europees Parlement en de Raad van 21 mei 2013 betreffende onlinebeslechting van consumentengeschillen en tot wijziging van Verordening (EG) nr. 2006/2004 en Richtlijn 2009/22/EG (verordening ODR consumenten) (PB L 165 van 18.6.2013, blz. 1).


21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/39


VERORDENING (EU) 2018/1725 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 23 oktober 2018

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Dit recht wordt ook gewaarborgd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(2)

Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (3) worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten.

(3)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4) en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(4)

Verordening (EU) 2016/679 schrijft de aanpassing van Verordening (EG) nr. 45/2001 voor om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en om het mogelijk te maken dat de aanpassing ervan gelijktijdig met Verordening (EU) 2016/679 kan worden toegepast.

(5)

In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van Verordening (EU) 2016/679, dienen beide bepalingen overeenkomstig de rechtspraak van het Hof van Justitie van de Europese Unie („het Hof van Justitie”) homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679.

(6)

Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

(7)

Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën.

(8)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door alle instellingen, organen en instanties van de Unie. Deze verordening dient van toepassing te zijn op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om daarin te worden opgenomen. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze verordening vallen.

(9)

In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Een afzonderlijk hoofdstuk van deze verordening met algemene regels dient derhalve van toepassing te zijn op de verwerking van operationele persoonsgegevens, zoals persoonsgegevens die worden verwerkt met het oog op strafrechtelijk onderzoek door instellingen, organen of instanties van de Unie wanneer zij activiteiten uitvoeren op het gebied van justitiële samenwerking in strafzaken en de politiële samenwerking.

(10)

Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde ervoor te zorgen, dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau geldt door middel van in rechte afdwingbare rechten, en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen instellingen, organen of instanties van de Unie wanneer die activiteiten uitoefenen die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, en bevoegde autoriteiten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke instellingen, organen of instanties van de Unie worden verwerkt, te stroken met Richtlijn (EU) 2016/680.

(11)

De in het afzonderlijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens opgenomen algemene regels dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke regels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Dergelijke specifieke regels moeten worden beschouwd als een „lex specialis” ten opzichte van de bepalingen in het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens (lex specialis derogat legi generali). Om juridische versnippering te verminderen dienen specifieke gegevensbeschermingsregels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, in overeenstemming te zijn met de beginselen die ten grondslag liggen aan het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens, alsook met de bepalingen van deze verordening met betrekking tot onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(12)

Het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens moet van toepassing zijn op instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, ongeacht of zij deze activiteiten als hun hoofd- of neventaken uitoefenen, met het oog op de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten. Het mag evenwel niet van toepassing zijn op Europol en het Europees Openbaar Ministerie voordat de rechtshandelingen tot oprichting van Europol en het Europees Openbaar Ministerie zijn gewijzigd, teneinde hierin het hierop toepasselijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, in zijn aangepaste vorm, op te nemen.

(13)

De Commissie moet deze verordening evalueren, met name het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens. De Commissie moet eveneens andere op basis van de Verdragen vastgestelde rechtshandelingen evalueren waarin de verwerking wordt geregeld van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Om een eenvormige en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet de Commissie na deze evaluatie passende wetgevingsvoorstellen kunnen indienen, waaronder nodige aanpassingen van het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, teneinde het toe te passen op Europol en op het Europees Openbaar Ministerie. Bij de aanpassingen moet rekening worden gehouden met bepalingen inzake onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(14)

De verwerking van administratieve persoonsgegevens, zoals personeelsgegevens, door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, moeten door deze verordening worden bestreken.

(15)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door instellingen, organen of instanties van de Unie die activiteiten verrichten die onder hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens door missies bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 van het VEU, waarbij het gemeenschappelijk veiligheids- en defensiebeleid ten uitvoer wordt gelegd. Waar passend moeten relevante voorstellen worden gedaan om de verwerking van persoonsgegevens op het gebied van het gemeenschappelijk veiligheids- en defensiebeleid verder te reguleren.

(16)

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

(17)

De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

(18)

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren.

(19)

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. Tegelijkertijd moet de betrokkene het recht hebben de toestemming te allen tijde in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die gebaseerd werd op toestemming vóór de intrekking daarvan. Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er een duidelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. Op het moment van gegevensverzameling is het vaak niet mogelijk om het doel van de gegevensverwerking ten behoeve van wetenschappelijk onderzoek volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van wetenschappelijk onderzoek, mits erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten een mogelijkheid gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

(20)

Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt en ter voorkoming van ongeoorloofde bekendmaking tijdens de doorzending van.

(21)

Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen dezelfde instelling of hetzelfde orgaan van de Unie en de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke, of naar andere instellingen of organen van de Unie, na te gaan of die persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is. De verwerkingsverantwoordelijke dient ook een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd.

(22)

De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag op grond van deze verordening bestaat, zoals de toestemming van de betrokkene, indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

(23)

De Unierechtelijke bepaling waarnaar in deze verordening wordt verwezen, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(24)

De in deze verordening bedoelde interne voorschriften moeten duidelijke en precieze handelingen van algemene strekking zijn, waarmee rechtsgevolgen jegens betrokkenen worden beoogd. Zij moeten zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie binnen hun bevoegdheidssfeer en in aangelegenheden die verband houden met hun werking. Zij moeten worden bekendgemaakt in het Publicatieblad van de Europese Unie. De toepassing van deze voorschriften moet voorspelbaar zijn voor degenen op wie zij van toepassing zijn, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Interne voorschriften kunnen de vorm aannemen van besluiten, met name wanneer zij zijn vastgesteld door instellingen van de Unie.

(25)

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met aanvankelijke doeleinden verenigbare rechtmatige verwerkingen worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

(26)

Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (6) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

(27)

Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en de verwerking van persoonsgegevens op toestemming berust.

(28)

Wanneer in de Unie gevestigde ontvangers, die geen instellingen of organen van de Unie zijn, wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending van gegevens noodzakelijk is voor de uitvoering van hun taak die wordt verricht in het openbaar belang of bij de uitoefening van het hun verleende openbaar gezag. Een andere optie is dat de ontvangers moeten aantonen dat de doorzending noodzakelijk is voor een specifiek doel in het openbaar belang, terwijl de verwerkingsverantwoordelijke moet vaststellen of er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene zouden worden geschaad. In dit geval dient de verwerkingsverantwoordelijke de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar af te wegen om te beoordelen of de gevraagde doorzending van persoonsgegevens noodzakelijk en evenredig is. Het specifiek doel in het openbaar belang kan verband houden met de transparantie van de instellingen en organen van de Unie. Overeenkomstig het beginsel van transparantie en goed bestuur dienen instellingen of organen van de Unie die noodzaak voorts aan te tonen indien zijzelf het initiatief nemen voor de doorzending. De in deze verordening vastgestelde vereisten voor doorzendingen aan in de Unie gevestigde ontvangers die geen instellingen of organen van de Unie zijn, moeten worden begrepen als aanvulling op de voorwaarden voor rechtmatige verwerking.

(29)

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Dergelijke persoonsgegevens mogen niet verwerkt worden tenzij aan de in deze verordening vastgelegde specifieke voorwaarden is voldaan. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

(30)

Bijzondere categorieën persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht moet voorzien in specifieke en passende maatregelen voor de bescherming van grondrechten en de persoonsgegevens van natuurlijke personen.

(31)

Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (7) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt.

(32)

Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst.

(33)

De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen op grond van deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. instellingen en organen van de Unie dienen in het Unierecht passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, hetgeen door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking kan omvatten.

(34)

Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.

(35)

Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.

(36)

De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.

(37)

Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft.

(38)

Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

(39)

Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.

(40)

Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven.

(41)

Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden.

(42)

Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen.

(43)

Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit — dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.

Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.

(44)

Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften die zijn vastgesteld door instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronischecommunicatiegegevens en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, en voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.

(45)

Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

(46)

Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt, of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

(47)

De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking van gegevens gepaard gaat met een risico of een hoog risico.

(48)

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

(49)

In Verordening (EU) 2016/679 is bepaald dat verwerkingsverantwoordelijken de naleving van die verordening moeten aantonen door zich aan te sluiten bij een goedgekeurde certificeringsregeling. Ook de instellingen en organen van de Unie moeten de naleving van deze verordening kunnen aantonen door certificering te verkrijgen overeenkomstig artikel 42 van Verordening (EU) 2016/679.

(50)

Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.

(51)

Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker die geen instelling of orgaan van de Unie is, dient te worden geregeld in een overeenkomst of, ingeval instellingen of organen van de Unie als verwerkers optreden, door een overeenkomst of andere rechtshandeling krachtens het Unierecht waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan.

(52)

Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op die verwerkingen. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Omwille van de transparantie moeten zij dit register openbaar kunnen maken.

(53)

Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen.

(54)

De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen. Zij dienen de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8). Zij dienen ook de persoonsgegevens te beschermen die in gebruikerslijsten zijn opgeslagen.

(55)

Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost.

(56)

De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico’s voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.

(57)

In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming. De verwerkingsverantwoordelijke houdt een register bij van de verwerkingen van persoonsgegevens waarvan kennisgeving is gedaan, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Naast deze algemene verplichting moeten doeltreffende procedures en mechanismen worden ingesteld voor het toezicht op de verwerkingen die vanwege hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Dergelijke procedures moeten met name ook worden ingesteld wanneer de soorten verwerkingen van nieuwe technologieën gebruikmaken, of van een nieuw type zijn waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico’s te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan.

(58)

Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.

(59)

De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en geraadpleegd over door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking, die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken.

(60)

Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient de Commissie bij het opstellen van voorstellen of aanbevelingen ernaar te streven de Europese Toezichthouder voor gegevensbescherming te raadplegen. Raadpleging door de Commissie dient verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen of in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.

(61)

In overeenstemming met artikel 75 van Verordening (EU) 2016/679 dient de Europese Toezichthouder voor gegevensbescherming het secretariaat van het Europees Comité voor gegevensbescherming te verzorgen.

(62)

Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de door de verwerkingsverantwoordelijke of de verwerker uitgevoerde gegevensverwerkingen en de bescherming die vereist is voor de betrokken gegevens. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren.

(63)

Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, moet het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, worden gewaarborgd. Dezelfde waarborgen moeten gelden bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening en met eerbied voor de in het Handvest verankerde grondrechten en fundamentele vrijheden. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft.

(64)

De Commissie kan vaststellen op grond van artikel 45 van Verordening (EU) 2016/679 of artikel 36 van Richtlijn (EU) 2016/680, dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is.

(65)

Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of -organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.

(66)

Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.

(67)

Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht.

(68)

Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.

(69)

Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.

(70)

Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.

(71)

Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien is het mogelijk dat nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming niet kunnen klachten behandelen of onderzoek verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en nationale toezichthoudende autoriteiten te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(72)

De instelling bij Verordening (EG) nr. 45/2001 van de Europese Toezichthouder voor gegevensbescherming, die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt. De Europese Toezichthouder voor gegevensbescherming moet een persoon zijn wiens onafhankelijkheid boven alle twijfel verheven is en die duidelijk over de ervaring en de bekwaamheid beschikt om de taken van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat hij heeft behoord tot een van de krachtens artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.

(73)

Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de nationale toezichthoudende autoriteiten, waaronder bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, bevoegdheden om inbreuken op deze verordening ter kennis van het Hof van Justitie te brengen en bevoegdheden om overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen.

(74)

De toezichtsbevoegdheid van de Europese Toezichthouder voor gegevensbescherming mag zich niet uitstrekken tot de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt, zulks teneinde de onafhankelijkheid van het Hof bij de uitoefening van zijn rechterlijke taken, waaronder besluitvorming, te waarborgen. Voor dergelijke verwerkingen moet het Hof overeenkomstig artikel 8, lid 3, van het Handvest onafhankelijk toezicht instellen, bijvoorbeeld door middel van een intern mechanisme.

(75)

Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen.

(76)

De Europese Toezichthouder voor gegevensbescherming dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (9) na te leven.

(77)

De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten.

(78)

Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is daarom een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.

(79)

Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

(80)

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

(81)

Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan van de Unie — in plaats van een natuurlijke persoon — wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen de inbreuken te worden benoemd waarvoor administratieve geldboetes gelden, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden geldboeten. De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk, de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een instelling of een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie.

(82)

Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen.

(83)

Een ambtenaar of een ander personeelslid van de Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Unie, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (10) („het Personeelsstatuut”).

(84)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die persoonsgegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden.

(85)

De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (12) bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.

(86)

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie (13) moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten gelden als verwijzingen naar deze verordening.

(87)

Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn.

(88)

Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.

(89)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 15 maart 2017 (14) advies uitgebracht,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.   Bij deze verordening worden voorschriften vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Unie en betreffende het vrije verkeer van persoonsgegevens tussen hen of naar andere in de Unie gevestigde ontvangers.

2.   Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

3.   De Europese Toezichthouder voor gegevensbescherming houdt toezicht op de toepassing van deze verordening op alle door een instelling of orgaan van de Unie verrichte verwerkingen.

Artikel 2

Toepassingsgebied

1.   Deze verordening is van toepassing op de verwerking van persoonsgegevens door alle instellingen en organen van de Unie.

2.   Uitsluitend artikel 3 en hoofdstuk IX van deze verordening zijn van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitoefening van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen.

3.   Deze verordening is niet van toepassing op de verwerking van operationele persoonsgegevens door Europol en het Europees Openbaar Ministerie tot Verordening (EU) 2016/794 van het Europees Parlement en de Raad (15) en Verordening (EU) 2017/1939 (16) zijn aangepast in overeenstemming met artikel 98 van deze verordening.

4.   Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door missies als bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 VEU.

5.   De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking, van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.

Artikel 3

Definities

Voor de toepassing van deze verordening gelden de volgende definities:

1.

„persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2.

„operationele persoonsgegevens”: alle persoonsgegevens die worden verwerkt door organen of instanties van de Unie wanneer zij onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallende activiteiten uitoefenen om de in de handelingen tot oprichting van deze organen of instanties genoemde doelstellingen en taken te verwezenlijken;

3.

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

4.

„beperking van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

5.

„profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

6.

„pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

7.

„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

8.

„verwerkingsverantwoordelijke”: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

9.

„andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie”: verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 en verwerkingsverantwoordelijken in de zin van artikel 3, punt 8, van Richtlijn (EU) 2016/680;

10.

„instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het VEU, het VWEU of het Euratom-Verdrag;

11.

„bevoegde autoriteit”: een overheidsinstantie in een lidstaat die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

12.

„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

13.

„ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers. De verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

14.

„derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

15.

„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

16.

„inbreuk in verband met persoonsgegevens”: inbreuk op de beveiliging die leidt tot de vernietiging, het verlies of de wijziging of de ongeoorloofde onthulling van, of de toegang tot, doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij onbedoeld, hetzij onrechtmatig;

17.

„genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

18.

„biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

19.

„gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

20.

„dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (17);

21.

„internationale organisatie”: een internationaalpubliekrechtelijke organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen, of enig ander orgaan dat is opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

22.

„nationale toezichthoudende autoriteit”: een door een lidstaat op grond van artikel 51 van Verordening (EU) 2016/679 of op grond van artikel 41 van Richtlijn (EU) 2016/680 ingestelde onafhankelijke overheidsinstantie;

23.

„gebruiker”: elke natuurlijke persoon die gebruikmaakt van een netwerk dat of eindapparatuur die onder de verantwoordelijkheid van een instelling of orgaan van de Unie wordt geëxploiteerd;

24.

„gebruikerslijst”: een publiek toegankelijke lijst van gebruikers of een interne lijst van gebruikers die binnen een instelling of orgaan van de Unie beschikbaar is of tussen instellingen en organen van de Unie wordt gedeeld, zowel in gedrukte als in elektronische vorm;

25.

„elektronischecommunicatienetwerk”: de transmissiesystemen, al dan niet gebaseerd op een permanente infrastructuur of gecentraliseerde beheercapaciteit, en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen, waaronder netwerkelementen die niet actief zijn, die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, elektriciteitsnetten, voor zover deze voor overdracht van signalen worden gebruikt, netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie;

26.

„eindapparatuur”: eindapparatuur zoals gedefinieerd in artikel 1, punt 1, van Richtlijn 2008/63/EG van de Commissie (18).

HOOFDSTUK II

ALGEMENE BEGINSELEN

Artikel 4

Beginselen inzake verwerking van persoonsgegevens

1.   Persoonsgegevens:

a)

worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

b)

worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 13 niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c)

zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)

zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen worden getroffen om persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onnauwkeurig zijn, onverwijld te wissen of te rectificeren („juistheid”);

e)

worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, en zulks niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 13, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);

f)

worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”).

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

Artikel 5

Rechtmatigheid van de verwerking

1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)

de verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de instelling of het orgaan van Unie is verleend;

b)

de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

c)

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

d)

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

e)

de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

2.   De rechtsgrond voor de in lid 1, onder a) en b), bedoelde verwerking wordt in het Unierecht vastgesteld.

Artikel 6

Verwerking voor een ander verenigbaar doel

Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 25, lid 1, bedoelde doelstellingen, houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)

ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b)

het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c)

de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, op grond van artikel 10, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, op grond van artikel 11;

d)

de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e)

het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Artikel 7

Voorwaarden voor toestemming

1.   Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

2.   Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

3.   De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

4.   Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Artikel 8

Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

1.   Wanneer artikel 5, lid 1, onder d), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 13 jaar is. Wanneer het kind jonger is dan 13 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

2.   Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.

3.   Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.

Artikel 9

Doorzending van persoonsgegevens aan ontvangers die in de Unie zijn gevestigd en die geen instelling of orgaan van de Unie zijn

1.   Onverminderd de artikelen 4 tot en met 6, en 10, worden persoonsgegevens uitsluitend doorgegeven aan ontvangers die in de Unie zijn gevestigd en die geen instellingen of organen van de Unie zijn, indien de ontvanger aantoont dat:

a)

de gegevens nodig zijn voor de uitvoering van een taak die wordt verricht in het algemeen belang of ter uitoefening van het door de ontvanger beklede openbaar gezag, of

b)

de doorzending van de gegevens noodzakelijk is voor een specifiek doel in het openbaar belang, en de verwerkingsverantwoordelijke, indien er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene kunnen worden geschaad, na de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar te hebben afgewogen, aantoont dat de doorzending van persoonsgegevens voor dit specifieke doel evenredig is.

2.   Indien de verwerkingsverantwoordelijke het initiatief tot doorzending krachtens dit artikel neemt, toont hij aan dat de doorzending van persoonsgegevens noodzakelijk is voor en evenredig is aan de doeleinden van de doorzending, door toepassing van de criteria van lid 1, onder a) of b).

3.   De instellingen en organen van de Unie brengen het recht op bescherming van persoonsgegevens in overeenstemming met het recht van toegang tot documenten overeenkomstig het recht van de Unie.

Artikel 10

Verwerking van bijzondere categorieën van persoonsgegevens

1.   Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2.   Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a)

de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in het Unierecht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

b)

de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij het Unierecht dat passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

c)

de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;

d)

de verwerking wordt verricht door een instantie zonder winstoogmerk die een entiteit vormt die geïntegreerd is in een instelling of orgaan van de Unie en die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van die instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;

e)

de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

f)

de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer het Hof van Justitie handelt in zijn hoedanigheid van rechtsprekende instantie;

g)

de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;

h)

de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van het Unierecht of op grond van een overeenkomst met een gezondheidswerker en met inachtneming van de in lid 3 genoemde voorwaarden en waarborgen;

i)

de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van het Unierecht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of

j)

de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

3.   De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, onder h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels tot geheimhouding is gehouden.

Artikel 11

Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 5, lid 1, alleen worden verwerkt onder toezicht van het openbaar gezag of indien de verwerking is toegestaan bij Unierechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.

Artikel 12

Verwerking waarvoor identificatie niet is vereist

1.   Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.

2.   Wanneer de verwerkingsverantwoordelijke in de in lid 1 van dit artikel bedoelde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 17 tot en met 22 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.

Artikel 13

Waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

AFDELING 1

transparantie en regelingen

Artikel 14

Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1.   De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 15 en 16 bedoelde informatie en de in de artikelen 17 tot en met 24 en artikel 35 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.

2.   De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 17 tot en met 24. In de in artikel 12, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 17 tot en met 24 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.

3.   De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 17 tot en met 24 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene om een andere regeling verzoekt.

4.   Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en beroep bij de rechter in te stellen.

5.   Het verstrekken van de in de artikelen 15 en 16 bedoelde informatie, het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 17 tot en met 24 en artikel 35 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

6.   Onverminderd artikel 12 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 17 tot en met 23, om aanvullende gegevens vragen die nodig zijn ter bevestiging van de identiteit van de betrokkene.

7.   De op grond van de artikelen 15 en 16 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.

8.   Indien de Commissie op grond van artikel 12, lid 8, van Verordening (EU) 2016/679 gedelegeerde handelingen vaststelt om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen, verstrekken de instellingen en organen van de Unie, in voorkomend geval, de informatie op grond van de artikelen 15 en 16 van deze Verordening met gebruikmaking van dergelijke gestandaardiseerde iconen.

AFDELING 2

informatie en toegang tot persoonsgegevens

Artikel 15

Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld

1.   Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

a)

de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d)

in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

e)

in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of aan een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd.

2.   Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:

a)

de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

b)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;

c)

wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

d)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

e)

of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;

f)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

3.   Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

4.   De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.

Artikel 16

Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

1.   Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

a)

de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d)

de betrokken categorieën van persoonsgegevens;

e)

in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

f)

in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd.

2.   Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende aanvullende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:

a)

de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

b)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;

c)

wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

d)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

e)

de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;

f)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

3.   De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:

a)

binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;

b)

indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene, of

c)

indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

4.   Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

5.   De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:

a)

de betrokkene reeds over de informatie beschikt;

b)

het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

c)

het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij het Unierecht, dat voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of

d)

de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van het Unierecht, waaronder een statutaire geheimhoudingsplicht.

6.   In de in lid 5, onder b), bedoelde gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de legitieme belangen van de betrokkene te beschermen, ook door het openbaar maken van de informatie.

Artikel 17

Recht van inzage van de betrokkene

1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de volgende informatie te ontvangen:

a)

de doeleinden van de verwerking;

b)

de betrokken categorieën van persoonsgegevens;

c)

de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d)

indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

g)

wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

2.   Wanneer persoonsgegevens worden doorgegeven naar een derde land of aan een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen op grond van artikel 48 inzake de doorgifte.

3.   De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie in een gangbare elektronische vorm verstrekt, tenzij de betrokkene om een andere regeling verzoekt.

4.   Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

AFDELING 3

rectificatie en wissing van gegevens

Artikel 18

Recht op rectificatie

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.

Artikel 19

Recht op wissing van gegevens („recht om te worden vergeten”)

1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a)

de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

b)

de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

c)

de betrokkene maakt op grond van artikel 23, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;

d)

de persoonsgegevens zijn onrechtmatig verwerkt;

e)

de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

f)

de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2.   Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en op grond van lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken, of andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

3.   De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

a)

voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b)

voor het nakomen van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c)

om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 10, lid 2, onder h) en i), en artikel 10, lid 3;

d)

met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen, of

e)

voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Artikel 20

Recht op beperking van de verwerking

1.   De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:

a)

de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid, met inbegrip van de volledigheid, van de persoonsgegevens te controleren;

b)

de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

c)

de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

d)

de betrokkene heeft op grond van artikel 23, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.

2.   Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.

3.   Een betrokkene die op grond van lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.

4.   In geautomatiseerde bestanden wordt de beperking van de verwerking in beginsel met technische middelen tot stand gebracht. Het feit dat de verwerking van de persoonsgegevens wordt beperkt, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.

Artikel 21

Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of beperking van de verwerking

De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 18, artikel 19, lid 1, en artikel 20, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.

Artikel 22

Recht op overdraagbaarheid van gegevens

1.   De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:

a)

de verwerking berust op toestemming op grond van artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), of op een overeenkomst op grond van artikel 5, lid 1, onder c), en

b)

de verwerking via geautomatiseerde procedés wordt verricht.

2.   Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid op grond van lid 1 heeft de betrokkene het recht om de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere, of naar andere verwerkingsverantwoordelijken dan instellingen of organen van de Unie, te laten doorzenden.

3.   De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 19 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.

4.   Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen.

AFDELING 4

recht van bezwaar en geautomatiseerde individuele besluitvorming

Artikel 23

Recht van bezwaar

1.   De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 5, lid 1, onder a), met inbegrip van profilering op basis van die bepaling. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

2.   Het in lid 1 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

3.   Onverminderd de artikelen 36 en 37 mag de betrokkene in het kader van het gebruik van diensten van de informatiemaatschappij zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.

4.   Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, heeft de betrokkene het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.

Artikel 24

Geautomatiseerde individuele besluitvorming, waaronder profilering

1.   De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

2.   Lid 1 geldt niet indien het besluit:

a)

noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke;

b)

is toegestaan door het Unierecht, dat ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of

c)

berust op de uitdrukkelijke toestemming van de betrokkene.

3.   In de in lid 2, onder a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

4.   De in lid 2 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 10, lid 2, onder a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.

AFDELING 5

beperkingen

Artikel 25

Beperkingen

1.   De toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, kan worden beperkt door middel van rechtshandelingen die zijn vastgesteld op grond van de Verdragen of, voor aangelegenheden betreffende de werking van de instellingen of organen van de Unie betreft, door interne voorschriften van deze instellingen of organen van de Unie, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)

de nationale veiligheid, de openbare veiligheid of de defensie van de lidstaten;

b)

de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

c)

andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

d)

de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronischecommunicatienetwerken;

e)

de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

f)

de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

g)

een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c);

h)

de bescherming van de betrokkene of van de rechten en vrijheden van anderen;

i)

de inning van civielrechtelijke vorderingen.

2.   De in lid 1 bedoelde rechtshandelingen of interne voorschriften bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval:

a)

de doeleinden van de verwerking of van de categorieën van verwerking;

b)

de categorieën van persoonsgegevens;

c)

het toepassingsgebied van de ingevoerde beperkingen;

d)

de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;

e)

de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;

f)

de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, en

g)

de risico’s voor de rechten en vrijheden van de betrokkenen.

3.   Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

4.   Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20, 21, 22 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

5.   De in de leden 1, 3, en 4, bedoelde interne voorschriften zijn duidelijke en precieze handelingen van algemene strekking, waarmee rechtsgevolgen jegens betrokkenen worden beoogd, zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie en worden bekendgemaakt in het Publicatieblad van de Europese Unie.

6.   Wanneer op grond van lid 1 een beperking wordt opgelegd, wordt de betrokkene overeenkomstig het Unierecht in kennis gesteld van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn recht om bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen.

7.   Indien een beroep wordt gedaan op een op grond van lid 1 opgelegde beperking om de betrokkene toegang te weigeren, deelt de Europese Toezichthouder voor gegevensbescherming, wanneer hij de klacht bestudeert, de betrokkene uitsluitend mee of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.

8.   Het verstrekken van de informatie als bedoeld in de leden 6 en 7 van dit artikel en in artikel 45, lid 2, kan worden uitgesteld, achterwege gelaten of geweigerd indien het verstrekken van die informatie de gevolgen van de op grond van lid 1 van dit artikel opgelegde beperking teniet zou doen.

HOOFDSTUK IV

VERWERKINGSVERANTWOORDELIJKE EN VERWERKER

AFDELING 1

algemene verplichtingen

Artikel 26

Verantwoordelijkheid van de verwerkingsverantwoordelijke

1.   Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2.   Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

3.   Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.

Artikel 27

Gegevensbescherming door ontwerp en door standaardinstellingen

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

3.   Een op grond van artikel 42 van Verordening (EU) 2016/679 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.

Artikel 28

Gezamenlijke verwerkingsverantwoordelijken

1.   Indien twee of meerdere verwerkingsverantwoordelijken of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 15 en 16 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

2.   Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.

3.   Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

Artikel 29

Verwerker

1.   Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

2.   De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.

3.   De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

a)

de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

b)

waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

c)

alle op grond van artikel 33 vereiste maatregelen neemt;

d)

aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;

e)

rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;

f)

rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen op grond van de artikelen 33 tot en met 40;

g)

na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;

h)

de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.

Waar het gaat om de eerste alinea, onder h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

4.   Wanneer een verwerker een andere verwerker in dienst neemt om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijke recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

5.   Wanneer een verwerker geen instelling of orgaan van de Unie is, kan de aansluiting daarvan bij een goedgekeurde gedragscode als bedoeld in artikel 40, lid 5, van Verordening (EU) 2016/679 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 van Verordening (EU) 2016/679 worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.

6.   Onverminderd enige individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 3 en 4 van dit artikel bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 7 en 8 van dit artikel bedoelde standaardcontractbepalingen, ook indien zij deel uitmaken van de certificering die een verwerker, niet zijnde een instelling of orgaan van de Unie, op grond van artikel 42 van Verordening (EU) 2016/679 is verleend.

7.   De Commissie kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure standaardcontractbepalingen vaststellen.

8.   De Europese Toezichthouder voor gegevensbescherming kan voor de in de leden 3 en 4 genoemde aangelegenheden standaardcontractbepalingen opstellen.

9.   De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.

10.   Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 65 en 66 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 30

Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.

Artikel 31

Register van verwerkingsactiviteiten

1.   Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a)

de naam en de contactgegevens van de verwerkingsverantwoordelijke, de functionaris voor gegevensbescherming, en, in voorkomend geval, de verwerker en de gezamenlijke verwerkingsverantwoordelijke;

b)

de doeleinden van de verwerking;

c)

een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d)

de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in lidstaten, derde landen of internationale organisaties;

e)

indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;

f)

indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g)

indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.

2.   Iedere verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verwerkingsverantwoordelijke heeft verricht, met daarin de volgende gegevens:

a)

de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt, en van de functionaris voor gegevensbescherming;

b)

de categorieën van verwerkingen die ten behoeve van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

c)

indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;

d)

indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.

3.   Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.

4.   De instellingen en organen van de Unie verstrekken de Europese Toezichthouder voor gegevensbescherming desgevraagd hun register.

5.   Tenzij dat gezien de omvang van de instelling of het orgaan van de Unie niet noodzakelijk is, brengen de instellingen en organen van de Unie hun registers van verwerkingsactiviteiten in een centraal register onder. Zij maken het register openbaar toegankelijk.

Artikel 32

Samenwerking met de Europese Toezichthouder voor gegevensbescherming

De instellingen en organen van de Unie werken desgevraagd samen met de Europese Toezichthouder voor gegevensbescherming bij het vervullen van zijn taken.

AFDELING 2

persoonsgegevensbeveiliging

Artikel 33

Beveiliging van de verwerking

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

a)

de pseudonimisering en versleuteling van persoonsgegevens;

b)

het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c)

het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d)

een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

2.   Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

3.   De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk is gehouden.

4.   Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat aan de vereisten van lid 1 van dit artikel is voldaan.

Artikel 34

Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming

1.   Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

2.   De verwerker informeert de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.

3.   In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

a)

de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

b)

de naam en de contactgegevens van de functionaris voor gegevensbescherming;

c)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d)

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

4.   Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.

5.   De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming in kennis van de inbreuk in verband met persoonsgegevens.

6.   De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.

Artikel 35

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.   Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 34, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.

3.   De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een of meer van de volgende voorwaarden is voldaan:

a)

de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

b)

de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;

c)

de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

4.   Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.

AFDELING 3

vertrouwelijkheid van elektronische communicatie

Artikel 36

Vertrouwelijkheid van elektronische communicatie

De instellingen en organen van de Unie waarborgen de vertrouwelijkheid van de elektronische communicatie, met name door hun elektronische communicatienetwerken te beveiligen.

Artikel 37

Bescherming van gegevens die worden overgedragen naar, opgeslagen zijn op en verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers

De instellingen en organen van de Unie beschermen de gegevens die worden overgedragen naar, opgeslagen zijn op, verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers die hun openbaar toegankelijke websites en mobiele toepassingen bezoeken, overeenkomstig artikel 5, lid 3, van Richtlijn 2002/58/EG.

Artikel 38

Gebruikerslijsten

1.   Persoonsgegevens die in gebruikerslijsten zijn opgenomen en de toegang tot dergelijke lijsten worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst strikt noodzakelijk is.

2.   De instellingen en organen van de Unie nemen alle nodige maatregelen om te voorkomen dat in die gebruikerslijsten opgenomen persoonsgegevens voor direct marketing worden gebruikt, ongeacht of die lijsten al dan niet publiek toegankelijk zijn.

AFDELING 4

gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Artikel 39

Gegevensbeschermingseffectbeoordeling

1.   Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.

2.   De verwerkingsverantwoordelijke wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de functionaris voor gegevensbescherming in.

3.   Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:

a)

een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

b)

grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 11, of

c)

stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

4.   De Europese Toezichthouder voor gegevensbescherming stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling op grond van lid 1 verplicht is, en maakt deze lijst openbaar.

5.   De Europese Toezichthouder voor gegevensbescherming kan ook een lijst opstellen en openbaar maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.

6.   Alvorens hij de in de leden 4 en 5 van dit artikel bedoelde lijsten vaststelt, vraagt de Europese Toezichthouder voor gegevensbescherming aan het bij artikel 68 van Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming om die lijsten overeenkomstig artikel 70, lid 1, onder e), van die verordening te onderzoeken, met name wanneer zij betrekking hebben op verwerkingen door een verwerkingsverantwoordelijke die gezamenlijk optreedt met één of meer verwerkingsverantwoordelijken die geen instellingen of organen van de Unie zijn.

7.   De beoordeling bevat ten minste:

a)

een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden;

b)

een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

c)

een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen, en

d)

de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

8.   Bij het beoordelen van het effect van de door andere verwerkers dan instellingen en organen van de Unie verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 van Verordening (EU) 2016/679 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

9.   De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging van verwerkingen.

10.   Wanneer verwerking op grond van artikel 5, lid 1, onder a) of b), haar rechtsgrond heeft in een op grond van de Verdragen vastgestelde rechtshandeling waarbij de specifieke verwerking of het geheel van verwerkingen in kwestie wordt geregeld, en er reeds als onderdeel van een aan de vaststelling van deze rechtshandeling voorafgaande algemene effectbeoordeling een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 6 van dit artikel niet van toepassing, tenzij die rechtshandeling anders bepaalt.

11.   Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer er zich een verandering van het met de verwerkingen gepaard gaande risico voordoet.

Artikel 40

Voorafgaande raadpleging

1.   De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voorafgaand aan de verwerking wanneer een gegevensbeschermingseffectbeoordeling uit hoofde van artikel 39 uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die gelet op de beschikbare technologie en uitvoeringskosten redelijk zijn. De verwerkingsverantwoordelijke wint het advies van de functionaris voor gegevensbescherming in over de noodzaak van voorafgaande raadpleging.

2.   Wanneer de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, verstrekt hij binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag hij al zijn in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de Europese Toezichthouder voor gegevensbescherming de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging, van die verlenging in kennis, alsmede van de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de Europese Toezichthouder voor gegevensbescherming informatie heeft verkregen waarom hij met het oog op de raadpleging heeft verzocht.

3.   Wanneer de verwerkingsverantwoordelijke de Europese Toezichthouder voor gegevensbescherming op grond van lid 1 raadpleegt, verstrekt hij hem informatie over:

a)

indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerkers die bij de verwerking betrokken zijn;

b)

de doeleinden en de middelen van de voorgenomen verwerking;

c)

de maatregelen en waarborgen die ter bescherming van de rechten en vrijheden van betrokkenen op grond van deze verordening worden geboden;

d)

de contactgegevens van de functionaris voor gegevensbescherming;

e)

de gegevensbeschermingseffectbeoordeling waarin bij artikel 39 is voorzien, en

f)

alle andere informatie waar de Europese Toezichthouder voor gegevensbescherming om verzoekt.

4.   De Commissie kan door middel van een uitvoeringshandeling een lijst vaststellen van gevallen waarin de verwerkingsverantwoordelijke overleg dient te plegen met de Europese Toezichthouder voor gegevensbescherming en om diens voorafgaande toestemming dient te verzoeken wanneer hij met het oog op de vervulling van een taak van algemeen belang persoonsgegevens verwerkt, onder meer wanneer de verwerking van die gegevens verband houdt met sociale bescherming en volksgezondheid.

AFDELING 5

informatieverstrekking en legislatieve raadpleging

Artikel 41

Informatie en raadpleging

1.   Wanneer de instellingen en organen van de Unie bestuurlijke maatregelen en interne regels opstellen door een instelling of orgaan van de Unie, alleen of samen met anderen, informeren zij de Europese Toezichthouder voor gegevensbescherming.

2.   Wanneer de instellingen of organen van de Unie de in artikel 25 bedoelde interne voorschriften opstellen, raadplegen zij de Europese Toezichthouder voor gegevensbescherming.

Artikel 42

Legislatieve raadpleging

1.   De Commissie raadpleegt, na het vaststellen van voorstellen voor rechtshandelingen van aanbevelingen of van voorstellen aan de Raad op grond van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen, de Europese Toezichthouder voor gegevensbescherming wanneer er gevolgen zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

2.   Indien een in lid 1 bedoelde handeling van bijzonder belang is voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies.

3.   Het in de leden 1 en 2 bedoelde advies wordt schriftelijk verstrekt binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om de in de leden 1 en 2 bedoelde raadpleging. De Commissie kan die termijn in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bekorten.

4.   Dit artikel is niet van toepassing wanneer de Commissie op grond van Verordening (EU) 2016/679 gehouden is het Europees Comité voor gegevensbescherming te raadplegen.

AFDELING 6

functionaris voor gegevensbescherming

Artikel 43

Aanwijzing van de functionaris voor gegevensbescherming

1.   De instellingen en organen van de Unie wijzen elk een functionaris voor gegevensbescherming aan.

2.   Instellingen en organen van de Unie kunnen een enkele functionaris voor gegevensbescherming aanwijzen die voor verschillende instellingen en/of organen optreedt, rekening houdend met hun organisatiestructuur en omvang.

3.   De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 45 bedoelde taken te vervullen.

4.   De functionaris voor gegevensbescherming is een personeelslid van de instelling of het orgaan van de Unie. instellingen en organen van de Unie kunnen, rekening houdend met hun omvang en indien geen gebruik gemaakt is van de mogelijkheid krachtens lid 2, een functionaris voor gegevensbescherming aanwijzen die zijn taken op grond van een dienstverleningsovereenkomst verricht.

5.   De instellingen en organen van de Unie maken de contactgegevens van de functionaris voor gegevensbescherming bekend en delen die mee aan de Europese Toezichthouder voor gegevensbescherming.

Artikel 44

Positie van de functionaris voor gegevensbescherming

1.   De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.   De instellingen en organen van de Unie ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 45 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.

3.   De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

4.   Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.

5.   De functionaris voor gegevensbescherming en diens personeelsleden zijn met betrekking tot de uitvoering van hun taken overeenkomstig het Unierecht tot geheimhouding of vertrouwelijkheid gehouden.

6.   De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

7.   De functionaris voor gegevensbescherming kan door de verwerkingsverantwoordelijke en de verwerker, het betrokken personeelscomité en elke natuurlijke persoon worden geraadpleegd over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening, zonder de officiële weg te volgen. Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert de bepalingen van deze verordening schendt, onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht.

8.   De functionaris voor gegevensbescherming wordt aangewezen voor een periode van drie tot vijf jaar en kan opnieuw worden benoemd. Indien de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet en alleen met instemming van de Europese Toezichthouder voor gegevensbescherming, kan hij door de instelling of het orgaan van de Unie waardoor hij is aangewezen, worden ontslagen.

9.   Nadat hij is aangewezen, wordt de functionaris voor gegevensbescherming door de instelling of het orgaan van de Unie waardoor hij is aangewezen, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.

Artikel 45

Taken van de functionaris voor gegevensbescherming

1.   De functionaris voor gegevensbescherming vervult de volgende taken:

a)

de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking verrichten, informeren en adviseren over hun verplichtingen op grond van deze verordening en andere Unierechtelijke gegevensbeschermingsbepalingen;

b)

op onafhankelijke wijze zorgen voor de interne toepassing van deze verordening en toezien op naleving van deze verordening, van andere toepasselijke Unierechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de ermee verband houdende audits;

c)

ervoor zorgen dat de betrokkenen in kennis worden gesteld van hun rechten en plichten op grond van deze verordening;

d)

desgevraagd advies verstrekken met betrekking tot de noodzaak van een melding of mededeling inzake een inbreuk in verband met persoonsgegevens op grond van de artikelen 34 en 35;

e)

desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering ervan op grond van artikel 39 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van een gegevensbeschermingseffectbeoordeling;

f)

desgevraagd advies verstrekken met betrekking tot de noodzaak van voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming op grond van artikel 40 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van voorafgaande raadpleging;

g)

ingaan op verzoeken van de Europese Toezichthouder voor gegevensbescherming; binnen het kader van diens bevoegdheden, samenwerken met de Europese Toezichthouder voor gegevensbescherming en deze raadplegen, op diens verzoek of op eigen initiatief;

h)

erop toezien dat de verwerkingen geen afbreuk doen aan de rechten en vrijheden van de betrokkenen.

2.   De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de verwerkingsverantwoordelijke en de verwerker en hun advies verstrekken over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming. Voorts kan hij, op eigen initiatief of op verzoek van de verwerkingsverantwoordelijke of de verwerker, van het betrokken personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij kennis heeft gekregen, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft, dan wel aan de verwerkingsverantwoordelijke of de verwerker.

3.   Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door elke instelling of elk orgaan van de Unie vastgesteld. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

HOOFDSTUK V

DOORGIFTEN VAN PERSOONSGEGEVENS AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 46

Algemeen beginsel inzake doorgiften

Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.

Artikel 47

Doorgiften op basis van adequaatheidsbesluiten

1.   Doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 heeft besloten dat het derde land, een gebied of een of meer nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, en als de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering van onder de bevoegdheid van de verwerkingsverantwoordelijke vallende taken mogelijk te maken.

2.   De instellingen of organen van de Unie stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarvoor zij van oordeel zijn dat een betrokken derde land, een betrokken gebied of één of meerdere betrokken nader bepaalde sectoren in een derde land, respectievelijk een betrokken internationale organisatie, geen adequaat beschermingsniveau in de zin van lid 1 waarborgt.

3.   De instellingen of organen van de Unie nemen de nodige maatregelen om te voldoen aan de besluiten waarbij de Commissie op grond van artikel 45, lid 3 of lid 5, van Verordening (EU) 2016/679 of op grond van artikel 36, lid 3 of lid 5, van Richtlijn (EU) 2016/680 vaststelt dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau waarborgt dan wel niet langer waarborgt.

Artikel 48

Doorgiften op basis van passende waarborgen

1.   Bij ontstentenis van een besluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680, mag een verwerkingsverantwoordelijke of een verwerker alleen persoonsgegevens aan een derde land of een internationale organisatie doorgeven als hij passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

2.   De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van de Europese Toezichthouder voor gegevensbescherming is vereist:

a)

een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;

b)

standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;

c)

standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld en die door de Commissie op grond van de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;

d)

bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen op grond van artikel 46, lid 2, onder b), e), en f), van Verordening (EU) 2016/679, wanneer de verwerker geen instelling of orgaan van de Unie is.

3.   Onder voorbehoud van de toestemming van de Europese Toezichthouder voor gegevensbescherming kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door met name:

a)

contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of

b)

bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.

4.   Toestemmingen die de Europese Toezichthouder voor gegevensbescherming op grond van artikel 9, lid 7, van Verordening (EG) nr. 45/2001 heeft verleend, blijven geldig totdat zij door de Europese Toezichthouder voor gegevensbescherming, indien nodig, worden gewijzigd, vervangen of ingetrokken.

5.   De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.

Artikel 49

Niet bij Unierecht toegestane doorgiften of verstrekkingen

Elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie, onverminderd andere gronden voor doorgifte op grond van dit hoofdstuk.

Artikel 50

Afwijkingen voor specifieke situaties

1.   Bij ontstentenis van een adequaatheidsbesluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 of van passende waarborgen op grond van artikel 48 van de onderhavige verordening, kan een doorgifte of reeks doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden als aan een van de volgende voorwaarden is voldaan:

a)

de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

b)

de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;

c)

de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst;

d)

de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;

e)

de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

f)

de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven, of

g)

de doorgifte geschiedt vanuit een register dat krachtens het Unierecht is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het gegeven geval aan de in het Unierecht neergelegde voorwaarden voor raadpleging wordt voldaan.

2.   Lid 1, onder a), b) en c), is niet van toepassing op activiteiten die door instellingen of organen van de Unie worden verricht in de uitoefening van hun overheidsgezag.

3.   Het in lid 1, onder d), bedoelde algemeen belang moet zijn erkend in het Unierecht.

4.   Een doorgifte op grond van lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen, tenzij dat volgens het Unierecht is toegestaan. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer zij de beoogde ontvangers van de gegevens zijn.

5.   Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.

6.   De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.

Artikel 51

Internationale samenwerking voor de bescherming van persoonsgegevens

Ten aanzien van derde landen en internationale organisaties neemt de Europese Toezichthouder voor gegevensbescherming, in samenwerking met de Commissie en het Europees Comité voor gegevensbescherming, passende maatregelen om:

a)

procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;

b)

internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder meer door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;

c)

belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)

de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen.

HOOFDSTUK VI

EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING

Artikel 52

Europese Toezichthouder voor gegevensbescherming

1.   De Europese Toezichthouder voor gegevensbescherming wordt hierbij ingesteld.

2.   De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op gegevensbescherming, bij de verwerking van persoonsgegevens, door instellingen en organen van de Unie in acht worden genomen.

3.   De Europese Toezichthouder voor gegevensbescherming is met name belast met het toezien op en het verzekeren van de toepassing van deze verordening en van elk ander besluit van de Unie betreffende de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door een instelling of orgaan van de Unie, alsmede voor het verstrekken van advies aan de instellingen en organen van de Unie en aan de betrokkenen over alle aangelegenheden in verband met de verwerking van persoonsgegevens. Daartoe vervult de Europese Toezichthouder voor gegevensbescherming de bij artikel 57 opgedragen taken en oefent hij de bij artikel 58 verleende bevoegdheden uit.

4.   Verordening (EG) nr. 1049/2001 is van toepassing op documenten in het bezit van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming stelt gedetailleerde voorschriften vast voor de toepassing van Verordening (EG) nr. 1049/2001 met betrekking tot die documenten.

Artikel 53

Benoeming van de Europese Toezichthouder voor gegevensbescherming

1.   Het Europees Parlement en de Raad benoemen in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vijf jaar, op basis van een lijst van kandidaten die de Commissie na een openbare sollicitatieoproep opstelt. Deze sollicitatieoproep staat open voor alle belangstellenden in de gehele Unie. De door de Commissie opgestelde lijst van kandidaten is openbaar en bestaat uit ten minste drie kandidaten. De bevoegde commissie van het Europees Parlement kan op basis van de door de Commissie opgestelde lijst besluiten een hoorzitting te houden zodat zij een voorkeur kan uitspreken.

2.   De in lid 1 bedoelde lijst van kandidaten wordt samengesteld uit personen die alle waarborgen voor onafhankelijkheid bieden en die duidelijk over deskundigheid op het gebied van gegevensbescherming en over de vereiste ervaring en bekwaamheid beschikken om het ambt van Europese Toezichthouder voor gegevensbescherming uit te oefenen.

3.   De ambtstermijn van de Europese Toezichthouder voor gegevensbescherming kan eenmaal worden verlengd.

4.   De ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming eindigt wanneer:

a)

de Europese Toezichthouder voor gegevensbescherming wordt vervangen;

b)

de Europese Toezichthouder voor gegevensbescherming ontslag neemt;

c)

de Europese Toezichthouder voor gegevensbescherming wordt ontslagen of met pensioen moet gaan.

5.   De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie worden ontslagen, of kan zijn recht op pensioen of pensioenvervangende voordelen verliezen indien hij niet langer aan de voorwaarden voor de uitoefening van het ambt voldoet of op ernstige wijze is tekortgeschoten.

6.   In geval van normale opvolging en vrijwillig ontslag blijft de Europese Toezichthouder voor gegevensbescherming in functie totdat in zijn vervanging is voorzien.

7.   De artikelen 11 tot en met 14 en artikel 17 van het Protocol betreffende de voorrechten en immuniteiten van de Europese Unie gelden eveneens voor de Europese Toezichthouder voor gegevensbescherming.

Artikel 54

Statuut en algemene voorwaarden voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, personeel en financiële middelen

1.   De Europese Toezichthouder voor gegevensbescherming wordt beschouwd als gelijkwaardig aan een rechter van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.

2.   De Begrotingsautoriteit draagt er zorg voor dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn taken benodigde personele en financiële middelen beschikt.

3.   De begroting van de Europese Toezichthouder voor gegevensbescherming valt onder een specifieke begrotingslijn van de afdeling met betrekking tot administratieve uitgaven van de algemene begroting van de Unie.

4.   De Europese Toezichthouder voor gegevensbescherming wordt bijgestaan door een secretariaat. De Europese Toezichthouder voor gegevensbescherming benoemt de ambtenaren en andere personeelsleden van het secretariaat en is hun hiërarchische meerdere. Deze ambtenaren en personeelsleden staan uitsluitend onder zijn leiding. Hun aantal wordt ieder jaar in het kader van de begrotingsprocedure vastgesteld. Artikel 75, lid 2, van Verordening (EU) 2016/679 is van toepassing op de personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de bij het Unierecht aan het Europees Comité voor gegevensbescherming opgedragen taken.

5.   De ambtenaren en de andere personeelsleden van het secretariaat van de Europese Toezichthouder voor gegevensbescherming zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Unie.

6.   De zetel van de Europese Toezichthouder voor gegevensbescherming is in Brussel.

Artikel 55

Onafhankelijkheid

1.   De Europese Toezichthouder voor gegevensbescherming treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die hem overeenkomstig deze verordening zijn toegewezen.

2.   Bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden overeenkomstig deze verordening blijft de Europese Toezichthouder voor gegevensbescherming vrij van al dan niet rechtstreekse externe invloed en vraagt noch aanvaardt hij instructies van wie dan ook.

3.   De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde, beroepswerkzaamheden.

4.   Bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming integriteit en kiesheid.

Artikel 56

Beroepsgeheim

Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van hun officiële taken ter kennis is gekomen geldt voor de Europese Toezichthouder voor gegevensbescherming en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.

Artikel 57

Taken

1.   Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht de Europese Toezichthouder voor gegevensbescherming de volgende taken:

a)

hij ziet toe op en treedt handhavend op ten aanzien van de toepassing van deze verordening door instellingen en organen van de Unie, met uitzondering van de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt;

b)

hij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten;

c)

hij maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun verplichtingen uit hoofde van deze verordening;

d)

hij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe in voorkomend geval samen met de nationale toezichthoudende autoriteiten;

e)

hij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 67, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;

f)

hij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die hij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt;

g)

hij verleent, op eigen initiatief of op verzoek, advies aan alle instellingen en organen van de Unie over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van de verwerking van persoonsgegevens;

h)

hij volgt de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

i)

hij stelt de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardcontractbepalingen vast;

j)

hij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling op grond van artikel 39, lid 4, en houdt deze lijst bij;

k)

hij neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming;

l)

hij verzorgt overeenkomstig artikel 75 van Verordening (EU) 2016/679 het secretariaat van het Europees Comité voor gegevensbescherming;

m)

hij verstrekt advies over de in artikel 40, lid 2, bedoelde verwerking;

n)

hij geeft toestemming voor de in artikel 48, lid 3, bedoelde contractuele en andere bepalingen;

o)

hij houdt interne registers bij van inbreuken op deze verordening en van overeenkomstig artikel 58, lid 2, getroffen maatregelen;

p)

hij verricht alle andere taken die verband houden met de bescherming van persoonsgegevens, en

q)

hij stelt zijn reglement van orde vast.

2.   De Europese Toezichthouder voor gegevensbescherming faciliteert de indiening van klachten als bedoeld in lid 1, onder e), door het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

3.   De Europese Toezichthouder voor gegevensbescherming verricht zijn taken kosteloos voor de betrokkene.

4.   Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege het repetitieve karakter ervan, kan de Europese Toezichthouder voor gegevensbescherming weigeren aan het verzoek gevolg te geven. Het is aan de Europese Toezichthouder voor gegevensbescherming om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

Artikel 58

Bevoegdheden

1.   De Europese Toezichthouder voor gegevensbescherming beschikt over de onderzoeksbevoegdheid om:

a)

de verwerkingsverantwoordelijke en de verwerker te gelasten alle voor de uitvoering van zijn taken vereiste informatie te verstrekken;

b)

onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;

c)

de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;

d)

van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van zijn taken;

e)

toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het Unierecht.

2.   De Europese Toezichthouder beschikt over de corrigerende bevoegdheid om:

a)

de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b)

de verwerkingsverantwoordelijke of de verwerker te berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

c)

zaken voor te leggen aan de betrokken gegevensverantwoordelijke of verwerker en zo nodig aan het Europees Parlement, de Raad en de Commissie;

d)

de verwerkingsverantwoordelijke of de verwerker te gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten op grond van deze verordening in te willigen;

e)

de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

f)

de verwerkingsverantwoordelijke te gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

g)

een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;

h)

het rectificeren of wissen van persoonsgegevens of de beperking van de verwerking op grond van de artikelen 18, 19 en 20 te gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, op grond van artikel 19, lid 2, en artikel 21;

i)

ingeval een instelling of orgaan van de Unie niet voldoet aan een van de onder d) tot en met h) en j) van dit lid bedoelde maatregelen, naargelang de omstandigheden van elke zaak, een administratieve geldboete op te leggen op grond van artikel 66;

j)

de opschorting van gegevensstromen naar een ontvanger in een lidstaat of een derde land of naar een internationale organisatie te gelasten.

3.   De Europese Toezichthouder voor gegevensbescherming heeft de machtigings- en adviesbevoegdheid om:

a)

betrokkenen te adviseren over de uitoefening van hun rechten;

b)

de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 40, en in overeenstemming met artikel 41, lid 2;

c)

op eigen initiatief dan wel op verzoek, aan instellingen en organen van de Unie en het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;

d)

de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen;

e)

toestemming te verlenen voor de in artikel 48, lid 3, onder a), bedoelde contractbepalingen;

f)

toestemming te verlenen voor de in artikel 48, lid 3, onder b), bedoelde administratieve regelingen;

g)

toestemming te verlenen voor verwerkingen uit hoofde van op grond van artikel 40, lid 4, vastgestelde uitvoeringshandelingen.

4.   De Europese Toezichthouder voor gegevensbescherming heeft de bevoegdheid het Hof van Justitie van de Europese Unie te adiëren onder de in de Verdragen genoemde voorwaarden en te interveniëren in vorderingen die bij het Hof van Justitie van de Europese Unie aanhangig zijn gemaakt.

5.   Op de uitoefening van de bevoegdheden die op grond van dit artikel aan de Europese Toezichthouder voor gegevensbescherming worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals vastgelegd in het Unierecht.

Artikel 59

Repliek door verwerkingsverantwoordelijken en verwerkers

Wanneer de Europese Toezichthouder voor gegevensbescherming de bevoegdheden uitoefent die hem uit hoofde van artikel 58, lid 2, onder a), b) en c), toekomen, deelt de betrokken verwerkingsverantwoordelijke of verwerker hem binnen een redelijke, door de Europese Toezichthouder voor gegevensbescherming te bepalen termijn, zijn standpunt mee, rekening houdend met de omstandigheden van elk geval. In zijn repliek beschrijft hij tevens de maatregelen die eventueel naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.

Artikel 60

Activiteitenverslag

1.   De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.

2.   De Europese Toezichthouder voor gegevensbescherming legt het in lid 1 bedoelde verslag voor aan de overige instellingen en organen van de Unie, die opmerkingen kunnen indienen met het oog op de eventuele bespreking van het verslag in het Europees Parlement.

HOOFDSTUK VII

SAMENWERKING EN CONSISTENTIE

Artikel 61

Samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten

De Europese Toezichthouder voor gegevensbescherming werkt samen met nationale toezichthoudende autoriteiten en met de gemeenschappelijke controleautoriteit opgericht krachtens artikel 25 van Besluit 2009/917/JBZ van de Raad (19) voor zover dat voor de uitoefening van hun onderscheiden taken nodig is, met name door met elkaar relevante informatie uit te wisselen, elkaar te verzoeken hun bevoegdheden uit te oefenen en te reageren op elkaars verzoeken.

Artikel 62

Gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten

1.   Wanneer in een handeling van de Unie naar dit artikel wordt verwezen, werken de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, actief samen om te waarborgen dat er doeltreffend toezicht wordt gehouden op grootschalige IT-systemen en op instellingen, organen en instanties van de Unie.

2.   Zij houden zich, voor zover noodzakelijk, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, bezig met het uitwisselen van relevante informatie, het verlenen van onderlinge bijstand bij audits en inspecties, het onderzoeken van moeilijkheden inzake de uitlegging of toepassing van de onderhavige verordening of andere toepasselijke handelingen van de Unie, het bestuderen van problemen bij de uitoefening van onafhankelijk toezicht of de uitoefening van de rechten van betrokkenen, het opstellen van geharmoniseerde voorstellen om problemen op te lossen en het onder de aandacht brengen van gegevensbeschermingsrechten.

3.   Voor de in lid 2 vervatte doeleinden komen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten ten minste tweemaal per jaar bijeen in het kader van het Europees Comité voor gegevensbescherming. Daartoe kan het Europees Comité voor gegevensbescherming indien noodzakelijk verdere werkmethoden vaststellen.

4.   Om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk activiteitenverslag over het gecoördineerde toezicht toe aan het Europees Parlement, de Raad en de Commissie.

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 63

Recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming

1.   Onverminderd een eventuele voorziening in rechte, een administratief beroep of een buitengerechtelijk beroep, heeft iedere betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.

2.   De Europese Toezichthouder voor gegevensbescherming houdt de indiener van de klacht op de hoogte van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte op grond van artikel 64.

3.   Indien de Europese Toezichthouder voor gegevensbescherming de klacht niet behandelt of de betrokkene niet binnen drie maanden informeert over de vooruitgang of het resultaat van de klacht, wordt de Europese Toezichthouder voor gegevensbescherming geacht een negatief besluit te hebben vastgesteld.

Artikel 64

Recht op een doeltreffende voorziening in rechte

1.   Het Hof van Justitie is bevoegd kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.

2.   Bij het Hof van Justitie kan tegen besluiten van de Europese Toezichthouder voor gegevensbescherming, met inbegrip van de besluiten op grond van artikel 63, lid 3, beroep worden ingesteld.

3.   Het Hof van Justitie heeft volledige rechtsmacht om de in artikel 66 bedoelde administratieve geldboeten te herbeoordelen. Het kan deze geldboeten binnen de grenzen van artikel 66 annuleren, verlagen of verhogen.

Artikel 65

Recht op schadevergoeding

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de instelling of het orgaan van de Unie schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

Artikel 66

Administratieve geldboeten

1.   De Europese Toezichthouder voor gegevensbescherming kan administratieve geldboeten opleggen aan instellingen en organen van de Unie, afhankelijk van de omstandigheden van elk afzonderlijk geval, wanneer een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast op grond van artikel 58, lid 2, onder d) tot en met h) en j). Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a)

de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b)

de door de instelling of het orgaan van de Unie genomen maatregelen om de door betrokkenen geleden schade te beperken;

c)

de mate waarin de instelling of het orgaan van de Unie verantwoordelijk is, gezien de technische en organisatorische maatregelen die de instelling of het orgaan heeft uitgevoerd op grond van de artikelen 27 en 33;

d)

vergelijkbare eerdere inbreuken door de instelling of het orgaan van de Unie;

e)

de mate waarin er met de Europese Toezichthouder voor gegevensbescherming is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

f)

de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

g)

de wijze waarop de Europese Toezichthouder voor gegevensbescherming kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de instelling of het orgaan van de Unie de inbreuk heeft gemeld;

h)

de naleving van in artikel 58 genoemde maatregelen die eerder ten aanzien van de instelling of het orgaan van de Unie in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen. De procedures die leiden tot het opleggen van dergelijke geldboeten worden uitgevoerd binnen een redelijke termijn, rekening houdend met de omstandigheden van het geval alsook met de relevante maatregelen en procedures bedoeld in artikel 69.

2.   Inbreuken ten aanzien van de verplichtingen van de instelling of het orgaan van de Unie op grond van de artikelen 8, 12, 27 tot en met 33, 34, 35, 39, 40, 43, 44 en 45 zijn overeenkomstig lid 1 van dit lid onderworpen aan administratieve geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar.

3.   Inbreuken op de navolgende bepalingen door de instelling of het orgaan van de Unie zijn overeenkomstig lid 1 onderworpen aan administratieve geldboeten tot 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar:

a)

de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, op grond van de artikelen 4, 5, 7 en 10;

b)

de rechten van de betrokkenen op grond van de artikelen 14 tot en met 24;

c)

de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie op grond van de artikelen 46 tot en met 50.

4.   Indien een instelling of orgaan van de Unie met betrekking tot dezelfde, daarmee verband houdende of voortgaande verwerkingen een inbreuk pleegt op meerdere bepalingen van deze verordening of meermaals inbreuk pleegt op dezelfde bepaling van deze verordening, is de totale administratieve geldboete niet hoger dan die voor de zwaarste inbreuk.

5.   Alvorens een besluit op grond van dit artikel te nemen, stelt de Europese Toezichthouder voor gegevensbescherming de instelling of het orgaan van de Unie ten aanzien waarvan hij een procedure volgt, in de gelegenheid om te worden gehoord over de punten van bezwaar van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming baseert zijn besluiten uitsluitend op punten van bezwaar waarover de betrokken partijen opmerkingen hebben kunnen maken. De klagers worden nauw bij de procedure betrokken.

6.   Het recht van verdediging van de partijen wordt in de loop van de procedure ten volle geëerbiedigd. Zij hebben recht op toegang tot het bestand van de Europese Toezichthouder voor gegevensbescherming, onder voorbehoud van het gerechtvaardigde belang van andere personen of ondernemingen bij de bescherming van hun persoonsgegevens of bedrijfsgeheimen.

7.   De bedragen die worden geïnd door het opleggen van de geldboeten van dit artikel, worden beschouwd als ontvangsten voor de algemene begroting van de Unie.

Artikel 67

Vertegenwoordiging van betrokkenen

De betrokkenen hebben het recht organen, organisaties of verenigingen zonder winstoogmerk die op geldige wijze overeenkomstig het recht van de Unie of van een lidstaat zijn opgericht, het algemene belang dienende statutaire doelstellingen hebben en actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen bij de Europese Toezichthouder voor gegevensbescherming, namens hem de in de artikelen 63 en 64 bedoelde rechten uit te oefenen en namens hem het in artikel 65 bedoelde recht op schadevergoeding uit te oefenen.

Artikel 68

Klachten van personeelsleden van de Unie

Eenieder die in dienst is van een instelling of orgaan van de Unie kan, ook zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen wegens een vermeende inbreuk op de in deze verordening vervatte bepalingen. Niemand mag nadeel ondervinden van het feit dat hij bij de Europese Toezichthouder voor gegevensbescherming een klacht heeft ingediend waarin op een dergelijke schending wordt gewezen.

Artikel 69

Sancties

Indien een ambtenaar of een ander personeelslid van de Unie de krachtens deze verordening op hem rustende verplichtingen opzettelijk of uit nalatigheid niet nakomt, kan hij aan een tucht- of andere maatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Personeelsstatuut.

HOOFDSTUK IX

VERWERKING VAN OPERATIONELE PERSOONSGEGEVENS DOOR INSTELLINGEN, ORGANEN EN INSTANTIES VAN DE UNIE BIJ DE UITOEFENING VAN ACTIVITEITEN DIE BINNEN HET TOEPASSINGSGEBIED VAN HOOFDSTUK 4 OF HOOFDSTUK 5 VAN TITEL V VAN HET DERDE DEEL VAN HET VWEU VALLEN

Artikel 70

Toepassingsgebied van het hoofdstuk

Dit hoofdstuk is uitsluitend van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, onverminderd specifieke gegevensbeschermingsregels die op die instelling, dat orgaan of die instantie van de Unie van toepassing zijn.

Artikel 71

Beginselen inzake verwerking van operationele persoonsgegevens

1.   Operationele persoonsgegevens:

a)

worden rechtmatig en behoorlijk verwerkt („rechtmatigheid en behoorlijkheid”);

b)

worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en worden niet op een met die doeleinden onverenigbare wijze verwerkt („doelbinding”);

c)

zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)

zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen moeten worden genomen om de operationele persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);

e)

worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de operationele persoonsgegevens worden verwerkt noodzakelijk is („opslagbeperking”);

f)

worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”).

2.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een van de doeleinden die zijn vermeld in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, voor een ander doel dan dat waarvoor de operationele persoonsgegevens worden verzameld, is toegelaten voor zover:

a)

de verwerkingsverantwoordelijke overeenkomstig het Unierecht gemachtigd is die operationele persoonsgegevens voor een dergelijk doel te verwerken, en

b)

de verwerking noodzakelijk is en in verhouding staat tot dat andere doel overeenkomstig het Unierecht.

3.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.

4.   De verwerkingsverantwoordelijke is verantwoordelijk voor de leden 1, 2 en 3 en kan de naleving ervan aantonen.

Artikel 72

Rechtmatigheid van verwerking van operationele persoonsgegevens

1.   Verwerking van operationele persoonsgegevens is alleen rechtmatig indien en voor zover verwerking noodzakelijk is voor de uitvoering van een taak door organen en instanties van de Unie bij het verrichten van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen en voor zover die verwerking gebaseerd is op Unierecht.

2.   Bij specifieke rechtshandelingen van de Unie tot regeling van verwerking binnen het toepassingsgebied van dit hoofdstuk wordt ten minste voorzien in nadere bepaling van de doelstellingen van verwerking, de te verwerken operationele persoonsgegevens, de verwerkingsdoelen en de termijnen voor de opslag van de operationele persoonsgegevens of voor de periodieke toetsing van de noodzaak van verdere opslag van de operationele persoonsgegevens.

Artikel 73

Onderscheid tussen verschillende categorieën van betrokkenen

De verwerkingsverantwoordelijke maakt, indien dit van toepassing is en voor zover mogelijk, een duidelijk onderscheid tussen de operationele persoonsgegevens van verschillende categorieën betrokkenen, zoals de categorieën die vermeld zijn in de rechtshandelingen tot oprichting van organen en instanties van de Unie.

Artikel 74

Onderscheid tussen operationele persoonsgegevens en controle van de kwaliteit van operationele persoonsgegevens

1.   De verwerkingsverantwoordelijke maakt, voor zover mogelijk, een onderscheid tussen operationele persoonsgegevens die op feiten zijn gebaseerd en operationele persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.

2.   De verwerkingsverantwoordelijke neemt alle redelijke maatregelen om ervoor te zorgen dat operationele persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert de verwerkingsverantwoordelijke, voor zover dat praktisch haalbaar is en indien dat relevant is, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld, bijvoorbeeld door middel van overleg met de bevoegde autoriteiten waarvan de gegevens afkomstig zijn. Voor zover mogelijk voegt de verwerkingsverantwoordelijke bij de doorgifte van operationele persoonsgegevens te allen tijde de noodzakelijke informatie toe aan de hand waarvan de ontvanger kan beoordelen of de operationele persoonsgegevens juist, volledig en betrouwbaar zijn, en in hoeverre zij actueel zijn.

3.   Indien blijkt dat onjuiste operationele persoonsgegevens zijn doorgezonden, of dat de operationele persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de betreffende operationele persoonsgegevens verbeterd of gewist, of wordt de verwerking ervan beperkt overeenkomstig artikel 82.

Artikel 75

Specifieke verwerkingsvoorwaarden

1.   Wanneer het Unierecht dat op de doorzendende verwerkingsverantwoordelijke van toepassing is, voorziet in specifieke verwerkingsvoorwaarden, stelt de verwerkingsverantwoordelijke de ontvanger van de operationele persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis.

2.   De verwerkingsverantwoordelijke eerbiedigt de specifieke verwerkingsvoorwaarden die door een doorzendende bevoegde autoriteit overeenkomstig artikel 9, leden 3 en 4, van Richtlijn (EU) 2016/680 worden voorgeschreven.

Artikel 76

Verwerking van bijzondere categorieën van operationele persoonsgegevens

1.   Verwerking van operationele persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, operationele persoonsgegevens over gezondheid of over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is voor operationele doeleinden, binnen het mandaat van het orgaan of de instantie van de Unie en met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene. Discriminatie van natuurlijke personen op grond van dergelijke persoonsgegevens is verboden.

2.   De functionaris voor gegevensbescherming wordt zonder onnodige vertraging in kennis gesteld van de toepassing van dit artikel.

Artikel 77

Geautomatiseerde individuele besluitvorming, waaronder profilering

1.   Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn verboden, tenzij het betrokken besluit is toegestaan krachtens het Unierecht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, en ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.

2.   De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten, vrijheden en de legitieme belangen van de betrokkene zijn getroffen.

3.   Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.

Artikel 78

Communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1.   De verwerkingsverantwoordelijke neemt redelijke maatregelen om de betrokkene de in artikel 79 bedoelde informatie te verstrekken, en doet iedere mededeling in verband met de artikelen 80 tot en met 84 en 92 betreffende verwerking aan de betrokkene in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige taal. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.

2.   De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 79 tot en met 84.

3.   De verwerkingsverantwoordelijke stelt de betrokkene zonder onnodige vertraging, en in elk geval uiterlijk drie maanden na ontvangst van diens verzoek, schriftelijk in kennis van het gevolg dat aan zijn verzoek is gegeven.

4.   De verwerkingsverantwoordelijke verstrekt de informatie uit hoofde van artikel 79 en elke communicatie of maatregel op grond van de artikelen 80 tot en met 84 en artikel 92 kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

5.   Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 80 tot en met 82 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.

Artikel 79

Aan de betrokkene ter beschikking te stellen of te verstrekken informatie

1.   De verwerkingsverantwoordelijke stelt de betrokkene ten minste de volgende informatie ter beschikking:

a)

de identiteit en contactgegevens van het orgaan of de instantie van de Unie;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de doeleinden van de verwerking waarvoor de operationele persoonsgegevens zijn bestemd;

d)

het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens;

e)

het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om toegang tot en verbetering of wissing van hem betreffende operationele persoonsgegevens, en beperking van de verwerking van operationele persoonsgegevens betreffende de betrokkene.

2.   In aanvulling op de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene in de specifieke in het Unierecht voorziene gevallen de volgende verdere informatie om hem in staat te stellen zijn rechten uit te oefenen:

a)

de rechtsgrond van de verwerking;

b)

de periode gedurende welke de operationele persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

c)

in voorkomend geval, de categorieën van ontvangers van de operationele persoonsgegevens, ook in derde landen of internationale organisaties;

d)

indien noodzakelijk, extra informatie, in het bijzonder wanneer de operationele persoonsgegevens zonder medeweten van de betrokkene worden verzameld.

3.   De verwerkingsverantwoordelijke kan de verstrekking van de informatie aan de betrokkene op grond van lid 2 uitstellen, beperken of achterwege laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

Artikel 80

Recht van inzage van de betrokkene

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over de vraag of hem betreffende operationele persoonsgegevens al dan niet worden verwerkt en, wanneer dat het geval is, om inzage te verkrijgen in die operationele persoonsgegevens en in de volgende informatie:

a)

de doeleinden van en de rechtsgrond voor de verwerking;

b)

de betrokken categorieën van operationele persoonsgegevens;

c)

de ontvangers of categorieën van ontvangers aan wie de operationele persoonsgegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties;

d)

indien mogelijk, de periode gedurende welke de operationele persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de gebruikte criteria om die termijn te bepalen;

e)

het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om rectificatie of wissing van hem betreffende operationele persoonsgegevens of beperking van de verwerking van hem betreffende operationele persoonsgegevens;

f)

het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens;

g)

melding van de operationele persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens.

Artikel 81

Beperking van het recht op inzage

1.   De verwerkingsverantwoordelijke kan het inzagerecht van de betrokkene geheel of gedeeltelijk beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

2.   In de in lid 1 bedoelde gevallen stelt de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie. De verwerkingsverantwoordelijke documenteert de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Deze informatie wordt desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

Artikel 82

Recht op rectificatie of wissing van operationele persoonsgegevens en beperking van de verwerking

1.   Iedere betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onnodige vertraging verbetering van hem betreffende onjuiste operationele persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking heeft de betrokkene het recht om onvolledige operationele persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.

2.   De verwerkingsverantwoordelijke wist zonder onnodige vertraging operationele persoonsgegevens, en de betrokkene heeft het recht om van de verwerkingsverantwoordelijke te verkrijgen dat hem betreffende operationele persoonsgegevens zonder onnodige vertraging worden gewist, wanneer de verwerking een schending vormt van artikelen 71, artikel 72, lid 1, of artikel 76, of wanneer operationele persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

3.   In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:

a)

de juistheid van de persoonsgegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, of

b)

de persoonsgegevens als bewijsmateriaal moeten worden bewaard.

Wanneer de verwerking op grond van de eerste alinea, onder a), wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de beperking van de verwerking op te heffen.

Aan beperkingen onderworpen gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet zijn gewist.

4.   De verwerkingsverantwoordelijke stelt de betrokkene schriftelijk in kennis van een eventuele weigering tot verbetering of wissing van operationele persoonsgegevens of een beperking van de verwerking, en van de redenen voor die weigering. De verwerkingsverantwoordelijke kan de verstrekking van die informatie geheel of gedeeltelijk beperken, voor zover een dergelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie.

5.   De verwerkingsverantwoordelijke deelt de verbetering van de onjuiste operationele persoonsgegevens mee aan de bevoegde autoriteit waarvan de onjuiste operationele persoonsgegevens afkomstig zijn.

6.   Wanneer operationele persoonsgegevens zijn verbeterd of gewist, of wanneer de verwerking ervan is beperkt, op grond van de leden 1, 2 of 3, stelt de verwerkingsverantwoordelijke de ontvangers daarvan in kennis, en deelt hij hun mee dat zij de operationele persoonsgegevens dienen te rectificeren of te wissen dan wel de verwerking van de operationele persoonsgegevens onder hun verantwoordelijkheid dienen te beperken.

Artikel 83

Recht van toegang bij strafrechtelijke onderzoeken en procedures

Wanneer operationele persoonsgegevens afkomstig zijn van een bevoegde autoriteit, controleren de organen en instanties van de Unie, alvorens een besluit te nemen over het recht van toegang van een betrokkene, bij de betrokken bevoegde autoriteit of die persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures in de lidstaat van die bevoegde autoriteit werden verwerkt. Wanneer dat het geval is, wordt een besluit inzake het recht van toegang genomen in overleg en nauwe samenwerking met de betrokken bevoegde autoriteit.

Artikel 84

Uitoefening van rechten door de betrokkene en controle door de Europese Toezichthouder voor gegevensbescherming

1.   In de gevallen bedoeld in artikel 79, lid 3, artikel 81 en artikel 82, lid 4, kunnen de rechten van de betrokkene ook worden uitgeoefend via de Europese Toezichthouder voor gegevensbescherming.

2.   De verwerkingsverantwoordelijke stelt de betrokkene in kennis van de mogelijkheid om op grond van lid 1 zijn rechten uit te oefenen via de Europese Toezichthouder voor gegevensbescherming.

3.   Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de Europese Toezichthouder voor gegevensbescherming de betrokkene er ten minste van in kennis dat hij alle noodzakelijke controles of een evaluatie heeft uitgevoerd. De Europese Toezichthouder voor gegevensbescherming stelt de betrokkene ook in kennis van zijn recht om beroep in te stellen bij het Hof van Justitie.

Artikel 85

Gegevensbescherming door ontwerp en door standaardinstellingen

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, die aan de verwerking zijn verbonden, gaat de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, over tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke, en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen operationele persoonsgegevens worden verwerkt die toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot het doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde operationele persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid ervan. Deze maatregelen zorgen er met name voor dat operationele persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

Artikel 86

Gezamenlijke verwerkingsverantwoordelijken

1.   Indien twee of meerdere verwerkingsverantwoordelijken, of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikel 79 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

2.   Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkene is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.

3.   Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

Artikel 87

Verwerker

1.   Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening en van de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

2.   De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.

3.   De verwerking door een verwerker wordt geregeld in een overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort operationele persoonsgegevens en de categorieën betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

a)

uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;

b)

waarborgt dat de tot het verwerken van de operationele persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

c)

de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;

d)

na afloop van de verwerkingsdiensten, naargelang van de keuze van de verwerkingsverantwoordelijke, alle operationele persoonsgegevens wist of deze aan de verwerkingsverantwoordelijke terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de operationele persoonsgegevens volgens het Unierecht of het lidstatelijke recht verplicht is;

e)

de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen;

f)

aan de in lid 2 en in dit lid bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.

4.   De in lid 3 bedoelde overeenkomst of andere rechtshandeling is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.

5.   Indien een verwerker in strijd met deze verordening of de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke handelt door de doeleinden en middelen van de verwerking te bepalen, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 88

Bijhouden van logbestanden

1.   De verwerkingsverantwoordelijke houdt logbestanden bij voor de volgende verwerkingen in geautomatiseerde verwerkingssystemen: de verzameling, wijziging, inzage, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing van operationele persoonsgegevens. De logbestanden van raadpleging en bekendmaking maken het mogelijk de redenen voor en de datum en het tijdstip van die handelingen te achterhalen, alsook de identiteit van de persoon die operationele persoonsgegevens heeft geraadpleegd of bekendgemaakt, en voor zover mogelijk de identiteit van de ontvangers van die operationele persoonsgegevens.

2.   De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de operationele persoonsgegevens en voor strafrechtelijke procedures. Tenzij die logbestanden nodig zijn voor een lopende controle, worden ze na drie jaar verwijderd.

3.   De verwerkingsverantwoordelijke stelt de logbestanden op verzoek ter beschikking van zijn functionaris voor gegevensbescherming en van de Europese Toezichthouder voor gegevensbescherming.

Artikel 89

Gegevensbeschermingseffectbeoordeling

1.   Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van operationele persoonsgegevens.

2.   De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico’s, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de operationele persoonsgegevens te beschermen en aan te tonen dat aan de gegevensbeschermingsvoorschriften is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.

Artikel 90

Voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming

1.   De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:

a)

uit een gegevensbeschermingseffectbeoordeling krachtens artikel 89 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, of

b)

de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt.

2.   De Europese Toezichthouder voor gegevensbescherming kan een lijst opstellen van de verwerkingen waarvoor op grond van lid 1 voorafgaande raadpleging moet plaatsvinden.

3.   De verwerkingsverantwoordelijke verstrekt de Europese Toezichthouder voor gegevensbescherming de in artikel 89 vermelde gegevensbeschermingseffectbeoordeling en, desgevraagd, alle andere informatie op grond waarvan de Europese Toezichthouder voor gegevensbescherming de conformiteit van de verwerking en met name de risico’s voor de bescherming van de operationele persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

4.   Indien de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening of de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, met name indien de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de Europese Toezichthouder voor gegevensbescherming binnen een maximumtermijn van zes weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De Europese Toezichthouder voor gegevensbescherming stelt de verwerkingsverantwoordelijke binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.

Artikel 91

Beveiliging van de verwerking van operationele persoonsgegevens

1.   De verwerkingsverantwoordelijke en de verwerker treffen, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen om een op de risico’s afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van bijzondere categorieën van operationele persoonsgegevens.

2.   Ten aanzien van geautomatiseerde verwerking treffen de verwerkingsverantwoordelijke en de verwerker, na een beoordeling van de risico’s, maatregelen om:

a)

te verhinderen dat onbevoegden toegang krijgen tot gegevensverwerkingsapparatuur („controle op de toegang tot de apparatuur”);

b)

te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of meenemen („controle op de gegevensdragers”);

c)

te voorkomen dat onbevoegden operationele persoonsgegevens invoeren of opgeslagen operationele persoonsgegevens lezen, wijzigen of verwijderen („opslagcontrole”);

d)

te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);

e)

ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de operationele persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);

f)

ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen operationele persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissie („transmissiecontrole”);

g)

ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke operationele persoonsgegevens wanneer en door wie in geautomatiseerde gegevensverwerkingssystemen zijn ingevoerd („invoercontrole”);

h)

te verhinderen dat onbevoegden operationele persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van operationele persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);

i)

ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);

j)

ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen operationele persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).

Artikel 92

Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming

1.   Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

2.   In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

a)

de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk, de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en bestanden van operationele persoonsgegevens in kwestie;

b)

de naam en de contactgegevens van de functionaris voor gegevensbescherming;

c)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d)

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

3.   Indien en voor zover het niet mogelijk is om alle in lid 2 bedoelde informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.

4.   De verwerkingsverantwoordelijke documenteert alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten in verband met de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.

5.   Wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op operationele persoonsgegevens die zijn doorgezonden door of aan de bevoegde autoriteiten, deelt de verwerkingsverantwoordelijke de in lid 2 bedoelde informatie zonder onnodige vertraging aan de bevoegde autoriteiten mee.

Artikel 93

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.   Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 92, lid 2, onder b), c) en d), bedoelde gegevens en aanbevelingen.

3.   De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:

a)

de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de operationele persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de operationele persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

b)

de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;

c)

de mededeling zou een onevenredige inspanning vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een vergelijkbare maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

4.   Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.

5.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 79.

Artikel 94

Doorgifte van operationele persoonsgegevens aan derde landen en internationale organisaties

1.   Met inachtneming van de beperkingen en voorwaarden die zijn neergelegd in de rechtshandelingen tot oprichting van het orgaan of de instantie van de Unie, mag de verwerkingsverantwoordelijke operationele persoonsgegevens doorgeven aan een autoriteit van een derde land of aan een internationale organisatie voor zover die doorgifte noodzakelijk is voor de verrichting van de taken van de verwerkingsverantwoordelijke en enkel wanneer aan de voorwaarden van dit artikel is voldaan, te weten:

a)

de Commissie heeft overeenkomstig artikel 36, lid 3, van Richtlijn (EU) 2016/680 een adequaatheidsbesluit genomen waarbij wordt vastgesteld dat het derde land, een gebied of een verwerkingssector in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau verzekert („adequaatheidsbesluit”);

b)

bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) is er een internationale overeenkomst gesloten tussen de Unie en dat derde land of die internationale organisatie op grond van artikel 218 VWEU waarin passende waarborgen zijn opgenomen ter bescherming van de privacy en de grondrechten en fundamentele vrijheden van natuurlijke personen;

c)

bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) of een internationale overeenkomst krachtens punt b), is er vóór de datum van toepassing van de rechtshandeling tot oprichting van het betrokken orgaan of de betrokken instantie van de Unie tussen dat orgaan of die instantie van de Unie en het derde land in kwestie een samenwerkingsovereenkomst gesloten op grond waarvan operationele persoonsgegevens mogen worden uitgewisseld.

2.   In de rechtshandelingen tot oprichting van de organen en instanties van de Unie kunnen meer specifieke bepalingen worden gehandhaafd of ingevoerd inzake de voorwaarden voor internationale doorgifte van operationele persoonsgegevens, in het bijzonder inzake de doorgifte middels passende waarborgen en uitzonderingen voor specifieke situaties.

3.   De verwerkingsverantwoordelijke publiceert op zijn website een lijst van onder a) bedoelde adequaatheidsbesluiten, overeenkomsten, administratieve regelingen en andere instrumenten met betrekking tot de doorgifte van operationele persoonsgegevens in overeenstemming met lid 1, en houdt deze lijst bij.

4.   De verwerkingsverantwoordelijke houdt een gedetailleerde administratie bij van alle op grond van dit artikel gemaakte overdrachten.

Artikel 95

Geheim van gerechtelijke onderzoeken en strafrechtelijke procedures

De rechtshandelingen tot oprichting van de organen of instanties van de Unie die van toepassing zijn wanneer deze activiteiten verrichten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, kunnen de Europese Toezichthouder voor gegevensbescherming ertoe verplichten om, ter uitvoering van zijn toezichthoudende taken, zo veel mogelijk rekening te houden met het geheim van gerechtelijke onderzoeken en strafrechtelijke procedures, overeenkomstig het Unierecht of het lidstatelijke recht.

HOOFDSTUK X

UITVOERINGSHANDELINGEN

Artikel 96

Comitéprocedure

1.   De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

HOOFDSTUK XI

TOETSING

Artikel 97

Toetsingsclausule

Uiterlijk op 30 april 2022 en vervolgens om de vijf jaar dient de Commissie bij het Europees Parlement en de Raad een verslag over de toepassing van deze verordening in, zo nodig vergezeld van passende wetgevingsvoorstellen.

Artikel 98

Toetsing van rechtshandelingen van de Unie

1.   Uiterlijk op 30 april 2022 evalueert de Commissie rechtshandelingen die op basis van de Verdragen zijn vastgesteld tot regeling van de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, teneinde:

a)

te beoordelen of zij in overeenstemming zijn met Richtlijn (EU) 2016/680 en hoofdstuk IX van deze verordening;

b)

vast te stellen of er discrepanties zijn die een belemmering kunnen vormen voor de uitwisseling van operationele persoonsgegevens tussen instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten op die gebieden en bevoegde autoriteiten, en

c)

vast te stellen of er discrepanties zijn die tot juridische versnippering van de gegevensbeschermingswetgeving in de Unie kunnen leiden.

2.   Op basis van deze toetsing kan de Commissie, om te zorgen voor een eenvormige en consequente bescherming van natuurlijke personen in verband met verwerking, passende wetgevingsvoorstellen indienen om met name hoofdstuk IX van deze verordening toe te passen op Europol en het Europees Openbaar Ministerie en om hoofdstuk IX van deze verordening indien nodig aan te passen.

HOOFDSTUK XII

SLOTBEPALINGEN

Artikel 99

Intrekking van Verordening (EG) nr. 45/2001 en van Besluit nr. 1247/2002/EG

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG worden ingetrokken met ingang van 11 december 2018. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit worden beschouwd als verwijzingen naar deze verordening.

Artikel 100

Overgangsmaatregelen

1.   Deze verordening doet geen afbreuk aan Besluit 2014/886/EU van het Europees Parlement en de Raad (20) en de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder.

2.   De adjunct-toezichthouder wordt beschouwd als gelijkwaardig aan de griffier van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.

3.   Artikel 53, leden 4, 5 en 7, en de artikelen 55 en 56 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn.

4.   Tot het verstrijken van de ambtstermijn van de huidige adjunct-toezichthouder ondersteunt de adjunct-toezichthouder de Europese Toezichthouder voor gegevensbescherming bij diens taken en vervangt hij de Europese Toezichthouder voor gegevensbescherming wanneer deze afwezig is of verhinderd is om voornoemde taken te vervullen.

Artikel 101

Inwerkingtreding en toepassing

1.   Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.   Deze verordening is echter van toepassing op de verwerking van persoonsgegevens door Eurojust met ingang van 12 december 2019.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 23 oktober 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

K. EDTSTADLER


(1)  PB C 288 van 31.8.2017, blz. 107.

(2)  Standpunt van het Europees Parlement van 13 september 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 11 oktober 2018.

(3)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(4)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(5)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(6)  Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).

(7)  Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70).

(8)  Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (Richtlijn privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(9)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(10)  PB L 56 van 4.3.1968, blz. 1.

(11)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(12)  Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

(13)  Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie van 1 juli 2002 betreffende het statuut en de algemene voorwaarden voor de uitoefening van de functie van Europees Europese Toezichthouder voor gegevensbescherming (PB L 183 van 12.7.2002, blz. 1).

(14)  PB C 164 van 24.5.2017, blz. 2.

(15)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(16)  Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie („het EOM”) (PB L 283 van 31.10.2017, blz. 1).

(17)  Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).

(18)  Richtlijn 2008/63/EG van de Commissie van 20 juni 2008 betreffende de mededinging op de markten van telecommunicatie-eindapparatuur (PB L 162 van 21.6.2008, blz. 20).

(19)  Besluit 2009/917/JBZ van de Raad van 30 november 2009 inzake het gebruik van informatica op douanegebied (PB L 323 van 10.12.2009, blz. 20).

(20)  Besluit 2014/886/EU van het Europees Parlement en de Raad van 4 december 2014 tot benoeming van de Europese toezichthouder voor gegevensbescherming en van de adjunct-toezichthouder (PB L 351 van 9.12.2014, blz. 9).


21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/99


VERORDENING (EU) 2018/1726 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 14 november 2018

betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 74, artikel 77, lid 2, onder a) en b), artikel 78, lid 2, onder e), artikel 79, lid 2, onder c), artikel 82, lid 1, onder d), artikel 85, lid 1, artikel 87, lid 2, onder a), en artikel 88, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

Bij Verordening (EG) nr. 1987/2006 van het Europees Parlement en de Raad (2) en Besluit 2007/533/JBZ van de Raad (3) is het Schengeninformatiesysteem (SIS II) ingesteld. In Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ wordt bepaald dat de Commissie gedurende een overgangsperiode belast is met het operationele beheer van het centrale systeem van het SIS II (centrale SIS II). Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale SIS II en bepaalde aspecten van de communicatie-infrastructuur.

(2)

Bij Beschikking 2004/512/EG van de Raad (4) is het Visuminformatiesysteem (VIS) ingesteld. In Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad (5) wordt bepaald dat gedurende een overgangsperiode de Commissie verantwoordelijk is voor het operationele beheer van het VIS. Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale VIS en van de nationale interfaces, alsook met bepaalde aspecten van de communicatie-infrastructuur.

(3)

Bij Verordening (EG) nr. 2725/2000 van de Raad (6) is Eurodac ingesteld. Bij Verordening (EG) nr. 407/2002 van de Raad (7) zijn de nodige uitvoeringsbepalingen vastgesteld. Deze rechtshandelingen zijn bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (8) ingetrokken en vervangen met ingang van 20 juli 2015.

(4)

Het Europees Agentschap voor het operationeel beheer van grootschalige informatietechnologiesystemen („IT-systemen”) op het gebied van vrijheid, veiligheid en recht, gewoonlijk eu-LISA genoemd, is opgericht bij Verordening (EU) nr. 1077/2011 van het Europees Parlement en de Raad (9) teneinde te voorzien in het operationele beheer van het SIS, het VIS en Eurodac en van bepaalde aspecten van de communicatie-infrastructuur, en mogelijk ook in het operationele beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, onder voorbehoud van de vaststelling van afzonderlijke Unierechtshandelingen. Verordening (EU) nr. 1077/2011 is bij Verordening (EU) nr. 603/2013 gewijzigd teneinde rekening te houden met de veranderingen die in Eurodac werden aangebracht.

(5)

Aangezien de beheersautoriteit juridisch, administratief en financieel autonoom diende te zijn, moest zij de vorm aannemen van een regelgevend agentschap met rechtspersoonlijkheid (het „Agentschap”). Er werd overeengekomen dat de zetel van het Agentschap in Tallinn (Estland) zou worden gevestigd. Aangezien de taken met betrekking tot de technische ontwikkeling en de voorbereidingen voor het operationeel beheer van het SIS II en het VIS reeds in Straatsburg (Frankrijk) werden verricht, en reeds een back-uplocatie voor deze systemen was gevestigd in Sankt Johann im Pongau (Oostenrijk), wat ook in overeenstemming is met de in de relevante Unierechtshandelingen bepaalde locaties van het SIS II en het VIS, dient deze situatie te worden bestendigd. Het blijft zo dat op deze twee locaties respectievelijk de taken in verband met het operationeel beheer van Eurodac worden verricht en een back-uplocatie voor Eurodac wordt gevestigd. Deze twee sites dienen ook de locatie te zijn voor de technische ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, respectievelijk voor een back-uplocatie waarmee ervoor kan worden gezorgd dat een falend grootschalig IT-systeem operationeel blijft. Teneinde de mogelijkheden voor het gebruik van de back-uplocatie zo groot mogelijk te maken, zou die site ook kunnen worden gebruikt voor de simultane bediening van systemen op voorwaarde dat zij in geval van falen van een of meer systemen in staat blijft de werking ervan te garanderen. Vanwege de kritieke aard van de systemen, waaraan hoge eisen worden gesteld op het gebied van beveiliging en beschikbaarheid, moet de raad van bestuur van het Agentschap (de raad van bestuur) de mogelijkheid hebben, wanneer de hostingcapaciteit van de bestaande technische locaties onvoldoende blijkt, een tweede afzonderlijke technische locatie voor te stellen in — afhankelijk van de vereisten — Straatsburg of in Sankt Johann im Pongau, dan wel op beide locaties, mits dit gerechtvaardigd is op basis van een onafhankelijke effectbeoordeling en kosten-batenanalyse. De raad van bestuur moet de Commissie raadplegen en rekening houden met haar standpunt voordat hij het Europees Parlement en de Raad (de „begrotingsautoriteit”) in kennis stelt van zijn voornemen om een onroerendgoedproject uit te voeren.

(6)

Sinds de start van de activiteiten van eu-LISA op 1 december 2012 heeft het Agentschap de taken op zich genomen waarmee de beheersautoriteit ten aanzien van het VIS bij Verordening (EG) nr. 767/2008 en Besluit 2008/633/JBZ van de Raad (10) is belast. Het heeft in april 2013, nadat SIS II in gebruik was gesteld, de taken overgenomen waarmee de beheersautoriteit ten aanzien van SIS II was belast bij Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ, en het heeft in juni 2013 de taken op zich genomen waarmee de Commissie ten aanzien van Eurodac was belast overeenkomstig Verordening (EG) nr. 2725/2000 en Verordening (EG) nr. 407/2002.

(7)

De eerste evaluatie van de werkzaamheden van het Agentschap, die in 2015-2016 is verricht op basis van een onafhankelijke externe evaluatie, leidde tot de conclusie dat het Agentschap zich op doeltreffende wijze kwijt van het operationele beheer van de grootschalige IT-systemen en andere taken waarmee het is belast, maar ook dat een aantal wijzigingen moet worden aangebracht in Verordening (EU) nr. 1077/2011; zo moeten de nog bij de Commissie berustende taken in verband met de communicatie-infrastructuur aan het Agentschap worden overgedragen. Voortbouwende op die externe evaluatie heeft de Commissie de ontwikkelingen op feitelijk, juridisch en beleidsgebied in aanmerking genomen en met name in haar verslag van 29 juni 2017 over het functioneren van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) (het beoordelingsrapport) voorgesteld het mandaat van het Agentschap uit te breiden met de taken die voortvloeien uit de door de medewetgevers goed te keuren wetgevingsvoorstellen waarbij het Agentschap met het beheer van nieuwe systemen wordt belast, en de taken bedoeld in de mededeling van de Commissie van 6 april 2016 getiteld „Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid”, in het eindverslag van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit van 11 mei 2017 en in de mededeling van de Commissie van 16 mei 2017 getiteld „Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie”, zo nodig onder voorbehoud van de goedkeuring van de desbetreffende Unierechtshandelingen. In het bijzonder dient het Agentschap te worden belast met de ontwikkeling van oplossingen voor interoperabiliteit, die in de Mededeling van 6 april 2016 wordt omschreven als het vermogen van informatiesystemen om gegevens uit te wisselen en het delen van informatie mogelijk te maken. Waar van toepassing dienen maatregelen inzake interoperabiliteit rekening te houden met de mededeling van de Commissie van 23 maart 2017 getiteld „Europees interoperabiliteitskader — Implementatiestrategie”. In bijlage 2 bij deze mededeling zijn algemene richtsnoeren, aanbevelingen en beste praktijken opgenomen om bij de opzet, de implementatie en het beheer van Europese openbare diensten interoperabiliteit tot stand te brengen, of in ieder geval een omgeving tot stand te brengen die tot sterkere interoperabiliteit leidt.

(8)

In het evaluatieverslag werd tevens geconcludeerd dat het mandaat van het Agentschap moest worden uitgebreid om het Agentschap in staat te stellen de lidstaten advies te verlenen in verband met de aansluiting van de nationale systemen op de centrale systemen van de grootschalige IT-systemen die het beheert (de „systemen”), en desgevraagd ad_hocbijstand en ondersteuning te bieden aan de lidstaten alsook bijstand en ondersteuning te verlenen aan de diensten van de Commissie inzake technische kwesties die verband houden met nieuwe systemen.

(9)

Het Agentschap dient derhalve te worden belast met de opzet, de ontwikkeling en het operationele beheer van het inreis-uitreissysteem (EES), dat is ingesteld bij Verordening (EU) 2017/2226 van het Europees Parlement en de Raad (11).

(10)

Het Agentschap dient tevens te worden belast met het operationele beheer van DubliNet, een afzonderlijk beveiligd elektronisch transmissiekanaal dat op grond van artikel 18 van Verordening (EG) nr. 1560/2003 van de Commissie (12) is opgezet en dat door de bevoegde asielinstanties van de lidstaten moet worden gebruikt voor de uitwisseling van informatie over verzoekers om internationale bescherming.

(11)

Het Agentschap dient te worden belast met de opzet, de ontwikkeling en het operationele beheer van het Europees systeem voor reisinformatie en -autorisatie (Etias) dat is ingesteld bij Verordening (EU) 2018/1240 van het Europees Parlement en de Raad (13).

(12)

De kerntaak van het Agentschap dient te blijven bestaan in de uitvoering van taken voor het operationele beheer van SIS II, het VIS, Eurodac, het EES, DubliNet, het Etias, alsmede andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, indien daartoe wordt besloten. Het Agentschap dient tevens de verantwoordelijkheid te dragen voor technische maatregelen die dienen te worden genomen als gevolg van de niet-normatieve taken waarmee het is belast. Deze verantwoordelijkheid dient te gelden onverminderd de normatieve taken die krachtens de verschillende Unierechtshandelingen betreffende de systemen worden vervuld door de Commissie, of door de Commissie bijgestaan door een comité.

(13)

Het Agentschap moet in staat zijn technische oplossingen te implementeren met het oog op de naleving van de beschikbaarheidsvoorschriften die zijn vastgelegd in de Unierechtshandelingen met betrekking tot de systemen, evenwel met volledige inachtneming van de specifieke bepalingen van die handelingen wat betreft de technische architectuur van de respectieve systemen. Indien voor die technische oplossingen een duplicatie is vereist van een systeem of een duplicatie van onderdelen van een systeem, moet een onafhankelijke effectbeoordeling en kosten-batenanalyse worden uitgevoerd en een besluit worden genomen door de raad van bestuur na raadpleging van de Commissie. Die effectbeoordeling dient tevens een onderzoek te omvatten naar de behoeften met betrekking tot de hostingcapaciteit van de bestaande technische locaties in verband met de ontwikkeling van dergelijke technische oplossingen en met de mogelijke risico’s voor de bestaande operationele inrichting.

(14)

Het is niet langer gerechtvaardigd dat de Commissie bepaalde taken in verband met de communicatie-infrastructuur van de systemen behoudt en derhalve dienen deze taken, teneinde de samenhang van het beheer van de communicatie-infrastructuur te vergroten, te worden overgedragen aan het Agentschap. Voor de systemen die gebruikmaken van EuroDomain, een beveiligde communicatie-infrastructuur die wordt aangeboden door TESTA-ng („trans-Europese diensten voor telematica tussen overheidsdiensten — volgende generatie”) en die is ingesteld als onderdeel van het door Besluit nr. 922/2009/EG van het Europees Parlement en de Raad (14) tot stand gebrachte ISA-programma en is voortgezet als onderdeel van het door Besluit (EU) 2015/2240 van het Europees Parlement en de Raad (15) tot stand gebrachte ISA2-programma, dienen de taken met betrekking tot de uitvoering van de begroting, aanschaf en vernieuwing en contractuele aangelegenheden echter door de Commissie te worden behouden.

(15)

Het Agentschap moet in staat zijn externe particuliere entiteiten of organen overeenkomstig Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (16) te belasten met taken betreffende het leveren, opzetten, onderhouden en monitoren van de communicatie-infrastructuur. Het Agentschap moet over voldoende budgettaire en personele middelen beschikken, zodat het zijn opdrachten en taken zo min mogelijk in onderaanbesteding hoeft te geven aan externe particuliere entiteiten of organen.

(16)

Het Agentschap dient taken te blijven vervullen inzake opleiding met betrekking tot de technische toepassing van SIS II, het VIS, Eurodac en andere IT-systemen die in de toekomst aan het Agentschap worden toevertrouwd.

(17)

Teneinde bij te dragen aan de empirisch onderbouwde beleidsvoering van de Unie op het vlak van migratie en veiligheid, en aan de monitoring van het naar behoren functioneren van de systemen, moet het Agentschap statistieken verzamelen en publiceren, statistische rapporten maken en ze beschikbaar stellen aan de relevante actoren, overeenkomstig de Unierechtshandelingen met betrekking tot de systemen, bijvoorbeeld voor de monitoring van de toepassing van Verordening (EU) nr. 1053/2013 van de Raad (17) en met het oog op de uitvoering van risicoanalyses en kwetsbaarheidsbeoordelingen overeenkomstig Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (18).

(18)

Voorts moet het mogelijk zijn het Agentschap te belasten met de opzet, de ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen krachtens de artikelen 67 tot en met 89 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Mogelijke voorbeelden van dergelijke systemen zijn het gecentraliseerd systeem om vast te stellen welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem (ECRIS-TCN-systeem) of het geautomatiseerde systeem voor grensoverschrijdende communicatie in civiele en strafzaken (e-Codex). Het Agentschap dient echter uitsluitend met dergelijke systemen te worden belast op basis van latere en afzonderlijke Unierechtshandelingen, nadat een effectbeoordeling is verricht.

(19)

Het mandaat van het Agentschap op onderzoeksgebied dient te worden uitgebreid om het Agentschap in staat te stellen proactiever op te treden en relevante en noodzakelijke technische wijzigingen voor te stellen van de systemen. Het Agentschap dient niet alleen in staat te zijn de uitvoering te monitoren van onderzoeksactiviteiten die van belang zijn voor het operationele beheer van de systemen, maar moet ook in staat zijn aan de uitvoering van relevante onderdelen van het kaderprogramma voor onderzoek en innovatie van de Europese Unie bij te dragen, indien de Commissie de desbetreffende bevoegdheden aan het Agentschap delegeert. Het Agentschap dient informatie over dergelijke monitoring ten minste eenmaal per jaar door te geven aan het Europees Parlement, de Raad en, wat de verwerking van persoonsgegevens betreft, aan de Europese Toezichthouder voor gegevensbescherming.

(20)

De Commissie moet over de mogelijkheid beschikken om het Agentschap de verantwoordelijkheid te geven voor de uitvoering van proefprojecten van experimentele aard, die zijn ontworpen om de haalbaarheid en het nut van een actie te testen; deze proefprojecten mogen zonder basishandeling worden uitgevoerd, overeenkomstig Verordening (EU, Euratom) 2018/1046. Bovendien moet de Commissie het Agentschap kunnen belasten met begrotingsuitvoeringstaken voor „conceptbewijzen” (bewijzen dat een bepaald concept uitvoerbaar is) die worden gefinancierd uit het instrument voor financiële steun voor de buitengrenzen en visa dat in het leven is geroepen bij Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad (19), overeenkomstig Verordening (EU, Euratom) 2018/1046, na het Europees Parlement daarvan in kennis te hebben gesteld. Het moet ook mogelijk zijn voor het Agentschap om testactiviteiten te plannen en te verrichten voor aangelegenheden die, strikt genomen, vallen onder deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, zoals het testen van virtualisatieconcepten. Bij de uitvoering van proefprojecten dient het Agentschap in het bijzonder aandacht te schenken aan de strategie voor informatiebeheer van de Europese Unie.

(21)

Het Agentschap dient de lidstaten op hun verzoek advies te verlenen in verband met de aansluiting van nationale systemen op de centrale systemen, als bepaald in de Unierechtshandelingen met betrekking tot die systemen.

(22)

Het Agentschap dient de lidstaten, op hun verzoek, en volgens de in deze verordening vastgestelde procedure, tevens ad-hocsteun te bieden, indien dat noodzakelijk is vanwege buitengewone uitdagingen of behoeften op veiligheids- of migratiegebied. Met name moet een lidstaat kunnen verzoeken om en rekenen op operationele en technische versterking indien hij aan welbepaalde delen van zijn buitengrenzen wordt geconfronteerd met specifieke onevenredige uitdagingen op het gebied van migratie als gevolg van een sterke instroom van migranten. Dergelijke versterkingen dienen in hotspotgebieden te worden geboden door ondersteuningsteams voor migratiebeheer, bestaande uit deskundigen van de betrokken agentschappen van de Unie. Indien in dit verband ondersteuning door het Agentschap is vereist met betrekking tot vraagstukken die verband houden met de systemen, dient de betrokken lidstaat een ondersteuningsverzoek te richten aan de Commissie, die — nadat zij heeft geoordeeld dat die ondersteuning daadwerkelijk gerechtvaardigd is — het verzoek tot ondersteuning onverwijld dient door te geven aan het Agentschap. Het Agentschap moet de raad van bestuur informeren over dergelijke verzoeken. De Commissie moet ook monitoren of het Agentschap tijdig op het verzoek om ad-hocsteun reageert. In het jaarlijkse activiteitenverslag van het Agentschap moet in detail verslag worden uitgebracht van de acties die het Agentschap heeft uitgevoerd om lidstaten ad-hocsteun te verlenen en van de in dat verband gemaakte kosten.

(23)

Het Agentschap dient desgevraagd tevens steun te verlenen aan de diensten van de Commissie inzake technische vraagstukken die met bestaande of nieuwe systemen samenhangen, met name ten behoeve van het opstellen van nieuwe voorstellen over door het Agentschap te beheren grootschalige IT-systemen.

(24)

Het dient mogelijk te zijn voor een groep lidstaten om het Agentschap te belasten met de ontwikkeling, het beheer of de hosting van een gemeenschappelijke IT-component, teneinde die groep te ondersteunen bij het implementeren van de technische aspecten van verplichtingen die voortvloeien uit de Unierechtshandelingen inzake gedecentraliseerde IT-systemen op het gebied van vrijheid, veiligheid en recht. Dit geldt onverminderd de verplichtingen van die lidstaten uit hoofde van de toepasselijke Unierechtshandelingen, met name wat de architectuur van die systemen betreft. Daarvoor dienen de voorafgaande toestemming van de Commissie en een positief besluit van de raad van bestuur vereist te zijn, alsmede een delegatieovereenkomst tussen de betrokken lidstaten en het Agentschap; de financiering dient volledig te geschieden door de betrokken lidstaten. Het Agentschap moet het Europees Parlement en de Raad informeren over de goedgekeurde delegatieovereenkomst en elke wijziging daarvan. Andere lidstaten moeten kunnen deelnemen aan dergelijke gemeenschappelijke IT-oplossingen op voorwaarde dat de delegatieovereenkomst in deze mogelijkheid voorziet en de nodige wijzigingen daartoe zijn aangebracht. Deze taak mag geen negatieve gevolgen hebben voor het operationele beheer van de systemen door het Agentschap.

(25)

Het feit dat het Agentschap wordt belast met het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, moet de specifieke regels betreffende die systemen onverlet laten. In het bijzonder zijn de specifieke regels inzake het doel, de toegangsrechten, de beveiligingsmaatregelen en andere vereisten op het gebied van gegevensbescherming ten volle van toepassing voor elk dergelijk systeem.

(26)

Teneinde doeltreffend toezicht te kunnen uitoefenen op het functioneren van het Agentschap, dienen de lidstaten en de Commissie vertegenwoordigd te zijn in de raad van bestuur. Deze raad van bestuur dient te beschikken over de nodige bevoegdheden, met name om het jaarlijkse werkprogramma vast te stellen, zijn taken met betrekking tot de begroting van het Agentschap te vervullen, de financiële regels die van toepassing zijn op het Agentschap vast te stellen en procedures vast te stellen voor het nemen van besluiten door de uitvoerend directeur in verband met de operationele taken van het Agentschap. De raad van bestuur dient die taken op efficiënte en transparante wijze uit te voeren. Na een door de Commissie georganiseerde passende selectieprocedure en na een hoorzitting van de voorgestelde kandidaten in de bevoegde commissie of commissies van het Europees Parlement moet de raad van bestuur ook een uitvoerend directeur benoemen.

(27)

Aangezien het aantal aan het Agentschap toevertrouwde grootschalige IT-systemen tegen 2020 behoorlijk zal zijn gestegen, en de taken van het Agentschap aanzienlijk worden uitgebreid, zal het personeelsbestand tot 2020 dienovereenkomstig aanzienlijk toenemen. De post van een plaatsvervangend uitvoerend directeur van het Agentschap moet derhalve worden gecreëerd, waarbij ook rekening gehouden wordt met het feit dat de taken in verband met de ontwikkeling en het operationele beheer van de systemen meer en specifiek toezicht zullen vereisen en dat de zetel en de technische locaties van het Agentschap verspreid zijn over drie lidstaten. De raad van bestuur moet de plaatsvervangend uitvoerend directeur benoemen.

(28)

Bij het beheer en de werking van het Agentschap dient rekening te worden gehouden met de beginselen van de gemeenschappelijke aanpak inzake de gedecentraliseerde agentschappen, die op 19 juli 2012 door het Europees Parlement, de Raad en de Commissie is aangenomen.

(29)

Wat SIS II betreft, dienen het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en de Europese Eenheid voor justitiële samenwerking (Eurojust), die krachtens Besluit 2007/533/JBZ beide recht hebben op toegang tot en directe bevraging van SIS II, de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van dat besluit op de agenda staat. Het Europese grens- en kustwachtagentschap, dat recht op toegang tot en bevraging van SIS II heeft krachtens Verordening (EU) 2016/1624 dient de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van die Verordening op de agenda staat. Europol, Eurojust en het Europees Grens- en kustwachtagentschap dienen elk een vertegenwoordiger te mogen benoemen in de adviesgroep SIS II die bij deze verordening wordt ingesteld.

(30)

Wat het VIS betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep VIS die bij deze verordening wordt ingesteld.

(31)

Wat Eurodac betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep Eurodac die bij deze verordening wordt ingesteld.

(32)

Wat het EES betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2017/2226 op de agenda staat.

(33)

Wat het Etias betreft, dient Europol de status van waarnemer te krijgen in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2018/1240 op de agenda staat. Het Europees Grens- en kustwachtagentschap dient tevens de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van die Verordening tot instelling van het Etias op de agenda staat. Europol en het Europees Grens- en kustwachtagentschap dienen beide een vertegenwoordiger te mogen benoemen in de adviesgroep EES-Etias die bij deze verordening wordt ingesteld.

(34)

De lidstaten dienen in de raad van bestuur stemgerechtigd zijn inzake een grootschalig IT-systeem, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat systeem. Denemarken dient eveneens stemgerechtigd te zijn met betrekking tot een grootschalig IT-systeem, indien het op grond van artikel 4 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie (VEU) en het VWEU, beslist om de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten.

(35)

De lidstaten dienen een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem. Denemarken dient eveneens een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien het op grond van artikel 4 van Protocol nr. 22 besluit de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten. Adviesgroepen dienen met elkaar samen te werken wanneer dat nodig is.

(36)

Teneinde de volledige zelfstandigheid en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen de doelstellingen van deze verordening te verwezenlijken en de taken die het op grond van deze verordening heeft naar behoren te vervullen, dient aan het Agentschap een eigen en gepaste begroting worden verleend, met inkomsten uit de algemene begroting van de Unie. Overeenkomstig punt 31 van het Interinstitutioneel Akkoord van 2 december 2013 tussen het Europees Parlement, de Raad en de Commissie betreffende de begrotingsdiscipline, de samenwerking in begrotingszaken en een goed financieel beheer (20) moet over de financiering van het Agentschap overeenstemming worden bereikt tussen het Europees Parlement en de Raad. De begrotings- en de kwijtingsprocedure van de Unie dienen van toepassing te zijn. De controle van de rekeningen en van de wettigheid en regelmatigheid van de onderliggende verrichtingen dient door de Rekenkamer te worden verricht.

(37)

Ten behoeve van de vervulling van zijn taken en voor zover dat voor de uitvoering daarvan nodig is, dient het Agentschap te kunnen samenwerken met andere instellingen, organen en instanties van de Unie — met name die welke zijn ingesteld op het gebied van vrijheid, veiligheid en recht — ten aanzien van aangelegenheden die worden bestreken door deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen in het kader van overeenkomstig het Unierecht vastgestelde werkafspraken en binnen de grenzen van hun respectieve bevoegdheden. Indien zo bepaald door een Unierechtshandeling, moet het Agentschap ook de toelating krijgen om samen te werken met internationale organisaties en ander relevante entiteiten en over de mogelijkheid beschikken om met het oog daarop werkafspraken te maken. Deze werkafspraken dienen vooraf door de Commissie te worden goedgekeurd en dienen door de raad van bestuur te worden bekrachtigd. Het Agentschap dient voorts, indien nodig, het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), opgericht door Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (21), te raadplegen en de aanbevelingen van dat agentschap met betrekking tot netwerkbeveiliging op te volgen.

(38)

Ten aanzien van de ontwikkeling en het operationeel beheer van de systemen moet het Agentschap Europese en internationale normen hanteren en de strengste professionele eisen in acht nemen, in het bijzonder de strategie voor informatiebeheer van de Europese Unie.

(39)

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (22) is van toepassing op de verwerking van persoonsgegevens door het Agentschap, onverminderd de bepalingen inzake gegevensbescherming vastgelegd in de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, die in overeenstemming moeten zijn met Verordening (EU) 2018/1725. Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op Verordening (EU) 2018/1725 en de Unierechtshandelingen met betrekking tot de systemen, dient het Agentschap de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen. De Europese Toezichthouder voor gegevensbescherming dient bij het Agentschap toegang te verkrijgen tot alle informatie die hij voor zijn onderzoek nodig heeft. De Commissie heeft op grond van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (23) de Europese Toezichthouder voor gegevensbescherming geraadpleegd, die op 10 oktober 2017 advies heeft uitgebracht.

(40)

Met het oog op de transparante werking van het Agentschap dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (24) op het Agentschap van toepassing te zijn. Het Agentschap dient met betrekking tot zijn activiteiten de grootst mogelijke transparantie te betrachten, zonder afbreuk te doen aan de verwezenlijking van de doelstelling van zijn werkzaamheden. Het dient informatie over al zijn activiteiten openbaar maken. Het dient er tevens op toe te zien dat het publiek en alle belanghebbenden snel over zijn werkzaamheden worden geïnformeerd.

(41)

De activiteiten van het Agentschap moeten overeenkomstig artikel 228 VWEU onderworpen zijn aan het toezicht van de Europese Ombudsman.

(42)

Het Agentschap dient onderworpen te zijn aan Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad (25) en moet toetreden tot het Interinstitutioneel Akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (26).

(43)

Verordening (EU) 2017/1939 van de Raad (27) betreffende de instelling van het Europees Openbaar Ministerie („EOM”) moet op het Agentschap van toepassing zijn.

(44)

Met het oog op open en transparante arbeidsvoorwaarden en gelijke behandeling van de personeelsleden moeten de personeelsleden (met inbegrip van de uitvoerend directeur en de plaatsvervangend uitvoerend directeur van het Agentschap) onderworpen zijn aan het Statuut van de ambtenaren van de Europese Unie („statuut van de ambtenaren”) en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie („Regeling welke van toepassing is op de andere personeelsleden”), die zijn neergelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (28) (samen „het Statuut”), met inbegrip van de voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht.

(45)

Aangezien het Agentschap een door de Unie opgericht orgaan is in de zin van Verordening (EU, Euratom) 2018/1046, dient het zijn financiële regels dienovereenkomstig vast te stellen.

(46)

Gedelegeerde Verordening (EU) nr. 1271/2013 (29) van de Commissie moet van toepassing zijn op het Agentschap.

(47)

Het bij deze verordening opgerichte Agentschap vervangt en is de opvolger van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dat bij Verordening (EU) nr. 1077/2011 is opgericht. Derhalve moet het de rechtsopvolger zijn ten aanzien van alle overeenkomsten gesloten door, financiële verplichtingen van en eigendommen verworven door het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. De onderhavige verordening moet de rechtsgeldigheid onverlet laten van de overeenkomsten, werkafspraken en memoranda van overeenstemming die door het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap zijn gesloten, onverminderd eventuele wijzigingen daarvan die op grond van de onderhavige verordening vereist zijn.

(48)

Teneinde het Agentschap in staat te stellen de taken van het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht zo goed mogelijk te vervullen, dienen er overgangsmaatregelen te worden vastgesteld, met name met betrekking tot de raad van bestuur, de adviesgroepen, de uitvoerend directeur en de door de raad van bestuur vastgestelde interne regels.

(49)

Het doel van de onderhavige verordening is een wijziging en uitbreiding van de bepalingen van Verordening (EU) nr. 1077/2011. Aangezien bij de onderhavige verordening talrijke en ingrijpende wijzigingen dienen te worden doorgevoerd, dient Verordening (EU) nr. 1077/2011, ter wille van de duidelijkheid, in haar geheel te worden vervangen met betrekking tot de lidstaten die erdoor worden gebonden. Het Agentschap dat bij de onderhavige verordening wordt opgericht, dient het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap te vervangen en de functies ervan over te nemen, en deze laatste verordening dient derhalve te worden ingetrokken.

(50)

Daar de doelstellingen van deze verordening, namelijk de oprichting van een Agentschap op het niveau van de Unie dat belast is met het operationele beheer en, in voorkomend geval, de ontwikkeling van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen van de maatregel beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan wat nodig is om deze doelstellingen te verwezenlijken.

(51)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 neemt Denemarken niet deel aan de vaststelling van deze verordening; deze is bijgevolg niet bindend voor, noch van toepassing op deze lidstaat. Aangezien deze verordening, voor zover zij betrekking heeft op SIS II, het VIS, het EES en het Etias, voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten. Overeenkomstig artikel 3 van de Overeenkomst tussen de Europese Gemeenschap en het Koninkrijk Denemarken betreffende de criteria en instrumenten om te bepalen welke staat verantwoordelijk is voor de behandeling van een asielverzoek dat wordt ingediend in Denemarken of een andere lidstaat van de Europese Unie en Eurodac voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (30), stelt Denemarken de Commissie ervan in kennis of het de inhoud van deze verordening zal toepassen, voor zover zij betrekking heeft op Eurodac en DubliNet.

(52)

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, neemt het Verenigd Koninkrijk aan deze verordening deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en het VWEU, en overeenkomstig artikel 8, lid 2, van Besluit 2000/365/EG van de Raad (31). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006 en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG; het Verenigd Koninkrijk heeft de voorzitter van de Raad bij brief van 19 juli 2018 verzocht te mogen deelnemen aan deze verordening, overeenkomstig artikel 4 van Protocol nr. 19. Op grond van artikel 1 van Besluit (EU) 2018/1600 van de Raad (32) heeft het Verenigd Koninkrijk de machtiging verkregen aan deze verordening deel te nemen. Voor zover deze verordening voorts betrekking heeft op Eurodac en DubliNet, heeft het Verenigd Koninkrijk te kennen gegeven dat het aan de vaststelling en toepassing van deze verordening wenst deel te nemen bij brief van 23 oktober 2017 aan de voorzitter van de Raad, in overeenstemming met artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU. Het Verenigd Koninkrijk neemt derhalve deel aan de vaststelling van deze verordening, die bindend is voor en van toepassing is op het Verenigd Koninkrijk.

(53)

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, zou Ierland in principe aan deze verordening kunnen deelnemen overeenkomstig artikel 5, lid 1, van Protocol nr. 19, en overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad (33). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG; Ierland heeft niet verzocht deel te nemen aan de vaststelling van deze verordening overeenkomstig artikel 4 van Protocol nr. 19. Ierland neemt derhalve niet deel aan de vaststelling van deze verordening en deze is niet bindend voor, noch van toepassing op deze lidstaat voor zover de bepalingen ervan een ontwikkeling vormen van het Schengenacquis en betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias. Voor zover de bepalingen van deze verordening voorts betrekking hebben op Eurodac en DubliNet, neemt Ierland, overeenkomstig de artikelen 1 en 2 en artikel 4 bis, lid 1, van Protocol nr. 21, niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien het in deze omstandigheden niet mogelijk is te verzekeren dat deze verordening in haar geheel toepasselijk is in Ierland, zoals vereist door artikel 288 VWEU, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op deze lidstaat, onverminderd zijn rechten uit hoofde van de Protocollen nrs. 19 en 21.

(54)

Wat IJsland en Noorwegen betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (34), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG van de Raad (35). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap, de Republiek IJsland en het Koninkrijk Noorwegen betreffende de criteria en de mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat, in IJsland of in Noorwegen wordt ingediend (36). Bijgevolg dienen delegaties van de Republiek IJsland en het Koninkrijk Noorwegen, indien zij besluiten deze verordening in hun interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. De Unie moet met IJsland en met het Koninkrijk Noorwegen een nadere regeling overeenkomen betreffende uitgebreidere voorschriften voor de deelname van deze twee landen aan de werkzaamheden van het Agentschap.

(55)

Wat Zwitserland betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (37), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (38). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de criteria en mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat of in Zwitserland wordt ingediend (39). Bijgevolg dient de delegatie van de Zwitserse Bondsstaat, indien deze besluit deze verordening in zijn interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. Tussen de Unie en de Zwitserse Bondsstaat moet een nadere regeling worden overeengekomen betreffende uitgebreidere voorschriften voor de deelname van de Zwitserse Bondsstaat aan de werkzaamheden van het Agentschap.

(56)

Wat Liechtenstein betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (40), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2011/350/EU van de Raad (41).

Wat betreft Eurodac en DubliNet vormt deze verordening een nieuwe maatregel in de zin van het Protocol tussen de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de criteria en mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat of in Zwitserland wordt ingediend (42). Bijgevolg dient de delegatie van het Vorstendom Liechtenstein, indien het besluit deze verordening in zijn interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. Tussen de Unie en het Vorstendom Liechtenstein moet een nadere regeling worden overeengekomen betreffende uitgebreidere voorschriften voor de deelname van het Vorstendom Liechtenstein aan de werkzaamheden van het Agentschap,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

VOORWERP EN DOELSTELLINGEN

Artikel 1

Voorwerp

1.   Een Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (het Agentschap) wordt hierbij opgericht.

2.   Het bij deze verordening opgerichte Agentschap vervangt en is de opvolger van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dat bij Verordening (EU) nr. 1077/2011 is opgericht.

3.   Het Agentschap is belast met het operationele beheer van het Schengeninformatiesysteem (SIS II), het Visuminformatiesysteem (VIS) en Eurodac.

4.   Het Agentschap is belast met de opzet, de ontwikkeling of het operationele beheer van het inreis-uitreissysteem (EES), DubliNet, en het Europees systeem voor reisinformatie en -autorisatie (Etias).

5.   Het Agentschap kan tevens worden belast met de opzet, de ontwikkeling of het operationele beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dan die bedoeld in de leden 3 en 4 van dit artikel, met inbegrip van reeds bestaande systemen, maar uitsluitend indien daarin is voorzien in relevante Unierechtshandelingen betreffende die systemen welke gebaseerd zijn op de artikelen 67 tot en met 89 VWEU, in voorkomend geval met inachtneming van de in artikel 14 van deze verordening bedoelde ontwikkelingen op onderzoeksgebied en de in artikel 15 van deze verordening bedoelde resultaten van proefprojecten en conceptbewijzen.

6.   Het operationeel beheer omvat alle taken die noodzakelijk zijn om elk van de grootschalige IT-systemen te laten werken volgens de specifieke voorschriften die op dat systeem van toepassing zijn, met inbegrip van de zorg voor de communicatie-infrastructuur die door de IT-systemen wordt gebruikt. Die grootschalige IT-systemen wisselen onderling geen gegevens uit, en maken het niet mogelijk dat informatie of kennis wordt gedeeld, tenzij een specifieke Unierechtshandeling daarin voorziet.

7.   Het Agentschap wordt tevens belast met de volgende taken:

a)

het toezicht op de gegevenskwaliteit, overeenkomstig artikel 12;

b)

het ontwikkelen van de nodige maatregelen met het oog op interoperabiliteit, overeenkomstig artikel 13;

c)

het uitvoeren van onderzoeksactiviteiten, overeenkomstig artikel 14;

d)

het uitvoeren van proefprojecten, conceptbewijzen en testactiviteiten, overeenkomstig artikel 15, en

e)

het verlenen van ondersteuning aan de lidstaten en de Commissie, overeenkomstig artikel 16.

Artikel 2

Doelstellingen

Onverminderd de respectieve verantwoordelijkheden die bij de Unierechtshandelingen betreffende grootschalige IT-systemen aan de Commissie en aan de lidstaten zijn toegewezen, draagt het Agentschap zorg voor:

a)

de ontwikkeling van grootschalige IT-systemen door middel van een adequate projectbeheersstructuur voor de efficiënte ontwikkeling van dergelijke systemen;

b)

de effectieve, veilige en continue werking van de grootschalige IT-systemen;

c)

het efficiënt en financieel controleerbaar beheer van grootschalige IT-systemen;

d)

een dienstverlening aan de gebruikers van de grootschalige IT-systemen die van voldoende hoge kwaliteit is;

e)

de continue en ononderbroken dienstverlening;

f)

een hoog niveau van gegevensbescherming, in overeenstemming met het Unierecht inzake gegevensbescherming, met inbegrip van specifieke voorschriften voor elk van de grootschalige IT-systemen;

g)

een passend niveau van gegevensbeveiliging en materiële beveiliging, in overeenstemming met de toepasselijke voorschriften, met inbegrip van de specifieke bepalingen inzake elk van de grootschalige IT-systemen.

HOOFDSTUK II

TAKEN VAN HET AGENTSCHAP

Artikel 3

Taken in verband met SIS II

Het Agentschap verricht met betrekking tot SIS II:

a)

de taken die aan de beheersautoriteit zijn opgedragen bij Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ, en

b)

taken met betrekking tot de opleiding van in het bijzonder het Sirene-personeel („Sirene” staat voor „Supplementary Information Request at the National Entries”, te weten „verzoek om aanvullende informatie bij het nationale deel”) in het technisch gebruik van SIS II en de opleiding van deskundigen in de technische aspecten van SIS II in het kader van de Schengenevaluatie.

Artikel 4

Taken in verband met het VIS

Het Agentschap verricht met betrekking tot het VIS:

a)

de taken die bij Verordening (EG) nr. 767/2008 en Besluit 2008/633/JBZ aan de beheersautoriteit zijn opgedragen, en

b)

taken met betrekking tot de opleiding in het technisch gebruik van het VIS en de opleiding van deskundigen in de technische aspecten van het VIS in het kader van de Schengenevaluatie.

Artikel 5

Taken in verband met Eurodac

Het Agentschap verricht met betrekking tot Eurodac:

a)

de taken die aan het Agentschap zijn toegekend bij Verordening (EU) nr. 603/2013, en

b)

taken met betrekking tot opleiding in het technisch gebruik van Eurodac.

Artikel 6

Taken in verband met het EES

Het Agentschap verricht met betrekking tot het EES:

a)

de taken die aan het Agentschap zijn toegekend bij Verordening (EU) 2017/2226, en

b)

taken met betrekking tot de opleiding in het technisch gebruik van het EES en de opleiding van deskundigen in de technische aspecten van het EES in het kader van de Schengenevaluatie.

Artikel 7

Taken in verband met Etias

Het Agentschap verricht met betrekking tot het Etias:

a)

de taken die aan het Agentschap zijn toegekend bij Verordening (EU) 2018/1240, en

b)

taken met betrekking tot de opleiding in het technisch gebruik van het Etias en de opleiding van deskundigen in de technische aspecten van het Etias in het kader van de Schengenevaluatie.

Artikel 8

Taken in verband met DubliNet

Het Agentschap verricht met betrekking tot DubliNet:

a)

het operationele beheer van DubliNet, een afzonderlijk veilig elektronisch transmissiekanaal tussen de autoriteiten van de lidstaten dat tot stand is gebracht op grond van artikel 18 van Verordening (EG) nr. 1560/2003 voor de toepassing van de artikelen 31, 32 en 34 van Verordening (EU) nr. 604/2013 van het Europees Parlement en de Raad (43), en

b)

taken met betrekking tot de opleiding in het technische gebruik van DubliNet.

Artikel 9

Taken in verband met de opzet, de ontwikkeling en het operationele beheer van andere grootschalige IT-systemen

Indien het Agentschap belast is met de opzet, de ontwikkeling of het operationeel beheer van andere grootschalige IT-systemen bedoeld in artikel 1, lid 5, verricht het in voorkomend geval de taken die eraan zijn opgedragen bij de Unierechtshandeling betreffende het betrokken systeem, alsmede taken in verband met de opleiding in het technische gebruik van die systemen.

Artikel 10

Technische oplossingen die slechts kunnen worden uitgevoerd indien aan specifieke voorwaarden is voldaan

Indien de Unierechtshandelingen met betrekking tot de systemen vereisen dat het Agentschap die systemen 24 uur per dag en zeven dagen per week laat functioneren, implementeert het Agentschap — onverminderd die Unierechtshandelingen — technische oplossingen om aan die vereisten te voldoen. Indien voor die technische oplossingen een duplicatie is vereist van een systeem of onderdelen van een systeem, worden zij pas geïmplementeerd indien een onafhankelijke effectbeoordeling en kosten-batenanalyse in opdracht van het Agentschap is verricht en na raadpleging van de Commissie en een positief besluit van de raad van bestuur. De effectbeoordeling omvat tevens een onderzoek naar de huidige en toekomstige behoeften met betrekking tot de hostingcapaciteit van de bestaande technische locaties in verband met de ontwikkeling van dergelijke technische oplossingen en met de mogelijke risico’s inzake de bestaande operationele inrichting.

Artikel 11

Taken betreffende de communicatie-infrastructuur

1.   Het Agentschap verricht alle met de communicatie-infrastructuur van de systemen verband houdende taken die eraan zijn opgedragen bij de Unierechtshandelingen betreffende de systemen, met uitzondering van de systemen die voor hun communicatie-infrastructuur gebruikmaken van EuroDomain. Wat dergelijke systemen betreft die gebruikmaken van EuroDomain, is de Commissie verantwoordelijk voor de uitvoering van de begroting, aanschaf en vernieuwing en contractuele aangelegenheden. Overeenkomstig de Unierechtshandelingen inzake de systemen die gebruikmaken van EuroDomain moeten de taken inzake de communicatie-infrastructuur (inclusief operationeel beheer en veiligheid) worden verdeeld tussen het Agentschap en de Commissie. Om te garanderen dat zij hun respectieve verantwoordelijkheden op samenhangende wijze uitvoeren, maken het Agentschap en de Commissie operationele werkafspraken die worden vastgelegd in een memorandum van overeenstemming.

2.   De communicatie-infrastructuur wordt adequaat beheerd en gecontroleerd teneinde haar tegen bedreigingen te beschermen en de veiligheid van die communicatie-infrastructuur en van de systemen, met inbegrip van gegevens die via deze infrastructuur uitgewisseld worden, te waarborgen.

3.   Het Agentschap treft passende maatregelen, waaronder veiligheidsplannen, om onder meer te voorkomen dat persoonsgegevens tijdens de doorgifte ervan of tijdens het vervoer van gegevensdragers onrechtmatig worden gelezen, gekopieerd, gewijzigd of gewist, in het bijzonder middels geschikte versleutelingstechnieken. Alle systeemgerelateerde operationele informatie die in de communicatie-infrastructuur circuleert, wordt versleuteld.

4.   Taken betreffende het leveren, het opzetten, het onderhoud en het monitoren van de communicatie-infrastructuur kunnen worden toevertrouwd aan externe particuliere entiteiten of organen, overeenkomstig Verordening (EU, Euratom) 2018/1046. Deze taken worden uitgevoerd onder de verantwoordelijkheid van het Agentschap en onder zijn streng toezicht.

Bij de uitvoering van de in de eerste alinea vermelde taken zijn alle externe particuliere entiteiten of organen, met inbegrip van de netwerkproviders, gebonden aan de in lid 3 bedoelde veiligheidsmaatregelen en hebben zij op geen enkele wijze toegang tot operationele gegevens die zijn opgeslagen in de systemen of worden overgedragen via de communicatie-infrastructuur of naar de met SIS II samenhangende Sirene-uitwisseling.

5.   Het beheer van de versleutelingscodes blijft een bevoegdheid van het Agentschap en wordt niet uitbesteed aan een externe particuliere entiteit. Dit geldt onverminderd de bestaande overeenkomsten over de communicatie-infrastructuur van SIS II, het VIS en Eurodac.

Artikel 12

Kwaliteit van de gegevens

Onverminderd de verantwoordelijkheden van de lidstaten met betrekking tot de gegevens die worden ingevoerd in de systemen, werkt het Agentschap, met nauwe betrokkenheid van zijn adviesgroepen, voor al die systemen samen met de Commissie aan de totstandbrenging van geautomatiseerde mechanismen voor het controleren van de gegevenskwaliteit en gemeenschappelijke indicatoren voor de gegevenskwaliteit, alsmede aan de ontwikkeling van een centraal register dat uitsluitend geanonimiseerde gegevens bevat voor verslagen en statistieken, onder voorbehoud van specifieke bepalingen in de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen.

Artikel 13

Interoperabiliteit

Wanneer interoperabiliteit van grootschalige IT-systemen in een relevante Unierechtshandeling is bepaald, ontwikkelt het Agentschap de maatregelen die nodig zijn om die interoperabiliteit mogelijk te maken.

Artikel 14

Volgen van ontwikkelingen op onderzoeksgebied

1.   Het Agentschap volgt de ontwikkelingen op onderzoeksgebied die van belang zijn voor het operationeel beheer van SIS II, het VIS, Eurodac, het EES, het Etias, DubliNet en andere grootschalige IT-systemen zoals bedoeld in artikel 1, lid 5.

2.   Het Agentschap kan bijdragen tot de tenuitvoerlegging van de delen van het kaderprogramma van de Europese Unie voor onderzoek en innovatie die betrekking hebben op grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. Daartoe heeft het Agentschap, voor zover de Commissie de desbetreffende bevoegdheden aan het Agentschap heeft gedelegeerd, de volgende taken:

a)

het beheren van een aantal stadia van de uitvoering van het programma en een aantal fasen in de cyclus van specifieke projecten op basis van de door de Commissie vastgestelde relevante werkprogramma’s;

b)

het vaststellen van de instrumenten tot uitvoering van de begroting, zowel aan de ontvangsten- als aan de uitgavenzijde, en het uitvoeren van alle activiteiten die noodzakelijk zijn voor het beheer van het programma;

c)

het verlenen van steun bij de uitvoering van het programma.

3.   Het Agentschap brengt regelmatig en ten minste eenmaal per jaar het Europees Parlement, de Raad, de Commissie en, wat de verwerking van persoonsgegevens betreft, de Europese Toezichthouder voor gegevensbescherming op de hoogte van de in dit artikel bedoelde ontwikkelingen, onverminderd de rapportageverplichtingen met betrekking tot de uitvoering van de in lid 2 bedoelde delen van het kaderprogramma van de Europese Unie voor onderzoek en innovatie.

Artikel 15

Proefprojecten, conceptbewijzen en testactiviteiten

1.   Op welbepaald verzoek van de Commissie, die het Europees Parlement en de Raad ten minste drie maanden vóór de indiening van dit verzoek heeft ingelicht, en na een positief besluit van de raad van bestuur, kan overeenkomstig artikel 19, lid 1, onder u), van deze verordening aan het Agentschap door middel van een delegatieovereenkomst de uitvoering worden toevertrouwd van proefprojecten zoals bedoeld in artikel 58, lid 2, onder a), van Verordening (EU, Euratom) 2018/1046 ten behoeve van de ontwikkeling of het operationeel beheer van grootschalige IT-systemen krachtens de artikelen 67 tot en met 89 VWEU, overeenkomstig artikel 62, lid 1, onder c), van Verordening (EU, Euratom) 2018/1046.

Het Agentschap stelt het Europees Parlement, de Raad en, ter zake van de verwerking van persoonsgegevens, de Europese Toezichthouder voor gegevensbescherming, regelmatig op de hoogte van de ontwikkeling van de proefprojecten die het Agentschap krachtens de eerste alinea uitvoert.

2.   Wat de in artikel 58, lid 2, onder a), van Verordening (EU, Euratom) 2018/1046 bedoelde proefprojecten betreft waarom de Commissie krachtens lid 1 heeft verzocht, worden voor ten hoogste twee achtereenvolgende begrotingsjaren kredieten opgenomen in de begroting.

3.   Op verzoek van de Commissie of de Raad kan het Agentschap, na kennisgeving aan het Europees Parlement en na een positief besluit van de raad van bestuur, door middel van een delegatieovereenkomst worden belast met begrotingsuitvoeringstaken voor conceptbewijzen die worden gefinancierd uit het instrument voor financiële steun voor de buitengrenzen en visa dat is ingesteld bij Verordening (EU) nr. 515/2014, overeenkomstig artikel 62, lid 1, onder c), van Verordening (EU, Euratom) 2018/1046.

4.   Nadat de raad van bestuur daartoe een positief besluit heeft vastgesteld, kan het Agentschap testactiviteiten plannen en uitvoeren voor aangelegenheden die vallen onder deze verordening en onder om het even welke Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen.

Artikel 16

Ondersteuning van de lidstaten en de Commissie

1.   Elke lidstaat kan het Agentschap verzoeken advies te verlenen in verband met de aansluiting van zijn nationale systeem op de centrale systemen van de door het Agentschap beheerde grootschalige IT-systemen.

2.   Elke lidstaat kan een verzoek om ad-hocsteun indienen bij de Commissie, die dit verzoek — onder voorbehoud van haar gunstig oordeel dat deze steun vereist is vanwege buitengewone behoeften op veiligheids- of migratiegebied — onverwijld doorstuurt naar het Agentschap. Het Agentschap stelt de raad van bestuur op de hoogte van dergelijke verzoeken. De lidstaten worden in kennis gesteld van een negatieve beoordeling van de Commissie.

De Commissie monitort of het Agentschap tijdig op het verzoek van de lidstaat heeft gereageerd. In het jaarlijkse activiteitenverslag van het Agentschap wordt in detail verslag uitgebracht van de acties die het Agentschap heeft uitgevoerd om lidstaten ad-hocsteun te verlenen en van de in dat verband gemaakte kosten.

3.   Ook kan het Agentschap worden verzocht om de Commissie advies of steun te verlenen in verband met technische aangelegenheden betreffende bestaande of nieuwe systemen, bijvoorbeeld door middel van studies en tests. Het Agentschap stelt de raad van bestuur op de hoogte van dergelijke verzoeken.

4.   Een groep van ten minste vijf lidstaten kan het Agentschap belasten met de taak een gemeenschappelijke IT-component te ontwikkelen, te beheren en/of te hosten die deze lidstaten moet ondersteunen bij het implementeren van de technische aspecten van verplichtingen die voortvloeien uit het Unierecht inzake gedecentraliseerde systemen op het gebied van vrijheid, veiligheid en recht. Die gemeenschappelijke IT-oplossingen laten de verplichtingen van de verzoekende lidstaten uit hoofde van het toepasselijke Unierecht, met name wat de architectuur van die systemen betreft, onverlet.

Met name kunnen de verzoekende lidstaten het Agentschap belasten met de taak een gemeenschappelijke component of een router voor vooraf te verstrekken passagiersgegevens en persoonsgegevens van passagiers tot stand te brengen als een technisch instrument ter ondersteuning van connectiviteit met luchtvaartmaatschappijen, teneinde lidstaten te helpen bij de tenuitvoerlegging van Richtlijn 2004/82/EG van de Raad (44) en Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad (45). In dat geval verzamelt het Agentschap de gegevens van luchtvaartmaatschappijen op gecentraliseerde wijze en geeft het deze aan de lidstaten door via de gemeenschappelijke component of router. De verzoekende lidstaten treffen de nodige maatregelen om ervoor te zorgen dat de luchtvaartmaatschappijen de gegevens via het Agentschap doorgeven.

Het Agentschap wordt pas belast met de taak een gemeenschappelijke IT-component te ontwikkelen, te beheren of te hosten na voorafgaande goedkeuring van de Commissie en mits een positief besluit van de raad van bestuur.

De verzoekende lidstaten belasten het Agentschap met de in de eerste en de tweede alinea bedoelde taken door middel van een delegatieovereenkomst waarin de voorwaarden voor de delegatie van de taken, de berekening van alle relevante kosten en het soort facturering worden vastgesteld. Alle relevante kosten worden gedekt door de deelnemende lidstaten. De delegatieovereenkomst is in overeenstemming met de Unierechtshandelingen inzake de betrokken IT-systemen. Het Agentschap informeert het Europees Parlement en de Raad over de goedgekeurde delegatieovereenkomst en elke wijziging daarvan.

Andere lidstaten kunnen verzoeken om deel te nemen aan een gemeenschappelijke IT-oplossing indien in de delegatieovereenkomst in deze mogelijkheid wordt voorzien, en daarin met name de financiële implicaties van een dergelijke deelname worden genoemd. De delegatieovereenkomst wordt dienovereenkomstig gewijzigd na voorafgaande goedkeuring van de Commissie en na een positief besluit van de raad van bestuur.

HOOFDSTUK III

STRUCTUUR EN ORGANISATIE

Artikel 17

Juridische status en vestigingsplaats

1.   Het Agentschap is een orgaan van de Unie en bezit rechtspersoonlijkheid.

2.   Het Agentschap geniet in elke lidstaat de meest uitgebreide handelingsbevoegdheid die er krachtens het nationale recht aan rechtspersonen wordt verleend. Het Agentschap kan in het bijzonder roerende en onroerende zaken verkrijgen of vervreemden en in rechte optreden.

3.   De zetel van het Agentschap is in Tallinn, Estland.

De in artikel 1, leden 4 en 5, en de artikelen 3, 4, 5, 6, 7, 8, 9 en 11 bedoelde taken in verband met ontwikkeling en operationeel beheer worden verricht in de technische locatie in Straatsburg, Frankrijk.

In Sankt Johann im Pongau, Oostenrijk, wordt een back-uplocatie gevestigd die kan zorgen voor het operationeel blijven van een grootschalig IT-systeem in geval van falen van een dergelijk systeem.

4.   Beide technische locaties kunnen worden gebruikt voor de gelijktijdige werking van de IT-systemen, mits de back-uplocatie ervoor kan blijven zorgen dat beide locaties operationeel blijven wanneer een of meer systemen falen.

5.   Wanneer het gezien de specifieke aard van de systemen noodzakelijk blijkt dat het Agentschap voor het hosten van de systemen een tweede afzonderlijke technische locatie instelt in — afhankelijk van de vereisten — Straatsburg of Sankt Johann im Pongau, dan wel op beide locaties, dan wordt dit gerechtvaardigd op basis van een onafhankelijke effectbeoordeling en kosten-batenanalyse. De raad van bestuur raadpleegt de Commissie en houdt rekening met haar standpunt voordat hij de begrotingsautoriteit in kennis stelt van zijn voornemen om een onroerendgoedproject uit te voeren overeenkomstig artikel 45, lid 9.

Artikel 18

Structuur

1.   De administratieve en bestuurlijke structuur van het Agentschap omvat:

a)

een raad van bestuur;

b)

een uitvoerend directeur;

c)

adviesgroepen.

2.   De structuur van het Agentschap omvat:

a)

een functionaris voor gegevensbescherming;

b)

een beveiligingsfunctionaris;

c)

een rekenplichtige.

Artikel 19

Taken van de raad van bestuur

1.   De raad van bestuur heeft tot taak:

a)

te zorgen voor de algemene aansturing van de activiteiten van het Agentschap;

b)

met een tweederdemeerderheid van zijn stemgerechtigde leden de jaarbegroting van het Agentschap vast te stellen en andere functies uit te oefenen met betrekking tot de begroting van het Agentschap overeenkomstig hoofdstuk V;

c)

de uitvoerend directeur en de plaatsvervangend uitvoerend directeur te benoemen, en, in voorkomend geval, hun respectieve ambtstermijnen te verlengen of hen uit hun functie te ontheffen, overeenkomstig respectievelijk artikel 25 en artikel 26;

d)

de tuchtrechtelijke bevoegdheid uit te oefenen ten aanzien van de uitvoerend directeur en toezicht te houden op diens ambtsuitoefening, onder meer op de uitvoering van de besluiten van de raad van bestuur, en de tuchtrechtelijke bevoegdheid uit te oefenen ten aanzien van de plaatsvervangend uitvoerend directeur, met instemming van de uitvoerend directeur;

e)

alle beslissingen te nemen in verband met de opzet van de organisatorische structuur van het Agentschap en, waar nodig, de wijziging ervan, rekening houdend met de activiteitenbehoeften van het Agentschap en met het oog op een gezond begrotingsbeheer;

f)

het personeelsbeleid van het Agentschap vast te stellen;

g)

het reglement van orde van het Agentschap vast te stellen;

h)

een fraudebestrijdingsstrategie vast te stellen die evenredig is aan het frauderisico en rekening houdt met de kosten en baten van de uit te voeren maatregelen;

i)

regels vast te stellen voor de voorkoming en beheersing van belangenconflicten met betrekking tot zijn leden en deze op de website van het Agentschap te publiceren;

j)

uitvoerige interne voorschriften en procedures vast te stellen ter bescherming van klokkenluiders, inclusief passende communicatiekanalen voor het melden van wangedrag;

k)

machtiging te geven tot het sluiten van werkafspraken overeenkomstig de artikelen 41 en 43;

l)

op voorstel van de uitvoerend directeur zijn goedkeuring te hechten aan de zetelovereenkomst en de overeenkomsten inzake de technische locaties en de back-uplocaties, ingericht overeenkomstig artikel 17, lid 3, die de uitvoerend directeur en de lidstaten van vestiging moeten ondertekenen;

m)

overeenkomstig lid 2, met betrekking tot het personeel van het Agentschap, de bevoegdheden uit te oefenen die het Statuut van de ambtenaren toekent aan het tot aanstelling bevoegde gezag, en die de Regeling welke van toepassing is op de andere personeelsleden toekent aan het tot het sluiten van contracten bevoegde gezag („de bevoegdheden van het tot aanstelling bevoegde gezag”);

n)

in overeenstemming met de Commissie de nodige bepalingen vast te stellen voor de uitvoering van het Statuut, overeenkomstig artikel 110 van het Statuut van de ambtenaren;

o)

de nodige maatregelen vast te stellen voor het detacheren van nationale deskundigen bij het Agentschap;

p)

een ontwerpraming vast te stellen van de ontvangsten en uitgaven van het Agentschap, waarin het ontwerp van personeelsformatie is opgenomen, en deze elk jaar uiterlijk 31 januari in te dienen bij de Commissie;

q)

het ontwerp van het enig programmeringsdocument vast te stellen, met daarin de meerjarenprogrammering van het Agentschap, het werkprogramma voor het volgende jaar en een voorlopige ontwerpraming van de ontvangsten en uitgaven van het Agentschap, waarin het ontwerp van personeelsformatie is opgenomen, en dit elk jaar uiterlijk op 31 januari, samen met iedere bijgewerkte versie van dat document, in te dienen bij het Europees Parlement, bij de Raad en bij de Commissie;

r)

ieder jaar vóór 30 november met een tweederdemeerderheid van de stemgerechtigde leden het enig programmeringsdocument vast te stellen, overeenkomstig de jaarlijkse begrotingsprocedure en rekening houdend met het advies van de Commissie, en erop toe te zien dat de definitieve versie van dit enig programmeringsdocument aan het Parlement, aan de Raad en aan de Commissie wordt toegezonden en wordt bekendgemaakt;

s)

jaarlijks uiterlijk eind augustus een tussentijds verslag op te stellen over de voortgang van de uitvoering van de geplande activiteiten van het lopende jaar en dit in te dienen bij het Europees Parlement, bij de Raad en bij de Commissie;

t)

het geconsolideerde jaarverslag over de activiteiten van het Agentschap in het voorgaande jaar te beoordelen en goed te keuren, waarin in het bijzonder de bereikte resultaten worden getoetst aan de doelstellingen van het jaarlijkse werkprogramma, en het verslag en de beoordeling ervan uiterlijk 1 juli van elk jaar aan het Europees Parlement, aan de Raad, aan de Commissie en aan de Rekenkamer te doen toekomen en ervoor te zorgen dat dit jaarlijkse activiteitenverslag wordt bekendgemaakt;

u)

zich te kwijten van zijn taken met betrekking tot de begroting van het Agentschap, met inbegrip van de uitvoering van de in artikel 15 bedoelde proefprojecten en conceptbewijzen;

v)

overeenkomstig artikel 49 de financiële regels vast te stellen die van toepassing zijn op het Agentschap;

w)

een rekenplichtige te benoemen, die onderworpen is aan het Statuut, volledig onafhankelijk is bij de uitvoering van zijn taken en die de rekenplichtige van de Commissie kan zijn;

x)

te zorgen voor een passende follow-up van de resultaten en aanbevelingen in de diverse interne en externe auditverslagen en beoordelingen, alsook van de resultaten en aanbevelingen die voortvloeien uit de onderzoeken van het Europees Bureau voor fraudebestrijding (OLAF) en het Europees Openbaar Ministerie (EOM);

y)

de in artikel 34, lid 4, bedoelde communicatie- en verspreidingsplannen vast te stellen en regelmatig bij te werken;

z)

de nodige beveiligingsmaatregelen vast te stellen — inclusief een beveiligingsplan en een bedrijfscontinuïteits- en uitwijkplan — waarin rekening wordt gehouden met de eventuele aanbevelingen van de veiligheidsdeskundigen in de adviesgroepen;

aa)

beveiligingsvoorschriften vast te stellen betreffende de bescherming van gerubriceerde gegevens en niet-gerubriceerde gevoelige gegevens, na goedkeuring door de Commissie;

bb)

een beveiligingsfunctionaris aan te stellen;

cc)

een functionaris voor gegevensbescherming aan te stellen conform Verordening (EU) 2018/1725;

dd)

de praktische regelingen voor de toepassing van Verordening (EG) nr. 1049/2001 vast te stellen;

ee)

de verslagen over de ontwikkeling van het EES vast te stellen overeenkomstig artikel 72, lid 2, van Verordening (EU) 2017/2226 en de verslagen over de ontwikkeling van het Etias vast te stellen overeenkomstig artikel 92, lid 2, van Verordening (EU) 2018/1240;

ff)

de verslagen vast te stellen over de technische werking van SIS II overeenkomstig respectievelijk artikel 50, lid 4, van Verordening (EG) nr. 1987/2006 en artikel 66, lid 4, van Besluit 2007/533/JBZ, over de technische werking van het VIS overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 767/2008 en artikel 17, lid 3, van Besluit 2008/633/JBZ, over de technische werking van het EES overeenkomstig artikel 72, lid 4, van Verordening (EU) 2017/2226 en over de technische werking van het Etias overeenkomstig artikel 92, lid 4, van Verordening (EU) 2018/1240;

gg)

het jaarverslag over de activiteiten van het centraal systeem van Eurodac vast te stellen in overeenstemming met artikel 40, lid 1, van Verordening (EU) nr. 603/2013;

hh)

formele opmerkingen vast te stellen over de verslagen van de Europese Toezichthouder voor gegevensbescherming betreffende de audits overeenkomstig artikel 45, lid 2, van Verordening (EG) nr. 1987/2006, artikel 42, lid 2, van Verordening (EG) nr. 767/2008 en artikel 31, lid 2, van Verordening (EU) nr. 603/2013, artikel 56, lid 2, van Verordening (EU) 2017/2226 en artikel 67 van Verordening (EU) 2018/1240 en ervoor te zorgen dat aan die audits passend gevolg wordt gegeven;

ii)

statistieken over SIS II bekend te maken, overeenkomstig artikel 50, lid 3, van Verordening (EG) nr. 1987/2006 en artikel 66, lid 3, van Besluit 2007/533/JBZ;

jj)

statistieken over de werkzaamheden van het centraal systeem van Eurodac samen te stellen en bekend te maken in overeenstemming met artikel 8, lid 2, van Verordening (EU) nr. 603/2013;

kk)

statistieken over het EES bekend te maken, overeenkomstig artikel 63 van Verordening (EU) 2017/2226;

ll)

statistieken over het Etias bekend te maken overeenkomstig artikel 84 van Verordening (EU) 2018/1240;

mm)

ervoor te zorgen dat jaarlijks de lijst wordt bekendgemaakt van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS II opgenomen gegevens, overeenkomstig artikel 31, lid 8, van Verordening (EG) nr. 1987/2006 en artikel 46, lid 8, van Besluit 2007/533/JBZ, samen met de lijst van instanties van de nationale systemen van SIS II (N.SIS II-instanties) en Sirene-bureaus overeenkomstig respectievelijk artikel 7, lid 3, van Verordening (EG) nr. 1987/2006 en artikel 7, lid 3, van Besluit 2007/533/JBZ, alsook de lijst van bevoegde autoriteiten overeenkomstig artikel 65, lid 2, van Verordening (EU) 2017/2226 en de lijst van bevoegde autoriteiten overeenkomstig artikel 87, lid 2, van Verordening (EU) 2018/1240;

nn)

ervoor te zorgen dat jaarlijks de lijst wordt bekendgemaakt van diensten overeenkomstig artikel 27, lid 2, van Verordening (EU) nr. 603/2013;

oo)

ervoor te zorgen dat alle beslissingen en maatregelen van het Agentschap die gevolgen hebben voor grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, in overeenstemming zijn met het beginsel van onafhankelijkheid van de rechterlijke macht;

pp)

alle andere taken te verrichten waarmee hij bij of krachtens deze verordening wordt belast.

Onverminderd de bepalingen inzake de bekendmaking van de lijsten van betrokken autoriteiten waarin is voorzien door de in de eerste alinea, onder mm), bedoelde Unierechtshandelingen en voor zover die rechtshandelingen niet voorzien in een verplichting om die lijsten op de website van het Agentschap te publiceren en voortdurend te actualiseren, zorgt de raad van bestuur voor die publicatie en voortdurende actualisering.

2.   De raad van bestuur neemt overeenkomstig artikel 110 van het Statuut van de ambtenaren een beslissing die is gebaseerd op artikel 2, lid 1, van het Statuut en artikel 6 van de Regeling welke van toepassing is op de andere personeelsleden, waarin hij de nodige bevoegdheden van het tot aanstelling bevoegde gezag delegeert aan de uitvoerend directeur en de voorwaarden vastlegt voor de opschorting van deze gedelegeerde bevoegdheden. De uitvoerend directeur kan deze bevoegdheden op zijn beurt delegeren.

Wanneer uitzonderlijke omstandigheden dat vereisen, kan de raad van bestuur door middel van een besluit de delegatie van de bevoegdheden van het tot aanstelling bevoegde gezag aan de uitvoerend directeur en de bevoegdheden die deze laatste op zijn beurt heeft gedelegeerd, tijdelijk opschorten en deze bevoegdheden zelf uitoefenen of delegeren aan een van zijn leden of aan een ander personeelslid dan de uitvoerend directeur.

3.   De raad van bestuur kan de uitvoerend directeur adviseren over alle aangelegenheden die strikt betrekking hebben op de ontwikkeling of het operationeel beheer van grootschalige IT-systemen en op onderzoeksactiviteiten, proefprojecten, conceptbewijzen en testactiviteiten.

Artikel 20

Samenstelling van de raad van bestuur

1.   De raad van bestuur bestaat uit één vertegenwoordiger per lidstaat en twee vertegenwoordigers van de Commissie. Elke vertegenwoordiger is overeenkomstig artikel 23 stemgerechtigd.

2.   Ieder lid van de raad van bestuur heeft een plaatsvervanger. De plaatsvervanger vertegenwoordigt het lid indien het afwezig is of indien het lid tot voorzitter of vicevoorzitter van de raad van bestuur verkozen is en het voorzitterschap van de vergadering van de raad van bestuur bekleedt. De leden van de raad van bestuur en hun plaatsvervangers worden benoemd op grond van het hoge niveau van hun relevante ervaring en deskundigheid inzake grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, en van hun kennis van gegevensbescherming, met inachtneming van hun relevante bestuurlijke, administratieve en budgettaire vaardigheden. Alle partijen in de raad van bestuur trachten het verloop van hun vertegenwoordigers te beperken om de continuïteit van de werkzaamheden van de raad van bestuur te waarborgen. Alle partijen streven naar een evenwichtige vertegenwoordiging van mannen en vrouwen in de raad van bestuur.

3.   De leden en de plaatsvervangers worden benoemd voor een hernieuwbare termijn van vier jaar. Na afloop van de ambtstermijn of bij aftreden blijven de leden in functie totdat in verlenging van de ambtstermijn of in hun vervanging is voorzien.

4.   De landen die zijn betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en bij de Dublin- en Eurodac-maatregelen nemen deel aan de werkzaamheden van het Agentschap. Zij benoemen ieder een vertegenwoordiger met een plaatsvervanger in de raad van bestuur.

Artikel 21

Voorzitter van de raad van bestuur

1.   De raad van bestuur verkiest een voorzitter en een vicevoorzitter uit de leden van de raad van bestuur die zijn aangewezen door lidstaten die krachtens het Unierecht ten volle gebonden zijn door alle Unierechtshandelingen betreffende de ontwikkeling, de oprichting, de werking en het gebruik van alle door het Agentschap beheerde grootschalige IT-systemen. De voorzitter en de vicevoorzitter worden bij tweederdemeerderheid gekozen door de stemgerechtigde leden van de raad van bestuur.

De vicevoorzitter vervangt ambtshalve de voorzitter wanneer deze niet in staat is zijn taken te verrichten.

2.   De ambtstermijn van de voorzitter en vicevoorzitter bedraagt vier jaar. Hun ambtstermijn kan eenmaal worden verlengd. Indien hun lidmaatschap van de raad van bestuur echter eindigt tijdens hun ambtstermijn, loopt hun ambtstermijn automatisch af op dezelfde datum als die waarop hun lidmaatschap eindigt.

Artikel 22

Vergaderingen van de raad van bestuur

1.   De voorzitter roept de vergaderingen van de raad van bestuur bijeen.

2.   De uitvoerend directeur neemt aan de beraadslagingen deel, maar heeft geen stemrecht.

3.   De raad van bestuur houdt ten minste twee gewone vergaderingen per jaar. Daarnaast komt de raad van bestuur bijeen op initiatief van zijn voorzitter, op verzoek van de Commissie, op verzoek van de uitvoerend directeur of op verzoek van ten minste een derde van de stemgerechtigde leden van de raad van bestuur.

4.   Europol en Eurojust kunnen de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Besluit 2007/533/JBZ op de agenda staat. Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur als waarnemer bijwonen wanneer een vraagstuk inzake SIS II met betrekking tot de toepassing van Verordening (EU) 2016/1624 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen, wanneer een vraagstuk inzake het VIS met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat of wanneer een vraagstuk inzake Eurodac met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat.

Europol kan de vergaderingen van de raad van bestuur als waarnemer bijwonen, wanneer een vraagstuk inzake het EES met betrekking tot de toepassing van Verordening (EU) 2017/2226 op de agenda staat of wanneer een vraagstuk inzake het Etias met betrekking tot Verordening (EU) 2018/1240 op de agenda staat. Het Europees Grens- en kustwachtagentschap kan de vergaderingen van de raad van bestuur ook als waarnemer bijwonen wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van Verordening (EU) 2018/1240 op de agenda staat.

De raad van bestuur kan andere personen wier mening van belang kan zijn, uitnodigen de vergaderingen als waarnemer bij te wonen.

5.   De leden van de raad van bestuur en hun plaatsvervangers kunnen zich overeenkomstig het reglement van orde van de raad van bestuur laten bijstaan door adviseurs of deskundigen, met name die welke lid zijn van een van de adviesgroepen.

6.   Het Agentschap vervult de secretariaatstaken voor de raad van bestuur.

Artikel 23

Stemprocedure in de raad van bestuur

1.   Onverminderd lid 5 van dit artikel, artikel 19, lid 1, onder b) en r), artikel 21, lid 1, en artikel 25, lid 8, besluit de raad van bestuur bij meerderheid van zijn stemgerechtigde leden.

2.   Onverminderd de leden 3 en 4, heeft ieder lid van de raad van bestuur één stem. Bij afwezigheid van een stemgerechtigd lid mag zijn plaatsvervanger diens stemrecht uitoefenen.

3.   Ieder lid dat is benoemd door een lidstaat die krachtens het Unierecht is gebonden door een Unierechtshandeling betreffende de ontwikkeling, de oprichting, de werking en het gebruik van een door het Agentschap beheerd grootschalig IT-systeem, kan zijn stem uitbrengen bij de behandeling van een vraagstuk dat betrekking heeft op dat grootschalige IT-systeem.

Denemarken kan zijn stem uitbrengen met betrekking tot een vraagstuk dat betrekking heeft op een grootschalig IT-systeem, indien het op grond van artikel 4 van Protocol nr. 22 besluit de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde grootschalige IT-systeem in nationaal recht om te zetten.

4.   Artikel 42 is van toepassing inzake het stemrecht van de vertegenwoordigers van landen die met de Unie overeenkomsten hebben gesloten over hun betrokkenheid bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, en bij de Dublin- en Eurodac-maatregelen.

5.   Indien de leden het oneens zijn over de vraag of een stemming al dan niet betrekking heeft op een welbepaald grootschalig IT-systeem, wordt de beslissing dat deze stemming niet dat welbepaalde grootschalige IT-systeem betreft, genomen bij tweederdemeerderheid van de stemgerechtigde leden van de raad van bestuur.

6.   De voorzitter, of de vicevoorzitter wanneer hij de voorzitter vervangt, neemt niet aan de stemming deel. Het stemrecht van de voorzitter, of de vicevoorzitter wanneer hij de voorzitter vervangt, wordt uitgeoefend door zijn plaatsvervanger.

7.   De uitvoerend directeur neemt niet aan de stemming deel.

8.   Het reglement van orde van de raad van bestuur bepaalt de nadere bijzonderheden van de stemprocedure en in het bijzonder de voorwaarden waaronder een lid namens een ander lid kan handelen, alsmede de quorumvoorschriften, indien van toepassing.

Artikel 24

Verantwoordelijkheden van de uitvoerend directeur

1.   De uitvoerend directeur beheert het Agentschap. De uitvoerend directeur ondersteunt de raad van bestuur en legt er verantwoording aan af. De uitvoerend directeur brengt desgevraagd verslag uit aan het Europees Parlement over de uitvoering van zijn taken. De Raad kan de uitvoerend directeur verzoeken verslag uit te brengen over de uitvoering van zijn taken.

2.   De uitvoerend directeur treedt op als wettelijke vertegenwoordiger van het Agentschap.

3.   De uitvoerend directeur is verantwoordelijk voor de uitvoering van de taken die bij deze verordening aan het Agentschap zijn toegewezen. De uitvoerend directeur is in het bijzonder verantwoordelijk voor:

a)

de dagelijkse leiding van het Agentschap;

b)

de werking van het Agentschap overeenkomstig deze verordening;

c)

het opstellen en uitvoeren van de door de raad van bestuur vastgestelde procedures, besluiten, strategieën, programma’s en activiteiten, binnen de grenzen die in deze verordening, de bepalingen ter uitvoering ervan, en de toepasselijke Uniewetgeving zijn vastgesteld;

d)

het opstellen van het enig programmeringsdocument en het indienen ervan bij de raad van bestuur na raadpleging van de Commissie en van de adviesgroepen;

e)

de uitvoering van het enig programmeringsdocument en de verslaglegging over de uitvoering ervan aan de raad van bestuur;

f)

het opstellen van het tussentijds verslag over de voortgang van de uitvoering van de geplande activiteiten van het lopende jaar en, na raadpleging van de adviesgroepen, het indienen ervan bij de raad van bestuur met het oog op vaststelling uiterlijk eind augustus van elk jaar;

g)

het opstellen van het geconsolideerd jaarverslag over de activiteiten van het Agentschap en, na raadpleging van de adviesgroepen, het ter beoordeling en goedkeuring indienen ervan bij de raad van bestuur;

h)

een actieplan op te stellen voor de follow-up van de conclusies van interne of externe auditverslagen en evaluaties, evenals van onderzoeken van OLAF en van het EOM, en tweemaal per jaar aan de Commissie en op gezette tijden aan de raad van bestuur verslag over de geboekte vooruitgang uit te brengen;

i)

het beschermen van de financiële belangen van de Unie door toepassing van maatregelen ter voorkoming van fraude, corruptie en andere illegale activiteiten, zonder afbreuk te doen aan de onderzoeksbevoegdheid van het EOM en OLAF, door middel van effectieve controles en, indien onregelmatigheden worden vastgesteld, door terugvordering van ten onrechte betaalde bedragen en waar nodig doeltreffende, evenredige en afschrikkende administratieve sancties, met inbegrip van financiële sancties;

j)

het opstellen van een fraudebestrijdingsstrategie voor het Agentschap en het ter goedkeuring voorleggen ervan aan de raad van bestuur, alsook het toezicht op de correcte en tijdige uitvoering van die strategie;

k)

het opstellen van een ontwerp van de financiële regels die van toepassing zijn op het Agentschap en het ter goedkeuring voorleggen ervan aan de raad van bestuur, na raadpleging van de Commissie;

l)

het opstellen van de ontwerpbegroting voor het volgende jaar op basis van activiteitsgestuurd begroten;

m)

het opstellen van de ontwerpraming van ontvangsten en uitgaven van het Agentschap;

n)

het uitvoeren van de begroting van het Agentschap;

o)

het opzetten en toepassen van een effectief systeem voor regelmatige monitoring en evaluatie van:

i)

grootschalige IT-systemen, met inbegrip van statistische informatie, alsmede

ii)

het Agentschap, met inbegrip van de daadwerkelijke en doeltreffende verwezenlijking van de doelstellingen ervan;

p)

het onverminderd artikel 17 van het Statuut van de ambtenaren vaststellen van vertrouwelijkheidsvoorschriften, teneinde te voldoen aan artikel 17 van Verordening (EG) nr. 1987/2006, artikel 17 van Besluit 2007/533/JBZ, artikel 26, lid 9, van Verordening (EG) nr. 767/2008, artikel 4, lid 4, van Verordening (EU) nr. 603/2013, artikel 37, lid 4, van Verordening (EU) 2017/2226 en artikel 74, lid 2, van Verordening (EU) 2018/1240;

q)

het onderhandelen over en, na goedkeuring door de raad van bestuur, ondertekenen van de zetelovereenkomst en de overeenkomsten inzake de technische locaties en de back-uplocaties met de lidstaten van vestiging;

r)

het opstellen van een praktische regeling voor de tenuitvoerlegging van Verordening (EG) nr. 1049/2001 en het ter goedkeuring voorleggen ervan aan de raad van bestuur;

s)

het opstellen van de nodige beveiligingsmaatregelen, met inbegrip van een veiligheidsplan, een bedrijfscontinuïteitsplan en een uitwijkplan en, na raadpleging van de betrokken adviesgroep, het ter goedkeuring voorleggen ervan aan de raad van bestuur;

t)

het opstellen van de verslagen over de technische werking van elk van de in artikel 19, lid 1, onder ff), bedoelde grootschalige IT-systemen en het in artikel 19, lid 1, onder gg), bedoelde jaarverslag over de activiteiten van het centraal systeem van Eurodac, op basis van de toezichts- en evaluatieresultaten, en, na raadpleging van de relevante adviesgroep, het ter goedkeuring voorleggen ervan aan de raad van bestuur;

u)

het opstellen van de verslagen over de ontwikkeling van het EES zoals bedoeld in artikel 72, lid 2, van Verordening (EU) 2017/2226 en over de ontwikkeling van het Etias zoals bedoeld in artikel 92, lid 2, van Verordening (EU) 2018/1240 en het ter goedkeuring voorleggen ervan aan de raad van bestuur;

v)

het met het oog op bekendmaking opstellen van de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in SIS II opgenomen gegevens, met inbegrip van de lijst van N. SIS II-instanties en Sirene-bureaus en de lijst van bevoegde autoriteiten die gemachtigd zijn tot directe bevraging van de in het EES en het Etias opgenomen gegevens, als bedoeld in artikel 19, lid 1, onder mm), en van de lijst van diensten als bedoeld in artikel 19, lid 1, onder nn), en het ter goedkeuring voorleggen ervan aan de raad van bestuur.

4.   De uitvoerend directeur verricht alle andere taken waarmee hij in overeenstemming met deze verordening wordt belast.

5.   De uitvoerend directeur beslist of het voor de doeltreffende en daadwerkelijke uitvoering van de taken van het Agentschap noodzakelijk is een of meer personeelsleden te vestigen in een of meer lidstaten en of daartoe een lokaal kantoor moet worden opgezet. Alvorens een dergelijke beslissing te nemen, dient de uitvoerend directeur voorafgaande toestemming te verkrijgen van de Commissie, de raad van bestuur en de betrokken lidstaat of lidstaten. In het besluit van de uitvoerend directeur wordt het toepassingsgebied van de in dat lokale kantoor te verrichten activiteiten op zodanige wijze vastgelegd dat onnodige kosten en verdubbeling van administratieve functies van het Agentschap worden vermeden. Op technische locaties verrichte activiteiten worden niet in een lokaal kantoor verricht.

Artikel 25

Benoeming van de uitvoerend directeur

1.   Na een open en transparante selectieprocedure benoemt de raad van bestuur de uitvoerend directeur uit een lijst van ten minste drie door de Commissie voorgedragen kandidaten. De selectieprocedure houdt in dat in het Publicatieblad van de Europese Unie en in andere geschikte media een oproep tot het indienen van blijken van belangstelling wordt geplaatst. De raad van bestuur benoemt de uitvoerend directeur op grond van verdiensten, bewezen ervaring op het gebied van grootschalige IT-systemen, capaciteiten inzake bestuur, financiën en beheer, en kennis van gegevensbescherming.

2.   De door de Commissie voorgestelde kandidaten worden verzocht vóór de benoeming een verklaring af te leggen voor de bevoegde commissie of commissies van het Europees Parlement en vragen van de commissieleden te beantwoorden. Na het horen van de verklaring en de antwoorden op de vragen, spreekt het Europees Parlement bij advies een oordeel uit en kan het zijn voorkeur uitspreken voor een bepaalde kandidaat.

3.   De raad van bestuur benoemt de uitvoerend directeur, rekening houdend met deze oordelen.

4.   Indien de raad van bestuur besluit een andere kandidaat te benoemen dan de kandidaat voor wie het Europees Parlement zijn voorkeur heeft uitgesproken, laat de raad van bestuur het Europees Parlement en de Raad schriftelijk weten hoe met het advies van het Europees Parlement rekening is gehouden.

5.   De ambtstermijn van de uitvoerend directeur is vijf jaar. Aan het einde van deze termijn voert de Commissie een beoordeling uit waarbij rekening wordt gehouden met haar evaluatie van de door de uitvoerend directeur bereikte resultaten en de toekomstige taken en uitdagingen van het Agentschap.

6.   Op grond van een voorstel van de Commissie, waarin rekening wordt gehouden met de in lid 5 bedoelde beoordeling, kan de raad van bestuur de ambtstermijn van de uitvoerend directeur eenmaal verlengen met ten hoogste vijf jaar.

7.   De raad van bestuur stelt het Europees Parlement in kennis van zijn voornemen om de ambtstermijn van de uitvoerend directeur te verlengen. De uitvoerend directeur wordt verzocht om in de maand die aan een verlenging voorafgaat een verklaring af te leggen voor de bevoegde commissie of commissies van het Europees Parlement en vragen van de commissieleden te beantwoorden.

8.   Een uitvoerend directeur wiens ambtstermijn is verlengd, mag na afloop van de volledige termijn niet deelnemen aan een andere selectieprocedure voor hetzelfde ambt.

9.   De uitvoerend directeur kan uitsluitend uit zijn functie worden ontheven bij besluit van de raad van bestuur op voorstel van meerderheid van zijn stemgerechtigde leden of op voorstel van de Commissie.

10.   De raad van bestuur neemt besluiten over de benoeming van de uitvoerend directeur, de verlenging van diens ambtstermijn en de ontheffing van de uitvoerend directeur uit zijn functie met een tweederdemeerderheid van zijn stemgerechtigde leden.

11.   Voor het sluiten van de arbeidsovereenkomst met de uitvoerend directeur wordt het Agentschap vertegenwoordigd door de voorzitter van de raad van bestuur. De uitvoerend directeur wordt in dienst genomen als tijdelijke functionaris van het Agentschap overeenkomstig artikel 2, onder a), van de Regeling welke van toepassing is op de andere personeelsleden.

Artikel 26

Plaatsvervangend uitvoerend directeur

1.   De uitvoerend directeur wordt bijgestaan door een plaatsvervangend uitvoerend directeur. Deze laatste vervangt tevens de uitvoerend directeur bij diens afwezigheid. De uitvoerend directeur stelt de taken van de plaatsvervangend uitvoerend directeur vast.

2.   De raad van bestuur benoemt, op voorstel van de uitvoerend directeur, de plaatsvervangend uitvoerend directeur. De plaatsvervangend uitvoerend directeur wordt benoemd op grond van zijn verdiensten en passende bestuurlijke en leidinggevende vaardigheden, met inbegrip van relevante beroepservaring. De uitvoerend directeur stelt ten minste drie kandidaten voor de post van plaatsvervangend uitvoerend directeur voor. De raad van bestuur neemt zijn besluit met een tweederdemeerderheid van zijn stemgerechtigde leden. De raad van bestuur heeft de bevoegdheid om de plaatsvervangend uitvoerend directeur te ontslaan bij besluit dat wordt genomen met een tweederdemeerderheid van zijn stemgerechtigde leden.

3.   De ambtstermijn van de plaatsvervangend uitvoerend directeur bedraagt vijf jaar. De raad van bestuur kan deze ambtstermijn eenmaal verlengen met ten hoogste vijf jaar. De raad van bestuur neemt een dergelijk besluit met een tweederdemeerderheid van zijn stemgerechtigde leden.

Artikel 27

Adviesgroepen

1.   De volgende adviesgroepen verstrekken de raad van bestuur expertise inzake de grootschalige IT-systemen, in het bijzonder bij de opstelling van het jaarlijkse werkprogramma en van het jaarlijkse activiteitenverslag:

a)

de adviesgroep SIS II;

b)

de adviesgroep VIS;

c)

de adviesgroep Eurodac;

d)

de adviesgroep EES-Etias;

e)

elke andere adviesgroep betreffende een grootschalig IT-systeem, indien daarin is voorzien in de relevante Unierechtshandeling betreffende de ontwikkeling, de oprichting, de werking en het gebruik van dat grootschalige IT-systeem.

2.   De verschillende lidstaten die zijn gebonden door een Unierechtshandeling betreffende de ontwikkeling, de oprichting, de werking en het gebruik van een bepaald grootschalig IT-systeem, alsook de Commissie, benoemen elk één lid van de adviesgroep met betrekking tot dat grootschalig IT-systeem, voor een hernieuwbare termijn van vier jaar.

Denemarken benoemt eveneens een lid van de adviesgroep met betrekking tot een grootschalig IT-systeem, indien het op grond van artikel 4 van Protocol nr. 22 besluit de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde grootschalige IT-systeem in nationaal recht om te zetten.

Ieder land dat in het kader van een bepaald grootschalig IT-systeem bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, en bij de Dublin- en Eurodac-maatregelen is betrokken, benoemt een lid van de adviesgroep betreffende dat grootschalige IT-systeem.

3.   Europol en Eurojust en het Europees Grens- en kustwachtagentschap kunnen elk een vertegenwoordiger in de adviesgroep SIS II benoemen. Europol kan ook een vertegenwoordiger benoemen in de VIS adviesgroep, in de Eurodac adviesgroep en in de adviesgroep EES-Etias. Het Europees Grens- en kustwachtagentschap kan eveneens een vertegenwoordiger in de adviesgroep EES-Etias benoemen.

4.   De leden van de raad van bestuur en hun plaatsvervangers mogen geen lid zijn van een adviesgroep. De uitvoerend directeur of een vertegenwoordiger van de uitvoerend directeur kan alle vergaderingen van de adviesgroepen als waarnemer bijwonen.

5.   Adviesgroepen werken met elkaar samen wanneer dat nodig is. De procedures voor de werking van en de samenwerking tussen de adviesgroepen worden vastgelegd in het reglement van orde van het Agentschap.

6.   Bij het opstellen van een advies streven de leden van elke adviesgroep zo veel mogelijk naar consensus. Indien geen consensus wordt bereikt, geldt het gemotiveerde standpunt van de meerderheid van de leden als het advies van de adviesgroep. Het gemotiveerde minderheidsstandpunt of de gemotiveerde minderheidsstandpunten worden eveneens genotuleerd. Artikel 23, leden 3 en 5, is van overeenkomstige toepassing. De leden die landen vertegenwoordigen welke zijn betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en bij de Dublin- en de Eurodac-maatregelen, mogen hun mening kenbaar maken over onderwerpen ten aanzien waarvan zij niet stemgerechtigd zijn.

7.   Iedere lidstaat die en ieder land dat is betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en bij de Dublin- en de Eurodac-maatregelen faciliteert de werkzaamheden van de adviesgroepen.

8.   Artikel 21 is van overeenkomstige toepassing op het voorzitterschap van de adviesgroepen.

HOOFDSTUK IV

ALGEMENE BEPALINGEN

Artikel 28

Personeel

1.   Het Statuut en de voorschriften die in onderling overleg zijn vastgesteld door de instellingen van de Unie ter uitvoering van het Statuut, zijn van toepassing op het personeel van het Agentschap, met inbegrip van de uitvoerend directeur.

2.   Voor de toepassing van het Statuut geldt het Agentschap als een orgaan in de zin van artikel 1 bis, lid 2, van het Statuut van de ambtenaren.

3.   Het personeel van het Agentschap bestaat uit ambtenaren, tijdelijke functionarissen en arbeidscontractanten. Wanneer een arbeidsovereenkomst die de uitvoerend directeur wenst te verlengen, een overeenkomst van onbepaalde duur zou worden volgens de Regeling welke van toepassing is op de andere personeelsleden, verleent de raad van bestuur jaarlijks toestemming.

4.   Het Agentschap neemt geen tijdelijk personeel in dienst om taken te verrichten die als gevoelige financiële taken worden beschouwd.

5.   De Commissie en de lidstaten kunnen ambtenaren of nationale deskundigen voor een bepaalde duur bij het Agentschap detacheren. Bij besluit van de raad van bestuur worden de voorschriften vastgesteld voor de detachering van nationale deskundigen bij het Agentschap.

6.   Onverminderd artikel 17 van het Statuut van de ambtenaren, past het Agentschap de nodige voorschriften inzake het beroepsgeheim, of een gelijkwaardige geheimhoudingsplicht toe.

7.   De raad van bestuur stelt, met instemming van de Commissie, de noodzakelijke uitvoeringsmaatregelen vast als bedoeld in artikel 110 van het Statuut van de ambtenaren.

Artikel 29

Algemeen belang

De leden van de raad van bestuur, de uitvoerend directeur, de plaatsvervangend uitvoerend directeur, en de leden van de adviesgroepen verbinden zich ertoe in het algemeen belang te handelen. Zij leggen daartoe jaarlijks een schriftelijke publieke verklaring af, die op de website van het Agentschap wordt gepubliceerd.

De lijst van de leden van de raad van bestuur en de leden van de adviesgroepen wordt op de website van het Agentschap bekendgemaakt.

Artikel 30

Zetelovereenkomst en overeenkomsten inzake de technische locaties

1.   De noodzakelijke regelingen betreffende de huisvesting van het Agentschap in de lidstaten van vestiging en de voorzieningen die deze lidstaten moeten treffen, alsmede de bijzondere regels die in deze lidstaten van toepassing zijn op de leden van de raad van bestuur, de uitvoerend directeur, de andere personeelsleden van het Agentschap alsook op hun gezinsleden, worden vastgelegd in een overeenkomst inzake de zetel van het Agentschap en overeenkomsten inzake de technische locaties. Deze overeenkomsten worden tussen het Agentschap en de lidstaten van vestiging gesloten nadat goedkeuring van de raad van bestuur is verkregen.

2.   De lidstaten van vestiging van het Agentschap bieden de noodzakelijke voorwaarden voor de goede werking van het Agentschap, met inbegrip van, onder meer, meertalig, Europees gericht onderwijs en passende vervoersverbindingen.

Artikel 31

Voorrechten en immuniteiten

Het Protocol betreffende de voorrechten en immuniteiten van de Europese Unie is op het Agentschap van toepassing.

Artikel 32

Aansprakelijkheid

1.   De contractuele aansprakelijkheid van het Agentschap wordt beheerst door het recht dat op de betrokken overeenkomst van toepassing is.

2.   Het Hof van Justitie van de Europese Unie is bevoegd om uitspraak te doen krachtens arbitrageclausules in de door het Agentschap gesloten overeenkomsten.

3.   In geval van niet-contractuele aansprakelijkheid vergoedt het Agentschap in overeenstemming met de algemene beginselen die de rechtsstelsels van de lidstaten gemeen hebben, alle door zijn afdelingen of door zijn personeel bij de uitoefening van hun werkzaamheden veroorzaakte schade.

4.   Het Hof van Justitie van de Europese Unie is bevoegd voor geschillen over de vergoeding van de in lid 3 bedoelde schade.

5.   De persoonlijke aansprakelijkheid van de personeelsleden van het Agentschap jegens het Agentschap wordt beheerst door de op hen van toepassing zijnde bepalingen van het Statuut van de ambtenaren of de Regeling welke van toepassing is op de andere personeelsleden.

Artikel 33

Talenregeling

1.   Verordening nr. 1 van de Raad (46) is op het Agentschap van toepassing.

2.   Onverminderd hetgeen op grond van artikel 342 VWEU wordt besloten, worden het in artikel 19, lid 1, onder r), bedoelde enig programmeringsdocument en het in artikel 19, lid 1, onder t), bedoelde jaarlijkse activiteitenverslag in alle officiële talen van de instellingen van de Unie opgesteld.

3.   De raad van bestuur kan een besluit over de werktalen nemen, onverminderd de verplichtingen vervat in de leden 1 en 2.

4.   De vertalingen ten behoeve van het Agentschap worden gemaakt door het Vertaalbureau voor de organen van de Europese Unie.

Artikel 34

Transparantie en communicatie

1.   Verordening (EG) nr. 1049/2001 is van toepassing op de bij het Agentschap berustende documenten.

2.   Op basis van een voorstel van de uitvoerend directeur stelt de raad van bestuur onverwijld de nadere regels ter uitvoering van Verordening (EG) nr. 1049/2001 vast.

3.   Tegen een besluit van het Agentschap op grond van artikel 8 van Verordening (EG) nr. 1049/2001 kan, onder de in respectievelijk artikel 228 en artikel 263 VWEU bepaalde voorwaarden, een klacht worden ingediend bij de Europese Ombudsman dan wel een beroep worden ingesteld bij het Hof van Justitie van de Europese Unie.

4.   Het Agentschap voert een communicatiebeleid dat beantwoordt aan de Unierechtshandelingen betreffende de ontwikkeling, de oprichting, de werking en het gebruik van grootschalige IT-systemen en kan op eigen initiatief, binnen de grenzen van zijn bevoegdheden, communicatieactiviteiten ontplooien. Het Agentschap draagt er in het bijzonder zorg voor dat het publiek en alle belanghebbenden, in aanvulling op de in artikel 19, lid 1, onder r), t), ii), jj), kk) en ll), en artikel 47, lid 9, genoemde publicaties, snel objectieve, correcte, betrouwbare, volledige en begrijpelijke informatie omtrent zijn werkzaamheden ontvangen. De toewijzing van middelen voor communicatieactiviteiten mag geen afbreuk doen aan de daadwerkelijke uitvoering van de in de artikelen 3 tot en met 16 bedoelde taken van het Agentschap. De communicatieactiviteiten worden uitgevoerd in overeenstemming met de desbetreffende door de raad van bestuur vastgestelde communicatie- en verspreidingsplannen.

5.   Elke natuurlijke persoon of rechtspersoon heeft het recht zich schriftelijk in een van de officiële talen van de Unie tot het Agentschap te richten. De betrokken natuurlijke persoon of rechtspersoon heeft het recht een antwoord in dezelfde taal te ontvangen.

Artikel 35

Gegevensbescherming

1.   Verordening (EU) 2018/1725 is van toepassing op de verwerking van persoonsgegevens door het Agentschap.

2.   De raad van bestuur stelt maatregelen vast voor de toepassing van Verordening (EU) 2018/1725 door het Agentschap, met inbegrip van maatregelen betreffende de functionaris voor gegevensbescherming. Deze maatregelen worden vastgesteld na raadpleging van de Europese Toezichthouder voor gegevensbescherming.

Artikel 36

Doelen van de verwerking van persoonsgegevens

1.   Het Agentschap mag persoonsgegevens uitsluitend verwerken voor de volgende doelen:

a)

indien dit nodig is voor het uitvoeren van zijn taken in verband met het operationele beheer van grootschalige IT-systemen die krachtens het Unierecht aan het Agentschap zijn toevertrouwd;

b)

indien dit nodig is voor zijn administratieve taken.

2.   Wanneer het Agentschap persoonsgegevens verwerkt voor het in lid 1, onder a), van dit artikel genoemde doel, is Verordening (EU) 2018/1725 van toepassing, onverminderd de specifieke voorschriften inzake gegevensbescherming en -beveiliging die zijn vervat in de Unierechtshandelingen betreffende de ontwikkeling, de oprichting, de werking en het gebruik van de systemen.

Artikel 37

Beveiligingsvoorschriften voor de bescherming van gerubriceerde informatie en gevoelige niet-gerubriceerde informatie

1.   Het Agentschap stelt eigen veiligheidsvoorschriften vast op grond van de beginselen en regels die zijn vastgelegd in de veiligheidsvoorschriften van de Commissie voor de bescherming van gerubriceerde EU-informatie (EUCI) en gevoelige niet-gerubriceerde informatie, waaronder voorschriften betreffende de uitwisseling met derde landen, de verwerking en de opslag van dergelijke informatie, zoals omschreven in Besluiten (EU, Euratom) 2015/443 (47) en (EU, Euratom) 2015/444 (48) van de Commissie. Voor elke administratieve regeling inzake de uitwisseling van gerubriceerde informatie met de betrokken instanties van een derde land of, bij het ontbreken van een dergelijke regeling, voor elke uitzonderlijke ad-hocvrijgave van EUCI aan deze autoriteiten, is voorafgaande toestemming van de Commissie vereist.

2.   De in lid 1 van dit artikel bedoelde veiligheidsvoorschriften worden, na goedkeuring door de Commissie, door de raad van bestuur vastgesteld. Het Agentschap kan alle nodige maatregelen nemen om de uitwisseling van voor zijn taken relevante informatie met de Commissie en de lidstaten en, indien van toepassing, de relevante agentschappen van de Unie, te vergemakkelijken. Het Agentschap ontwikkelt en beheert een informatiesysteem voor de uitwisseling van gerubriceerde informatie met de Commissie, de lidstaten en de relevante agentschappen van de Unie overeenkomstig Besluit (EU, Euratom) 2015/444. De raad van bestuur bepaalt, in overeenstemming met artikel 2 en artikel 19, lid 1, onder z), van deze verordening de interne organisatie van het Agentschap die nodig is om aan de toepasselijke beveiligingsbeginselen te voldoen.

Artikel 38

Beveiliging van het Agentschap

1.   Het Agentschap handhaaft de veiligheid en de orde in de gebouwen en lokalen en op de terreinen die het gebruikt. Het Agentschap past de beveiligingsbeginselen en de relevante bepalingen van de Unierechtshandelingen betreffende de ontwikkeling, de oprichting, de werking en het gebruik van grootschalige IT-systemen toe.

2.   De lidstaten van vestiging treffen alle effectieve en passende maatregelen om de orde en de veiligheid in de onmiddellijke omgeving van de door het Agentschap gebruikte gebouwen, lokalen en terreinen te handhaven, en bieden het Agentschap, in overeenstemming met de zetelovereenkomst en de overeenkomsten inzake de technische locaties en de back-uplocaties, de nodige bescherming, met dien verstande dat zij de vrije toegang van de door het Agentschap gemachtigde personen tot de gebouwen, lokalen en terreinen waarborgen.

Artikel 39

Evaluatie

1.   Uiterlijk op 12 december 2023 en daarna om de vijf jaar beoordeelt de Commissie, na raadpleging van de raad van bestuur, overeenkomstig haar richtsnoeren de prestaties van het Agentschap met betrekking tot zijn doelstellingen, mandaat, locaties en taken. Die evaluatie betreft voorts een onderzoek naar de tenuitvoerlegging van de bepalingen van deze verordening en de wijze waarop en de mate waarin het Agentschap daadwerkelijk bijdraagt aan het operationele beheer van de grootschalige IT-systemen en aan de totstandbrenging van een gecoördineerde, kostenefficiënte en coherente IT-omgeving op het niveau van de Unie op het gebied van vrijheid, veiligheid en recht. Bij die evaluatie wordt in het bijzonder beoordeeld of het mandaat van het Agentschap moet worden gewijzigd en welke financiële gevolgen dergelijke wijzigingen hebben. De raad van bestuur kan aan de Commissie aanbevelingen doen over wijzigingen van deze verordening.

2.   Als de Commissie van oordeel is dat het voortbestaan van het Agentschap niet langer gerechtvaardigd is in het licht van zijn doelstellingen, mandaat en taken, kan zij voorstellen om deze verordening dienovereenkomstig te wijzigen of in te trekken.

3.   De Commissie brengt over de in lid 1 bedoelde bevindingen van de evaluaties verslag uit aan het Europees Parlement, aan de Raad en aan de raad van bestuur. De resultaten van de evaluatie worden openbaar gemaakt.

Artikel 40

Administratieve onderzoeken

De activiteiten van het Agentschap kunnen door de Europese Ombudsman worden onderzocht overeenkomstig artikel 228 VWEU.

Artikel 41

Samenwerking met instellingen, organen en instanties van de Unie

1.   Voor aangelegenheden die onder deze verordening vallen, werkt het Agentschap samen met de Commissie, andere instellingen van de Unie en andere organen en instanties van de Unie, met name die welke zijn ingesteld op het gebied van vrijheid, veiligheid en recht, en in het bijzonder het Bureau van de Europese Unie voor de grondrechten, om onder meer te zorgen voor coördinatie en besparingen op de uitgaven, om duplicatie te voorkomen en om synergie en complementariteit met betrekking tot hun activiteiten te bevorderen.

2.   Het Agentschap werkt samen met de Commissie in het kader van werkafspraken tot vaststelling van operationele werkmethoden.

3.   Indien nodig, raadpleegt het Agentschap het Europees Agentschap voor netwerk- en informatiebeveiliging en volgt het de aanbevelingen van dat agentschap met betrekking tot netwerk- en informatiebeveiliging op.

4.   De samenwerking met de organen en instanties van de Unie vindt plaats in het kader van werkafspraken. De raad van bestuur bekrachtigt deze afspraken, rekening houdend met het advies van de Commissie. Indien het Agentschap het advies van de Commissie niet volgt, licht het zijn redenen daarvoor toe. In deze werkafspraken kan erin worden voorzien dat meerdere agentschappen, binnen de grenzen van hun respectieve mandaten, onverlet hun kerntaken en waar dit gezien de nabijheid van de locaties of op basis van het beleidsgebied mogelijk is, gezamenlijk gebruikmaken van diensten. In dergelijke werkafspraken kan een mechanisme voor kostendekking worden vastgesteld.

5.   De instellingen, organen en instanties van de Unie gebruiken van het Agentschap ontvangen informatie uitsluitend binnen de grenzen van hun bevoegdheden en met inachtneming van de grondrechten, met inbegrip van de voorschriften inzake gegevensbescherming. Verdere doorgifte of andere communicatie van door het Agentschap verwerkte persoonsgegevens aan andere instellingen, organen en instanties van de Unie wordt afhankelijk gesteld van specifieke werkafspraken over de uitwisseling van persoonsgegevens en van voorafgaande toestemming door de Europese Toezichthouder voor gegevensbescherming. Elke doorgifte van persoonsgegevens door het Agentschap vindt plaats in overeenstemming met de artikelen 35 en 36. Wat de behandeling van gerubriceerde informatie betreft, houden dergelijke werkafspraken in dat de betrokken instelling of instantie of het betrokken orgaan van de Unie handelt volgens beveiligingsvoorschriften en -normen die gelijkwaardig zijn aan die welke door het Agentschap worden toegepast.

Artikel 42

Deelname van landen die zijn betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, en bij de Dublin- en Eurodac-maatregelen

1.   Het Agentschap staat open voor deelname van landen die met de Unie overeenkomsten hebben gesloten over hun betrokkenheid bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis, en bij de Dublin- en Eurodac-maatregelen.

2.   Krachtens de desbetreffende bepalingen van de in lid 1 bedoelde overeenkomsten worden regelingen getroffen betreffende met name de aard en de reikwijdte van, alsook de nadere regels voor, de deelname van landen als bedoeld in lid 1 aan de werkzaamheden van het Agentschap, met inbegrip van bepalingen inzake de financiële bijdragen, het personeel en de stemrechten.

Artikel 43

Samenwerking met internationale organisaties en andere relevante entiteiten

1.   Wanneer een Unierechtshandeling daarin voorziet en voor zover dit voor de uitvoering van zijn taken noodzakelijk is kan het Agentschap door het maken van werkafspraken betrekkingen aangaan en onderhouden met internationale organisaties en de daaronder ressorterende internationaal-publiekrechtelijke organen of andere relevante entiteiten of organen die zijn opgericht bij of krachtens een overeenkomst tussen twee of meer landen.

2.   Overeenkomstig lid 1 kunnen werkafspraken worden gemaakt waarin met name de werkingssfeer, de aard, het doel en de omvang van deze samenwerking worden gespecificeerd. Deze werkafspraken kunnen alleen met toestemming van de raad van bestuur worden gemaakt nadat ze vooraf door de Commissie zijn goedgekeurd.

HOOFDSTUK V

OPSTELLING EN STRUCTUUR VAN DE BEGROTING

AFDELING 1

Enig programmeringsdocument

Artikel 44

Enig programmeringsdocument

1.   Jaarlijks stelt de uitvoerend directeur in overeenstemming met de door de Commissie verstrekte richtsnoeren een enig programmeringsdocument op voor het volgende jaar, overeenkomstig artikel 32 van Gedelegeerde Verordening (EU) nr. 1271/2013 en de relevante bepaling van de krachtens artikel 49 van deze verordening vastgestelde financiële regels van het Agentschap.

Het enig programmeringsdocument bevat een meerjarenprogramma, een jaarlijks werkprogramma, alsmede de begroting van het Agentschap en informatie over zijn middelen, zoals uitvoerig beschreven in de krachtens artikel 49 vastgestelde financiële regels van het Agentschap.

2.   De raad van bestuur stelt elk jaar na raadpleging van de adviesgroepen het ontwerp van enig programmeringsdocument vast en zendt het uiterlijk 31 januari toe aan het Europees Parlement, aan de Raad en aan de Commissie; dit gebeurt ook met alle daarna bijgewerkte versies van dat document.

3.   De raad van bestuur stelt ieder jaar uiterlijk op 30 november met een tweederdemeerderheid van zijn stemgerechtigde leden het enig programmeringsdocument vast, overeenkomstig de jaarlijkse begrotingsprocedure en rekening houdend met het advies van de Commissie. De raad van bestuur ziet erop toe dat de definitieve versie van dit enig programmeringsdocument aan het Europees Parlement, aan de Raad en aan de Commissie wordt toegezonden en wordt bekendgemaakt.

4.   Het enig programmeringsdocument wordt definitief na de definitieve vaststelling van de algemene begroting van de Unie en wordt, indien nodig, dienovereenkomstig aangepast. Het vastgestelde enig programmeringsdocument wordt vervolgens aan het Europees Parlement, aan de Raad en aan de Commissie toegezonden en bekendgemaakt.

5.   In het jaarlijks werkprogramma voor het volgende jaar worden gedetailleerde doelstellingen en beoogde resultaten opgenomen, met inbegrip van prestatie-indicatoren. Het bevat ook een beschrijving van te financieren acties en een indicatie van de financiële en personele middelen die aan iedere actie worden toegewezen overeenkomstig de beginselen betreffende activiteitsgestuurd begroten en beheer. Het jaarlijkse werkprogramma is consistent met het in lid 6 bedoelde meerjarige werkprogramma. Het vermeldt duidelijk de taken die zijn toegevoegd, gewijzigd of geschrapt ten opzichte van het vorige begrotingsjaar. De raad van bestuur past het vastgestelde jaarlijkse werkprogramma aan wanneer het Agentschap een nieuwe taak krijgt toegewezen. Iedere wezenlijke wijziging van het jaarlijkse werkprogramma wordt vastgesteld door middel van dezelfde procedure als die welke voor het oorspronkelijke jaarlijkse werkprogramma geldt. De raad van bestuur kan aan de uitvoerend directeur de bevoegdheid delegeren om niet-wezenlijke wijzigingen door te voeren in het jaarlijkse werkprogramma.

6.   Het meerjarige programma omvat een beschrijving van de algemene strategische programmering, met inbegrip van doelstellingen, beoogde resultaten en prestatie-indicatoren. Het behelst ook de programmering van de middelen, met inbegrip van de meerjarige begroting en de personele middelen. Deze programmering van de middelen wordt jaarlijks bijgewerkt. De strategische programmering wordt in voorkomend geval geactualiseerd, met name om rekening te houden met de resultaten van de in artikel 39 bedoelde evaluatie.

Artikel 45

Opstelling van de begroting

1.   De uitvoerend directeur stelt jaarlijks, rekening houdend met de door het Agentschap verrichte werkzaamheden, een ontwerpraming op van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar, met inbegrip van een ontwerp van personeelsformatie, en dient deze in bij de raad van bestuur.

2.   De raad van bestuur stelt, op basis van een ontwerpraming van de uitvoerend directeur, een ontwerpraming van de ontvangsten en uitgaven van het Agentschap voor het volgende begrotingsjaar vast, met inbegrip van het ontwerp van personeelsformatie. Uiterlijk op 31 januari van elk jaar stuurt de raad van bestuur deze ontwerpen als onderdeel van het enig programmeringsdocument toe aan de Commissie en aan de landen die zijn betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en de Dublin- en Eurodac-maatregelen.

3.   De Commissie zendt de ontwerpraming, samen met het voorlopige ontwerp van algemene begroting van de Unie, toe aan de begrotingsautoriteit.

4.   Op basis van deze ontwerpraming neemt de Commissie de geraamde bedragen die zij nodig acht voor de personeelsformatie en het bedrag van de subsidie ten laste van de algemene begroting op in het ontwerp van algemene begroting van de Europese Unie, dat zij overeenkomstig de artikelen 313 en 314 VWEU voorlegt aan de begrotingsautoriteit.

5.   De begrotingsautoriteit keurt de kredieten voor de bijdrage aan het Agentschap goed.

6.   De begrotingsautoriteit stelt de personeelsformatie van het Agentschap vast.

7.   De raad van bestuur stelt de begroting van het Agentschap vast. De begroting wordt definitief wanneer de algemene begroting van de Unie definitief is vastgesteld. In voorkomend geval wordt de begroting van het Agentschap dienovereenkomstig aangepast.

8.   Dezelfde procedure als die welke van toepassing is op de vaststelling van de initiële begroting van het Agentschap wordt gevolgd in geval van wijziging van de begroting, ook als die betrekking heeft op de personeelsformatie.

9.   Onverminderd artikel 17, lid 5, stelt de raad van bestuur de begrotingsautoriteit zo spoedig mogelijk in kennis van de projecten, in het bijzonder onroerendgoedprojecten zoals de huur of aankoop van gebouwen, die hij voornemens is te realiseren en die aanzienlijke financiële gevolgen kunnen hebben voor de financiering van de begroting van het Agentschap. De raad van bestuur brengt de Commissie daarvan op de hoogte. Een tak van de begrotingsautoriteit die advies wil uitbrengen, stelt de raad van bestuur binnen twee weken na ontvangst van de informatie over het project in kennis van zijn voornemen een dergelijk advies uit te brengen. Bij gebreke van antwoord kan het Agentschap voortgaan met de uitvoering van het project. Gedelegeerde Verordening (EU) nr. 1271/2013 is van toepassing op alle bouwprojecten die significante gevolgen kunnen hebben voor de begroting van het Agentschap.

AFDELING 2

Inrichting, uitvoering en controle van de begroting

Artikel 46

Structuur van de begroting

1.   Voor elk begrotingsjaar, dat samenvalt met het kalenderjaar, worden alle ontvangsten en uitgaven van het Agentschap geraamd en in de begroting van het Agentschap opgenomen.

2.   De begroting van het Agentschap is sluitend met betrekking tot de ontvangsten en uitgaven.

3.   Onverminderd andere inkomsten bestaan de ontvangsten van het Agentschap uit:

a)

een in de algemene begroting van de Unie (afdeling Commissie) opgevoerde bijdrage van de Unie;

b)

een bijdrage van de landen die bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en de Dublin- en Eurodac-maatregelen zijn betrokken en deelnemen aan de werkzaamheden van het Agentschap als vastgesteld in de respectieve associatieovereenkomsten en in de in artikel 42 bedoelde regelingen, waarin hun financiële bijdrage wordt bepaald;

c)

financiering van de Unie in de vorm van delegatieovereenkomsten overeenkomstig de krachtens artikel 49 vastgestelde financiële regels van het Agentschap en de bepalingen van de relevante instrumenten ter ondersteuning van het beleid van de Unie;

d)

bijdragen die de lidstaten betalen voor de diensten die hun worden verleend overeenkomstig de in artikel 16 bedoelde delegatieovereenkomst;

e)

op organen en instanties van de Unie verhaalde kosten voor diensten die aan hen worden verleend overeenkomstig de in artikel 41 bedoelde werkafspraken, en

f)

eventuele vrijwillige financiële bijdragen van de lidstaten.

4.   De uitgaven van het Agentschap omvatten de bezoldiging van het personeel, uitgaven voor administratie en infrastructuur en werkingskosten.

Artikel 47

Uitvoering en controle van de begroting

1.   De uitvoerend directeur voert de begroting van het Agentschap uit.

2.   De uitvoerend directeur doet de begrotingsautoriteit jaarlijks alle relevante informatie over de resultaten van de evaluatieprocedures toekomen.

3.   De rekenplichtige van het Agentschap zendt de voorlopige rekeningen voor het begrotingsjaar N uiterlijk op 1 maart van het begrotingsjaar N+1 toe aan de rekenplichtige van de Commissie en aan de Rekenkamer. De voorlopige rekeningen van de instellingen en de gedecentraliseerde organen worden overeenkomstig artikel 245 van Verordening (EU, Euratom) 2018/1046 door de rekenplichtige van de Commissie geconsolideerd.

4.   De uitvoerend directeur zendt uiterlijk op 31 maart van het jaar N+1 een verslag over het budgettair en financieel beheer voor het jaar N toe aan het Europees Parlement, aan de Raad, aan de Commissie en aan de Rekenkamer.

5.   De rekenplichtige van de Commissie zendt de voorlopige rekeningen van het Agentschap voor het jaar N, die met de rekeningen van de Commissie zijn geconsolideerd, uiterlijk op 31 maart van het jaar N+1 aan de Rekenkamer toe.

6.   Overeenkomstig artikel 246 van Verordening (EG, Euratom) 2018/1046 maakt de uitvoerend directeur, na ontvangst van de opmerkingen van de Rekenkamer over de voorlopige rekeningen van het Agentschap, onder zijn eigen verantwoordelijkheid de definitieve rekeningen van het Agentschap op en legt hij deze voor advies aan de raad van bestuur voor.

7.   De raad van bestuur brengt een advies uit over de definitieve rekeningen van het Agentschap voor het jaar N.

8.   Uiterlijk op 1 juli van het jaar N+1 zendt de uitvoerend directeur de definitieve rekeningen, vergezeld van het advies van de raad van bestuur, toe aan het Europees Parlement, aan de Raad, aan de Commissie en aan de Rekenkamer, alsmede aan de landen die zijn betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis en de Dublin- en Eurodac-maatregelen.

9.   De definitieve rekeningen voor het jaar N worden uiterlijk op 15 november van het jaar N+1 bekendgemaakt in het Publicatieblad van de Europese Unie.

10.   De uitvoerend directeur dient uiterlijk op 30 september van het jaar N+1 een antwoord op de opmerkingen van de Rekenkamer in bij deze instelling. De uitvoerend directeur zendt het antwoord tevens toe aan de raad van bestuur.

11.   De uitvoerend directeur verstrekt het Europees Parlement op verzoek alle inlichtingen die nodig zijn voor het goede verloop van de kwijtingsprocedure voor het jaar N, overeenkomstig artikel 261, lid 3, van Verordening (EU, Euratom) 2018/1046.

12.   Vóór 15 mei van het jaar N+2 verleent het Europees Parlement op aanbeveling van de Raad, die met gekwalificeerde meerderheid van stemmen besluit, de uitvoerend directeur kwijting voor de uitvoering van de begroting van het begrotingsjaar N.

Artikel 48

Voorkoming van belangenconflicten

Het Agentschap stelt interne voorschriften vast op grond waarvan de leden van zijn raad van bestuur en zijn adviesgroepen en zijn personeelsleden gedurende hun dienst of ambtstermijn situaties dienen te vermijden die aanleiding kunnen geven tot belangenconflicten en zij deze situaties dienen te rapporteren. Die interne voorschriften worden op de website van het Agentschap bekendgemaakt.

Artikel 49

Financiële regels

De financiële regels die van toepassing zijn op het Agentschap worden vastgesteld door de raad van bestuur, na raadpleging van de Commissie. Deze financiële regels wijken niet af van de regels die zijn neergelegd in Gedelegeerde Verordening (EU) nr. 1271/2013, tenzij dit in verband met de werking van het Agentschap specifiek vereist is en de Commissie vooraf toestemming heeft verleend.

Artikel 50

Fraudebestrijding

1.   Met het oog op de bestrijding van fraude, corruptie en andere onwettige activiteiten zijn Verordening (EU, Euratom) nr. 883/2013 en Verordening (EU) 2017/1939 van toepassing.

2.   Het Agentschap treedt toe tot het Interinstitutioneel Akkoord van 25 mei 1999 betreffende de interne onderzoeken verricht door OLAF en stelt op basis van het model in de bijlage bij dat akkoord onmiddellijk passende regels op die op alle personeelsleden van het Agentschap van toepassing zijn.

3.   De Rekenkamer is bevoegd om audits te verrichten, op basis van documenten en verificaties ter plaatse, bij alle begunstigden, contractanten en subcontractanten die middelen van de Unie hebben ontvangen van het Agentschap.

4.   OLAF kan overeenkomstig de bepalingen en procedures van Verordening (EU, Euratom) nr. 883/2013 en Verordening (EG, Euratom) nr. 2185/96 van de Raad (49) onderzoeken instellen, met inbegrip van controles en verificaties ter plaatse, om vast te stellen of er sprake is geweest van fraude, corruptie of andere onwettige activiteiten in verband met een door het Agentschap gefinancierde subsidie of overeenkomst, waardoor de financiële belangen van de Unie zijn geschaad.

5.   Onverminderd de leden 1, 2, 3 en 4 bevatten contracten, subsidieovereenkomsten en subsidiebesluiten van het Agentschap bepalingen die de Rekenkamer, OLAF en het EOM uitdrukkelijk machtigen om dergelijke controles en onderzoeken te verrichten, overeenkomstig hun respectieve bevoegdheden.

HOOFDSTUK VI

WIJZIGING VAN ANDERE UNIERECHTSHANDELINGEN

Artikel 51

Wijziging van Verordening (EG) nr. 1987/2006

In Verordening (EG) nr. 1987/2006 worden de leden 2 en 3 van artikel 15 vervangen door:

„2.   De beheersautoriteit wordt belast met alle taken die betrekking hebben op de communicatie-infrastructuur, en met name:

a)

toezicht;

b)

beveiliging;

c)

coördinatie van de betrekkingen tussen de lidstaten en de dienstverlener;

d)

begrotingsuitvoeringstaken;

e)

aanschaf en vernieuwing, en

f)

contractuele aangelegenheden.”.

Artikel 52

Wijziging van Besluit 2007/533/JBZ

In Beschikking 2007/533/JBZ worden de leden 2 en 3 van artikel 15 vervangen door:

„2.   De beheersautoriteit wordt tevens belast met alle taken die betrekking hebben op de communicatie-infrastructuur, en met name:

a)

toezicht;

b)

beveiliging;

c)

coördinatie van de betrekkingen tussen de lidstaten en de dienstverlener;

d)

begrotingsuitvoeringstaken;

e)

aanschaf en vernieuwing, en

f)

contractuele aangelegenheden.”.

HOOFDSTUK VII

OVERGANGSBEPALINGEN

Artikel 53

Rechtsopvolging

1.   Het bij de onderhavige verordening opgerichte Agentschap is de rechtsopvolger ten aanzien van alle overeenkomsten gesloten door, financiële verplichtingen van en eigendommen verworven door het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht.

2.   De onderhavige verordening laat de rechtsgeldigheid onverlet van de overeenkomsten, werkafspraken en memoranda van overeenstemming die door het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap zijn gesloten, onverminderd eventuele wijzigingen daarvan die op grond van de onderhavige verordening vereist zijn.

Artikel 54

Overgangsregelingen betreffende de raad van bestuur en de adviesgroepen

1.   De leden van de raad van bestuur en de voorzitter en vicevoorzitter van de raad van bestuur, die respectievelijk op grond van de artikelen 13 en 14 van Verordening (EU) nr. 1077/2011 zijn benoemd, blijven hun functies gedurende de resterende duur van hun mandaat uitoefenen.

2.   De leden, de voorzitters en de vicevoorzitters van de adviesgroepen, die op grond van artikel 19 van Verordening (EU) nr. 1077/2011 zijn benoemd, blijven hun functies gedurende de resterende duur van hun mandaat uitoefenen.

Artikel 55

Het van kracht blijven van door de raad van bestuur vastgestelde interne voorschriften

De interne voorschriften en maatregelen die de raad van bestuur op grond van Verordening (EU) nr. 1077/2011 heeft vastgesteld, blijven van kracht na 11 december 2018, onverminderd eventuele wijzigingen daarvan die op grond van de onderhavige verordening vereist zijn.

Artikel 56

Overgangsbepalingen inzake de uitvoerend directeur

De directeur van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, die is benoemd op grond van artikel 18 van Verordening (EU) 1077/2011, vervult voor de resterende duur van zijn ambtstermijn de taken van uitvoerend directeur van het Agentschap als bepaald in artikel 24 van deze verordening. De overige voorwaarden in zijn overeenkomst blijven ongewijzigd. Indien vóór 11 december 2018 een besluit tot verlenging van de ambtstermijn van de uitvoerend directeur overeenkomstig artikel 18, lid 4, van Verordening (EU) nr. 1077/2011 wordt genomen, wordt de ambtstermijn automatisch verlengd tot en met 31 oktober 2022.

HOOFDSTUK VIII

SLOTBEPALINGEN

Artikel 57

Vervanging en intrekking

Verordening (EU) nr. 1077/2011 wordt vervangen ten aanzien van de door de onderhavige verordening gebonden lidstaten.

Verordening (EU) nr. 1077/2011 wordt derhalve ingetrokken.

Ten aanzien van de lidstaten die door de onderhavige verordening worden gebonden, gelden verwijzingen naar de ingetrokken verordening als verwijzingen naar de onderhavige verordening en worden zij gelezen volgens de concordantietabel in de bijlage bij deze verordening.

Artikel 58

Inwerkingtreding en toepasselijkheid

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Deze verordening is van toepassing met ingang van 11 december 2018. Evenwel zijn artikel 19, lid 1, onder x), artikel 24, lid 3, onder h) en i), en artikel 50, lid 5, van deze verordening, voor zover zij verwijzen naar het EOM, en artikel 50, lid 1, van deze verordening, voor zover het verwijst naar Verordening (EU) 2017/1939, van toepassing met ingang van de datum die bij besluit van de Commissie wordt vastgesteld op grond van artikel 120, lid 2, tweede alinea, van Verordening (EU) 2017/1939.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.

Gedaan te Straatsburg, 14 november 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

K. EDTSTADLER


(1)  Standpunt van het Europees Parlement van 5 juli 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 9 november 2018.

(2)  Verordening (EG) nr. 1987/2006 van het Europees Parlement en de Raad van 20 december 2006 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 381 van 28.12.2006, blz. 4).

(3)  Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).

(4)  Beschikking 2004/512/EG van de Raad van 8 juni 2004 betreffende het opzetten van het Visuminformatiesysteem (VIS) (PB L 213 van 15.6.2004, blz. 5).

(5)  Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad van 9 juli 2008 betreffende het Visuminformatiesysteem (VIS) en de uitwisseling tussen de lidstaten van gegevens op het gebied van visa voor kort verblijf (VIS-verordening) (PB L 218 van 13.8.2008, blz. 60).

(6)  Verordening (EG) nr. 2725/2000 van de Raad van 11 december 2000 betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (PB L 316 van 15.12.2000, blz. 1).

(7)  Verordening (EG) nr. 407/2002 van de Raad van 28 februari 2002 tot vaststelling van sommige uitvoeringsbepalingen voor Verordening (EG) nr. 2725/2000 betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (PB L 62 van 5.3.2002, blz. 1).

(8)  Verordening (EU) nr. 603/2013 van het Europees Parlement en van de Raad van 26 juni 2013 betreffende de instelling van „Eurodac” voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van Verordening (EU) nr. 604/2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend en betreffende verzoeken van rechtshandhavingsinstanties van de lidstaten en Europol om vergelijkingen van Eurodac-gegevens ten behoeve van rechtshandhaving, en tot wijziging van Verordening (EU) nr. 1077/2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 180 van 29.6.2013, blz. 1).

(9)  Verordening (EU) nr. 1077/2011 van het Europees Parlement en de Raad van 25 oktober 2011 tot oprichting van een Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (PB L 286 van 1.11.2011, blz. 1).

(10)  Besluit 2008/633/JBZ van de Raad van 23 juni 2008 over de toegang tot het Visuminformatiesysteem (VIS) voor raadpleging door aangewezen autoriteiten van de lidstaten en door Europol, met het oog op het voorkomen, opsporen en onderzoeken van terroristische misdrijven en andere ernstige strafbare feiten (PB L 218 van 13.8.2008, blz. 129).

(11)  Verordening (EU) 2017/2226 van het Europees Parlement en de Raad van 30 november 2017 tot instelling van een inreis-uitreissysteem (EES) voor de registratie van inreis- en uitreisgegevens en van gegevens over weigering van toegang ten aanzien van onderdanen van derde landen die de buitengrenzen van de lidstaten overschrijden en tot vaststelling van de voorwaarden voor toegang tot het EES voor rechtshandhavingsdoeleinden en tot wijziging van de overeenkomst ter uitvoering van het akkoord van Schengen en Verordeningen (EG) nr. 767/2008 en (EU) nr. 1077/2011 (PB L 327 van 9.12.2017, blz. 20).

(12)  Verordening (EG) nr. 1560/2003 van de Commissie van 2 september 2003 houdende uitvoeringsbepalingen van Verordening (EG) nr. 343/2003 van de Raad tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een asielverzoek dat door een onderdaan van een derde land bij een van de lidstaten wordt ingediend (PB L 222 van 5.9.2003, blz. 3).

(13)  Verordening (EU) 2018/1240 van het Europees Parlement en de Raad van 12 september 2018 tot oprichting van een Europees reisinformatie- en -autorisatiesysteem (Etias) en tot wijziging van de Verordeningen (EU) nr. 1077/2011, (EU) nr. 515/2014, (EU) 2016/399, (EU) 2016/1624 en (EU) 2017/2226 (PB L 236 van 19.9.2018, blz. 1).

(14)  Besluit nr. 922/2009/EG van het Europees Parlement en de Raad van 16 september 2009 inzake interoperabiliteitsoplossingen voor Europese overheidsdiensten (ISA) (PB L 280 van 3.10.2009, blz. 20).

(15)  Besluit (EU) 2015/2240 van het Europees Parlement en de Raad van 25 november 2015 tot vaststelling van een programma inzake interoperabiliteitsoplossingen en gemeenschappelijke kaders voor Europese overheidsdiensten, bedrijven en burgers (ISA2-programma) als middel om de overheidssector te moderniseren (PB L 318 van 4.12.2015, blz. 1).

(16)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(17)  Verordening (EU) nr. 1053/2013 van de Raad van 7 oktober 2013 betreffende de instelling van een evaluatiemechanisme voor de controle van en het toezicht op de toepassing van het Schengenacquis en houdende intrekking van het Besluit van 16 september 1998 tot oprichting van de Permanente Schengenbeoordelings- en toepassingscommissie (PB L 295 van 6.11.2013, blz. 27).

(18)  Verordening (EU) 2016/1624 van het Europees Parlement en de Raad van 14 september 2016 betreffende de Europese grens- en kustwacht, tot wijziging van Verordening (EU) 2016/399 van het Europees Parlement en de Raad en tot intrekking van Verordening (EG) nr. 863/2007 van het Europees Parlement en de Raad, Verordening (EG) nr. 2007/2004 van de Raad en Besluit 2005/267/EG van de Raad (PB L 251 van 16.9.2016, blz. 1).

(19)  Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad van 16 april 2014 tot vaststelling, als onderdeel van het Fonds voor interne veiligheid, van het instrument voor financiële steun voor de buitengrenzen en visa en tot intrekking van Beschikking nr. 574/2007/EG (PB L 150 van 20.5.2014, blz. 143).

(20)  PB C 373 van 20.12.2013, blz. 1.

(21)  Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad van 21 mei 2013 inzake het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa) en tot intrekking van Verordening (EG) nr. 460/2004 (PB L 165 van 18.6.2013, blz. 41).

(22)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (zie bladzijde 39 van dit Publicatieblad).

(23)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(24)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(25)  Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad van 11 september 2013 betreffende onderzoeken door het Europees Bureau voor fraudebestrijding (OLAF) en tot intrekking van Verordening (EG) nr. 1073/1999 van het Europees Parlement en de Raad en Verordening (Euratom) nr. 1074/1999 van de Raad (PB L 248 van 18.9.2013, blz. 1).

(26)  PB L 136 van 31.5.1999, blz. 15.

(27)  Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie („EOM”) (PB L 283 van 31.10.2017, blz. 1).

(28)  Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad van 29 februari 1968 tot vaststelling van het Statuut van de ambtenaren van de Europese Gemeenschappen en de Regeling welke van toepassing is op de andere personeelsleden van deze Gemeenschappen, alsmede van bijzondere maatregelen welke tijdelijk op de ambtenaren van de Commissie van toepassing zijn (PB L 56 van 4.3.1968, blz. 1).

(29)  Gedelegeerde Verordening (EU) nr. 1271/2013 van de Commissie van 30 september 2013 houdende de financiële kaderregeling van de organen, bedoeld in artikel 208 van Verordening (EU, Euratom) nr. 966/2012 van het Europees Parlement en de Raad (PB L 328 van 7.12.2013, blz. 42).

(30)  PB L 66 van 8.3.2006, blz. 38.

(31)  Besluit 2000/365/EG van de Raad van 29 mei 2000 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland deel te mogen nemen aan enkele van de bepalingen van het Schengenacquis (PB L 131 van 1.6.2000, blz. 43).

(32)  Besluit (EU) 2018/1600 van de Raad van 28 september 2018 betreffende het verzoek van het Verenigd Koninkrijk van Groot-Brittannië en Noord-Ierland om te mogen deelnemen aan enkele bepalingen van het Schengenacquis betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) (PB L 267 van 25.10.2018, blz. 3).

(33)  Besluit 2002/192/EG van de Raad van 28 februari 2002 betreffende het verzoek van Ierland deel te mogen nemen aan bepalingen van het Schengenacquis (PB L 64 van 7.3.2002, blz. 20).

(34)  PB L 176 van 10.7.1999, blz. 36.

(35)  Besluit 1999/437/EG van de Raad van 17 mei 1999 inzake bepaalde toepassingsbepalingen van de door de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen gesloten Overeenkomst inzake de wijze waarop deze twee staten worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 176 van 10.7.1999, blz. 31).

(36)  PB L 93 van 3.4.2001, blz. 40.

(37)  PB L 53 van 27.2.2008, blz. 52.

(38)  Besluit 2008/146/EG van de Raad van 28 januari 2008 betreffende de sluiting namens de Europese Gemeenschap van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (PB L 53 van 27.2.2008, blz. 1).

(39)  PB L 53 van 27.2.2008, blz. 5.

(40)  PB L 160 van 18.6.2011, blz. 21.

(41)  Besluit 2011/350/EU van de Raad van 7 maart 2011 betreffende de sluiting namens de Europese Unie van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis betreffende de afschaffing van controles aan de binnengrenzen en het verkeer van personen (PB L 160 van 18.6.2011, blz. 19).

(42)  PB L 160 van 18.6.2011, blz. 39.

(43)  Verordening (EU) nr. 604/2013 van het Europees Parlement en de Raad van 26 juni 2013 tot vaststelling van de criteria en instrumenten om te bepalen welke lidstaat verantwoordelijk is voor de behandeling van een verzoek om internationale bescherming dat door een onderdaan van een derde land of een staatloze bij een van de lidstaten wordt ingediend (PB L 180 van 29.6.2013, blz. 31).

(44)  Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven (PB L 261 van 6.8.2004, blz. 24).

(45)  Richtlijn (EU) 2016/681 van het Europees Parlement en de Raad van 27 april 2016 over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit (PB L 119 van 4.5.2016, blz. 132).

(46)  Verordening nr. 1 van de Raad van 15 april 1958 tot regeling van het taalgebruik in de Europese Economische Gemeenschap (PB 17 van 6.10.1958, blz. 385/58).

(47)  Besluit (EU, Euratom) 2015/443 van de Commissie van 13 maart 2015 betreffende veiligheid binnen de Commissie (PB L 72 van 17.3.2015, blz. 4).

(48)  Besluit (EU, Euratom) 2015/444 van de Commissie van 13 maart 2015 betreffende de veiligheidsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 72 van 17.3.2015, blz. 53).

(49)  Verordening (Euratom, EG) nr. 2185/96 van de Raad van 11 november 1996 betreffende de controles en verificaties ter plaatse die door de Commissie worden uitgevoerd ter bescherming van de financiële belangen van de Europese Gemeenschappen tegen fraudes en andere onregelmatigheden (PB L 292 van 15.11.1996, blz. 2).


BIJLAGE

CONCORDANTIETABEL

Verordening (EU) nr. 1077/2011

Deze verordening

 

 

Artikel 1, lid 1

Artikel 1, lid 1

Artikel 1, lid 2

Artikel 1, lid 2

Artikel 1, leden 3 en 4

Artikel 1, lid 3

Artikel 1, lid 5

Artikel 1, lid 4

Artikel 1, lid 6

Artikel 2

Artikel 2

Artikel 3

Artikel 3

Artikel 4

Artikel 4

Artikel 5

Artikel 5

Artikel 5 bis

Artikel 6

Artikel 7

Artikel 8

Artikel 6

Artikel 9

Artikel 10

Artikel 7, leden 1 en 2

Artikel 11, lid 1

Artikel 7, lid 3

Artikel 11, lid 2

Artikel 7, lid 4

Artikel 11, lid 3

Artikel 7, lid 5

Artikel 11, lid 4

Artikel 7, lid 6

Artikel 11, lid 5

Artikel 12

Artikel 13

Artikel 8, lid 1

Artikel 14, lid 1

Artikel 14, lid 2

Artikel 8, lid 2

Artikel 14, lid 3

Artikel 9, leden 1 en 2

Artikel 15, leden 1 en 2

Artikel 15, lid 3

Artikel 15, lid 4

Artikel 16

Artikel 10, leden 1 en 2

Artikel 17, leden 1 en 2

Artikel 10, lid 3

Artikel 24, lid 2

Artikel 10, lid 4

Artikel 17, lid 3

Artikel 17, lid 4

Artikel 17, lid 5

Artikel 11

Artikel 18

Artikel 12, lid 1

Artikel 19, lid 1

Artikel 19, lid 1, onder a)

Artikel 19, lid 1, onder b)

Artikel 12, lid 1, onder a)

Artikel 19, lid 1, onder c)

Artikel 12, lid 1, onder b)

Artikel 19, lid 1, onder d)

Artikel 12, lid 1, onder c)

Artikel 19, lid 1, onder e)

Artikel 19, lid 1, onder f)

Artikel 12, lid 1, onder d)

Artikel 19, lid 1, onder g)

Artikel 19, lid 1, onder h)

Artikel 19, lid 1, onder i)

Artikel 19, lid 1, onder j)

Artikel 19, lid 1, onder k)

Artikel 12, lid 1, onder e)

Artikel 19, lid 1, onder l)

Artikel 19, lid 1, onder m)

Artikel 12, lid 1, onder f)

Artikel 19, lid 1, onder n)

Artikel 12, lid 1, onder g)

Artikel 19, lid 1, onder o)

Artikel 19, lid 1, onder p)

Artikel 12, lid 1, onder h)

Artikel 19, lid 1, onder q)

Artikel 12, lid 1, onder i)

Artikel 19, lid 1, onder q)

Artikel 12, lid 1, onder j)

Artikel 19, lid 1, onder r)

Artikel 19, lid 1, onder s)

Artikel 12, lid 1, onder k)

Artikel 19, lid 1, onder t)

Artikel 12, lid 1, onder l)

Artikel 19, lid 1, onder u)

Artikel 12, lid 1, onder m)

Artikel 19, lid 1, onder v)

Artikel 12, lid 1, onder n)

Artikel 19, lid 1, onder w)

Artikel 12, lid 1, onder o)

Artikel 19, lid 1, onder x)

Artikel 19, lid 1, onder y)

Artikel 12, lid 1, onder p)

Artikel 19, lid 1, onder z)

Artikel 12, lid 1, onder q)

Artikel 19, lid 1, onder bb)

Artikel 12, lid 1, onder r)

Artikel 19, lid 1, onder cc)

Artikel 12, lid 1, onder s)

Artikel 19, lid 1, onder dd)

Artikel 12, lid 1, onder t)

Artikel 19, lid 1, onder ff)

Artikel 12, lid 1, onder u)

Artikel 19, lid 1, onder gg)

Artikel 12, lid 1, onder v)

Artikel 19, lid 1, onder hh)

Artikel 12, lid 1, onder w)

Artikel 19, lid 1, onder ii)

Artikel 12, lid 1, onder x)

Artikel 19, lid 1, onder jj)

Artikel 19, lid 1, onder ll)

Artikel 12, lid 1, onder y)

Artikel 19, lid 1, onder mm)

Artikel 12, lid 1, onder z)

Artikel 19, lid 1, onder nn)

Artikel 19, lid 1, onder oo)

Artikel 12, lid 1, onder aa)

Artikel 19, lid 1, onder pp)

Artikel 12, lid 1, onder sa)

Artikel 19, lid 1, onder ee)

Artikel 12, lid 1, onder xa)

Artikel 19, lid 1, onder kk)

Artikel 12, lid 1, onder za)

Artikel 19, lid 1, onder mm)

Artikel 19, lid 1, tweede alinea

Artikel 19, lid 2

Artikel 12, lid 2

Artikel 19, lid 3

Artikel 13, lid 1

Artikel 20, lid 1

Artikel 13, leden 2 en 3

Artikel 20, lid 2

Artikel 13, lid 4

Artikel 20, lid 3

Artikel 13, lid 5

Artikel 20, lid 4

Artikel 14, leden 1 en 3

Artikel 21, lid 1

Artikel 14, lid 2

Artikel 21, lid 2

Artikel 15, lid 1

Artikel 22, leden 1 en 3

Artikel 15, lid 2

Artikel 22, lid 2

Artikel 15, lid 3

Artikel 22, lid 5

Artikel 15, leden 4 en 5

Artikel 22, lid 4

Artikel 15, lid 6

Artikel 22, lid 6

Artikel 16, leden 1 tot en met 5

Artikel 23, leden 1 tot en met 5

Artikel 23, lid 6

Artikel 16, lid 6

Artikel 23, lid 7

Artikel 16, lid 7

Artikel 23, lid 8

Artikel 17, leden 1 en 4

Artikel 24, lid 1

Artikel 17, lid 2

Artikel 17, lid 3

Artikel 17, leden 5 en 6

Artikel 24, lid 3

Artikel 17, lid 5, onder a)

Artikel 24, lid 3, onder a)

Artikel 17, lid 5, onder b)

Artikel 24, lid 3, onder b)

Artikel 17, lid 5, onder c)

Artikel 24, lid 3, onder c)

Artikel 17, lid 5, onder d)

Artikel 24, lid 3, onder o)

Artikel 17, lid 5, onder e)

Artikel 22, lid 2

Artikel 17, lid 5, onder f)

Artikel 19, lid 2

Artikel 17, lid 5, onder g)

Artikel 24, lid 3, onder p)

Artikel 17, lid 5, onder h)

Artikel 24, lid 3, onder q)

Artikel 17, lid 6, onder a)

Artikel 24, lid 3, onder d) en onder g)

Artikel 17, lid 6, onder b)

Artikel 24, lid 3, onder k)

Artikel 17, lid 6, onder c)

Artikel 24, lid 3, onder d)

Artikel 17, lid 6, onder d)

Artikel 24, lid 3, onder l)

Artikel 17, lid 6, onder e)

Artikel 17, lid 6, onder f)

Artikel 17, lid 6, onder g)

Artikel 24, lid 3, onder r)

Artikel 17, lid 6, onder h)

Artikel 24, lid 3, onder s)

Artikel 17, lid 6, onder i)

Artikel 24, lid 3, onder t)

Artikel 17, lid 6, onder j)

Artikel 24, lid 3, onder v)

Artikel 17, lid 6, onder k)

Artikel 24, lid 3, onder u)

Artikel 17, lid 7

Artikel 24, lid 4

Artikel 24, lid 5

Artikel 18

Artikel 25

Artikel 18, lid 1

Artikel 25, leden 1 en 10

Artikel 18, lid 2

Artikel 25, leden 2, 3 en 4

Artikel 18, lid 3

Artikel 25, lid 5

Artikel 18, lid 4

Artikel 25, lid 6

Artikel 18, lid 5

Artikel 25, lid 7

Artikel 18, lid 6

Artikel 24, lid 1

Artikel 25, lid 8

Artikel 18, lid 7

Artikel 25, leden 9 en 10

Artikel 25, lid 11

Artikel 26

Artikel 19

Artikel 27

Artikel 20

Artikel 28

Artikel 20, leden 1 en 2

Artikel 28, leden 1 en 2

Artikel 20, lid 3

Artikel 20, lid 4

Artikel 28, lid 3

Artikel 20, lid 5

Artikel 28, lid 4

Artikel 20, lid 6

Artikel 28, lid 5

Artikel 20, lid 7

Artikel 28, lid 6

Artikel 20, lid 8

Artikel 28, lid 7

Artikel 21

Artikel 29

Artikel 22

Artikel 30

Artikel 23

Artikel 31

Artikel 24

Artikel 32

Artikel 25, leden 1 en 2

Artikel 33, leden 1 en 2

Artikel 33, lid 3

Artikel 25, lid 3

Artikel 33, lid 4

Artikelen 26 en 27

Artikel 34

Artikel 28, lid 1

Artikel 35, lid 1, en artikel 36, lid 2

Artikel 28, lid 2

Artikel 35, lid 2

Artikel 36, lid 1

Artikel 29, leden 1 en 2

Artikel 37, lid 1

Artikel 29, lid 3

Artikel 37, lid 2

Artikel 30

Artikel 38

Artikel 31, lid 1

Artikel 39, lid 1

Artikel 31, lid 2

Artikel 39, leden 1 en 3

Artikel 39, lid 2

Artikel 40

Artikel 41

Artikel 43

Artikel 44

Artikel 32, lid 1

Artikel 46, lid 3

Artikel 32, lid 2

Artikel 46, lid 4

Artikel 32, lid 3

Artikel 46, lid 2

Artikel 32, lid 4

Artikel 45, lid 2

Artikel 32, lid 5

Artikel 45, lid 2

Artikel 32, lid 6

Artikel 44, lid 2

Artikel 32, lid 7

Artikel 45, lid 3

Artikel 32, lid 8

Artikel 45, lid 4

Artikel 32, lid 9

Artikel 45, leden 5 en 6

Artikel 32, lid 10

Artikel 45, lid 7

Artikel 32, lid 11

Artikel 45, lid 8

Artikel 32, lid 12

Artikel 45, lid 9

Artikel 33, leden 1 tot en met 4

Artikel 47, leden 1 tot en met 4

Artikel 47, lid 5

Artikel 33, lid 5

Artikel 47, lid 6

Artikel 33, lid 6

Artikel 47, lid 7

Artikel 33, lid 7

Artikel 47, lid 8

Artikel 33, lid 8

Artikel 47, lid 9

Artikel 33, lid 9

Artikel 47, lid 10

Artikel 33, lid 10

Artikel 47, lid 11

Artikel 33, lid 11

Artikel 47, lid 12

Artikel 48

Artikel 34

Artikel 49

Artikel 35, leden 1 en 2

Artikel 50, leden 1 en 2

Artikel 50, lid 3

Artikel 35, lid 3

Artikel 50, leden 4 en 5

Artikel 36

Artikel 37

Artikel 42

Artikel 51

Artikel 52

Artikel 53

Artikel 54

Artikel 55

Artikel 56

Artikel 57

Artikel 38

Artikel 58

Bijlage


21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/138


VERORDENING (EU) 2018/1727 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 14 november 2018

betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 85,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

Eurojust is bij Besluit 2002/187/JBZ van de Raad (2) opgericht als een orgaan van de Unie met rechtspersoonlijkheid, met als doel de coördinatie en de samenwerking tussen de bevoegde justitiële autoriteiten van de lidstaten te bevorderen en te verbeteren, met name in verband met ernstige georganiseerde misdaad. Het rechtskader van Eurojust is gewijzigd bij Besluiten 2003/659/JBZ (3) en 2009/426/JBZ (4) van de Raad.

(2)

Artikel 85 van het Verdrag betreffende de werking van de Europese Unie (VWEU) bepaalt dat nadere regelingen over Eurojust bij verordening worden vastgesteld volgens de gewone wetgevingsprocedure. Het vereist ook dat wordt bepaald op welke wijze het Europees Parlement en de nationale parlementen bij de evaluatie van de activiteiten van Eurojust worden betrokken.

(3)

Artikel 85 VWEU bepaalt ook dat de opdracht van Eurojust bestaat uit het ondersteunen en versterken van de coördinatie en de samenwerking tussen de nationale autoriteiten die belast zijn met het onderzoek naar en de vervolging van ernstige criminaliteit die twee of meer lidstaten schaadt of vervolging op gemeenschappelijke gronden vereist, op basis van de door de autoriteiten van de lidstaten en door het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) verrichte operaties en verstrekte informatie.

(4)

Deze verordening strekt ertoe de bepalingen van Besluit 2002/187/JBZ te wijzigen en te verruimen. Aangezien de door te voeren wijzigingen talrijk en ingrijpend zijn, dient Besluit 2002/187/JBZ ter wille van de duidelijkheid in zijn geheel te worden vervangen met betrekking tot de door deze verordening gebonden lidstaten.

(5)

Aangezien het Europees Openbaar Ministerie (EOM) is ingesteld door middel van nauwere samenwerking, is Verordening (EU) 2017/1939 van de Raad (5) verbindend in al haar onderdelen en alleen rechtstreeks van toepassing in lidstaten die deelnemen aan de nauwere samenwerking. Daarom blijft Eurojust voor de lidstaten die niet deelnemen aan het EOM volledig bevoegd voor vormen van ernstige criminaliteit die in bijlage I bij deze verordening zijn vermeld.

(6)

Artikel 4, lid 3, van het Verdrag betreffende de Europese Unie (VEU) herinnert aan het beginsel van loyale samenwerking, op grond waarvan de Unie en de lidstaten elkaar met volledig wederzijds respect steunen bij de vervulling van de taken die uit VEU en VWEU voortvloeien.

(7)

Om samenwerking tussen Eurojust en het EOM te vergemakkelijken, moet Eurojust de kwesties die van belang zijn voor het EOM behandelen.

(8)

In het licht van de instelling van het EOM middels nauwere samenwerking moet de verdeling van de bevoegdheden tussen het EOM en Eurojust met betrekking tot strafbare feiten die de financiële belangen van de Unie schaden duidelijk worden vastgesteld. Vanaf de datum waarop het EOM zijn taken op zich neemt, moet Eurojust zijn bevoegdheid kunnen uitoefenen met betrekking tot strafbare feiten waarvoor het EOM bevoegd is, wanneer die strafbare feiten betrekking hebben op zowel lidstaten die deelnemen aan de nauwere samenwerking bij de instelling van het EOM als lidstaten die niet aan die nauwere samenwerking deelnemen. In dergelijke gevallen dient Eurojust te handelen op verzoek van de niet-deelnemende lidstaten of op verzoek van het EOM. Eurojust blijft in elk geval bevoegd voor strafbare feiten die de financiële belangen van de Unie schaden in gevallen waarin het EOM niet bevoegd is of weliswaar bevoegd is, maar deze bevoegdheid niet uitoefent. De lidstaten die niet deelnemen aan de nauwere samenwerking bij de instelling van het EOM kunnen de hulp van Eurojust blijven inroepen in alle zaken die betrekking hebben op strafbare feiten die de financiële belangen van de Unie schaden. Het EOM en Eurojust moeten een nauwe operationele samenwerking opzetten overeenkomstig hun respectieve mandaten.

(9)

Om Eurojust in staat te stellen zijn taken te vervullen en zijn volledige potentieel te ontwikkelen op het gebied van de bestrijding van ernstige grensoverschrijdende criminaliteit, dienen zijn operationele taken te worden versterkt door de administratieve werklast voor de nationale leden te verminderen, en dient de Europese dimensie van Eurojust te worden versterkt door deelname van de Commissie aan de raad van bestuur en door een grotere betrokkenheid van het Europees Parlement en de nationale parlementen bij de evaluatie van zijn activiteiten.

(10)

Daarom dienen bij deze verordening regelingen voor parlementaire betrokkenheid te worden vastgesteld, waarbij de structuur van Eurojust wordt gemoderniseerd en zijn huidige rechtskader wordt vereenvoudigd, met behoud van de elementen die efficiënt zijn gebleken voor de werking van Eurojust.

(11)

De vormen van ernstige criminaliteit die twee of meer lidstaten schaden, waarvoor Eurojust bevoegd is, dienen duidelijk te worden vastgesteld. Daarnaast moet worden bepaald welke zaken die geen betrekking hebben op twee of meer lidstaten, toch een vervolging op gemeenschappelijke basis vereisen. Daarbij kan het onder meer gaan om onderzoeken en vervolgingen waarbij slechts een lidstaat en een derde land betrokken zijn, wanneer met dat derde land een overeenkomst is gesloten of wanneer er mogelijk een specifieke behoefte is om Eurojust bij de zaak te betrekken. Die vervolging kan ook betrekking hebben op zaken die één lidstaat betreffen, maar ook gevolgen hebben op het niveau van de Unie.

(12)

Bij de uitoefening van zijn operationele taken met betrekking tot concrete strafzaken dient Eurojust op verzoek van de bevoegde autoriteiten van de lidstaten of op eigen initiatief, te handelen door middel van een of meer van de nationale leden dan wel als college. Door op eigen initiatief te handelen kan Eurojust een meer proactieve rol spelen bij het coördineren van zaken, bijvoorbeeld door de nationale autoriteiten te ondersteunen bij hun onderzoeken en vervolgingen. Dit kan onder meer door lidstaten die mogelijk niet in eerste instantie bij het dossier zijn betrokken, bij de zaak te betrekken, en door verbanden tussen dossiers te leggen op basis van de informatie die het van Europol, het Europees Bureau voor fraudebestrijding (OLAF), het EOM en de nationale autoriteiten ontvangt. Dit stelt Eurojust ook in staat richtsnoeren, beleidsdocumenten en analyses in verband met zaken te publiceren, als onderdeel van zijn strategische werkzaamheden.

(13)

Op verzoek van een bevoegde autoriteit van een lidstaat of van de Commissie moet het ook mogelijk zijn voor Eurojust om bijstand te verlenen bij onderzoeken waarbij alleen die lidstaat betrokken is, maar die gevolgen hebben op Unieniveau. Voorbeelden van dergelijke onderzoeken zijn zaken waarbij een lid van een instelling of orgaan van de Unie betrokken is. Deze onderzoeken omvatten tevens zaken waarbij een aanzienlijk aantal lidstaten betrokken is en die mogelijk een gecoördineerde Europese respons vereisen.

(14)

De schriftelijke adviezen van Eurojust zijn niet verbindend voor de lidstaten, maar moeten worden opgevolgd overeenkomstig deze verordening.

(15)

Om ervoor te zorgen dat Eurojust grensoverschrijdende onderzoeken passend kan ondersteunen en coördineren, is het nodig dat alle nationale leden dezelfde noodzakelijke operationele bevoegdheden hebben ten aanzien van hun lidstaat en in overeenstemming met het nationale recht van die lidstaat, zodat zij op een meer samenhangende en doeltreffende wijze kunnen samenwerken, zowel onderling als met de nationale autoriteiten. Aan de nationale leden moeten de bevoegdheden worden verleend waarmee Eurojust zijn opdracht naar behoren kan uitvoeren. Die bevoegdheden zijn onder meer het toegang krijgen tot relevante informatie in de nationale openbare registers, het rechtstreeks contact opnemen en uitwisselen van informatie met de bevoegde autoriteiten en het deelnemen aan gemeenschappelijke onderzoeksteams. De nationale leden kunnen, in overeenstemming met hun nationale recht, de bevoegdheden behouden die uit hun rol van nationale autoriteiten voortvloeien. De nationale leden kunnen in samenspraak met de bevoegde nationale autoriteit of in dringende gevallen tevens onderzoeksmaatregelen en gecontroleerde afleveringen bevelen, en verzoeken om wederzijdse rechtsbijstand of wederzijdse erkenning indienen en ten uitvoer leggen. Aangezien die bevoegdheden in overeenstemming met het nationale recht moeten worden uitgeoefend, dienen de rechtscolleges van de lidstaten bevoegd te zijn zich over die maatregelen uit te spreken overeenkomstig de in het nationaal recht vastgelegde voorschriften en procedures.

(16)

Het is noodzakelijk Eurojust uit te rusten met een bestuurs- en beheersstructuur waarmee het zijn taken op een meer doeltreffende wijze kan uitvoeren, die in overeenstemming is met de beginselen die voor de agentschappen van de Unie gelden, en de grondrechten en fundamentele vrijheden volledig eerbiedigt, zonder afbreuk te doen aan de speciale kenmerken van Eurojust en zonder dat dit ten koste gaat van zijn onafhankelijkheid bij de uitoefening van zijn operationele taken. Daartoe dienen de functies van de nationale leden, het college en de administratief directeur te worden verduidelijkt en dient een raad van bestuur te worden ingesteld.

(17)

Er dienen bepalingen te worden vastgesteld waarin een duidelijk onderscheid wordt gemaakt tussen de operationele en de beheerstaken van het college, hetgeen de administratieve lasten voor de nationale leden tot een minimum moet beperken zodat de nadruk op de operationele werkzaamheden van Eurojust komt te liggen. De beheerstaken van het college bestaan onder meer in de goedkeuring van de werkprogramma’s, de begroting en het jaarlijkse activiteitenverslag van Eurojust, alsmede van de werkafspraken die Eurojust met de partners sluit. Het college dient de bevoegdheden van de aanstellingsautoriteit uit te oefenen met betrekking tot de administratief directeur. Het college dient tevens het reglement van orde van Eurojust vast te stellen. Aangezien dat reglement van orde gevolgen voor de justitiële activiteiten van de lidstaten kan hebben, moeten aan de Raad uitvoeringsbevoegdheden tot goedkeuring van dat reglement worden verleend.

(18)

Om het beheer van Eurojust te verbeteren en de procedures te stroomlijnen, dient een raad van bestuur te worden ingesteld die het college in zijn beheerstaken bijstaat en zorgt voor gestroomlijnde besluitvorming inzake niet-operationele en strategische kwesties.

(19)

De Commissie dient vertegenwoordigd te zijn in het college wanneer het zijn beheerstaken uitoefent. De vertegenwoordiger van de Commissie in het college moet ook de vertegenwoordiger van de Commissie in de raad van bestuur zijn, om het niet-operationele toezicht van Eurojust te waarborgen en Eurojust van de strategische aansturing te voorzien.

(20)

Om te zorgen voor een efficiënt dagelijks bestuur van Eurojust, dient de administratief directeur ook de wettelijke vertegenwoordiger en beheerder van Eurojust te zijn, die verantwoording verschuldigd is aan het college. De administratief directeur dient de besluiten van het college en de raad van bestuur voor te bereiden en uit te voeren. De administratief directeur moet worden benoemd op grond van verdiensten en gedocumenteerde bestuurlijke en leidinggevende vaardigheden, alsook op basis van relevante deskundigheid en ervaring.

(21)

Het college dient uit de nationale leden een voorzitter en twee vicevoorzitters van Eurojust te kiezen voor een ambtstermijn van vier jaar. Wanneer een nationaal lid tot voorzitter wordt verkozen, moet de betrokken lidstaat een andere voldoende gekwalificeerde persoon kunnen afvaardigen naar het nationale bureau en een verzoek tot vergoeding uit de begroting van Eurojust kunnen indienen.

(22)

Voldoende gekwalificeerde personen zijn personen die over de noodzakelijke kwalificaties en ervaring beschikken om de taken uit te voeren die nodig zijn voor het doeltreffend functioneren van het nationaal bureau. Zij kunnen het statuut van adjunct of medewerker van het tot voorzitter verkozen nationaal lid hebben of een voornamelijk administratieve of technische functie bekleden. Elke lidstaat moet in dit verband over zijn eigen voorwaarden kunnen besluiten.

(23)

Quorumvoorschriften en stemprocedures moeten in het reglement van orde van Eurojust worden vastgelegd. In uitzonderlijke gevallen, wanneer het nationale lid en zijn adjunct afwezig zijn, moet de medewerker van het betrokken nationale lid in het college kunnen stemmen, mits deze medewerker het statuut heeft van een magistraat, zijnde een openbaar aanklager, rechter of vertegenwoordiger van een justitiële autoriteit.

(24)

Aangezien het vergoedingsmechanisme gevolgen heeft voor de begroting, dienen bij deze verordening aan de Raad uitvoeringsbevoegdheden tot vaststelling van dat mechanisme te worden verleend.

(25)

Binnen Eurojust moet een oproepcoördinatiemechanisme worden opgezet om Eurojust efficiënter en permanent beschikbaar te maken en dit orgaan in staat te stellen in dringende gevallen op te treden. De lidstaten moeten ervoor zorgen dat hun vertegenwoordigers in het oproepcoördinatiemechanisme 24 uur per dag en zeven dagen per week inzetbaar zijn.

(26)

In de lidstaten moeten nationale coördinatiesystemen voor Eurojust worden opgezet om de werkzaamheden te coördineren van de nationale correspondenten voor Eurojust, de nationale correspondent voor terrorismebestrijding, de nationale correspondenten voor aangelegenheden waarvoor het EOM bevoegd is, de nationale correspondent voor het Europees justitieel netwerk en maximaal drie andere contactpunten, alsmede van vertegenwoordigers in het netwerk voor gemeenschappelijke onderzoeksteams en vertegenwoordigers van de netwerken die zijn opgezet bij Besluiten 2002/494/JBZ (6), 2007/845/JBZ (7) en 2008/852/JBZ (8) van de Raad. De lidstaten kunnen besluiten dat een of meer van deze taken door dezelfde nationale correspondent moeten worden verricht.

(27)

Om de coördinatie en de samenwerking tussen nationale onderzoeks- en vervolgingsautoriteiten te kunnen stimuleren en versterken, is het van cruciaal belang dat Eurojust van de nationale autoriteiten de informatie krijgt die nodig is voor de uitvoering van zijn taken. Daartoe dienen de bevoegde nationale autoriteiten hun nationale leden onverwijld te informeren over het opzetten van gemeenschappelijke onderzoeksteams en de resultaten daarvan. De bevoegde nationale autoriteiten moeten de nationale leden ook onverwijld informeren over zaken die onder de bevoegdheid van Eurojust vallen en waarbij ten minste drie lidstaten rechtstreeks betrokken zijn en waarvoor verzoeken of besluiten inzake justitiële samenwerking naar ten minste twee lidstaten zijn gestuurd. In bepaalde omstandigheden moeten zij ook de nationale leden inlichten over jurisdictiegeschillen, gecontroleerde afleveringen en herhaalde problemen op het gebied van justitiële samenwerking.

(28)

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (9) bevat geharmoniseerde bepalingen inzake de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde te waarborgen dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau wordt gewaarborgd door middel van in rechte afdwingbare rechten en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen Eurojust en bevoegde autoriteiten in de lidstaten hinderen, dienen de bepalingen betreffende de bescherming en het vrije verkeer van door Eurojust verwerkte operationele persoonsgegevens te stroken met Richtlijn (EU) 2016/680.

(29)

De algemene bepalingen van het afzonderlijke hoofdstuk van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (10) inzake de verwerking van operationele persoonsgegevens dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke gegevensbeschermingsbepalingen van deze verordening. Dergelijke specifieke bepalingen moeten worden beschouwd als een lex specialis ten opzichte van de bepalingen in dat hoofdstuk van Verordening (EU) 2018/1725 (lex specialis derogat legi generali). Om juridische versnippering te verminderen, dienen de specifieke gegevensbeschermingsbepalingen van deze verordening in overeenstemming te zijn met de beginselen die ten grondslag liggen aan dat hoofdstuk van Verordening (EU) 2018/1725, alsook met de bepalingen van die verordening die betrekking hebben op onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(30)

De bescherming van de rechten en vrijheden van de betrokkenen vereist dat de verdeling van verantwoordelijkheden voor gegevensbescherming op grond van deze verordening duidelijk wordt vastgesteld. De lidstaten moeten verantwoordelijk zijn voor de nauwkeurigheid van de gegevens die zij aan Eurojust hebben overgedragen en die Eurojust ongewijzigd heeft verwerkt en voor het actualiseren van die gegevens met het oog op de rechtmatigheid van de doorgifte van die gegevens aan Eurojust. Eurojust dient verantwoordelijk te zijn voor de nauwkeurigheid van de gegevens die door andere partijen worden verstrekt of die voortvloeien uit eigen analyses van Eurojust, en voor het actualiseren daarvan. Eurojust dient ervoor te zorgen dat gegevens eerlijk en rechtmatig worden verwerkt en worden verzameld en verwerkt voor een specifiek doel. Eurojust dient er ook voor te zorgen dat de gegevens adequaat en relevant zijn, in verhouding staan tot het doel waarvoor ze worden verwerkt, niet langer worden opgeslagen dan noodzakelijk is voor het beoogde doel, en worden verwerkt op een wijze die een passende beveiliging van persoonsgegevens en de vertrouwelijkheid van de gegevensverwerking garandeert.

(31)

Het reglement van orde van Eurojust dient passende waarborgen te bevatten voor de opslag van operationele persoonsgegevens in het algemeen belang of voor statistische doeleinden.

(32)

Een betrokkene moet het recht op toegang als bedoeld in Verordening (EU) 2018/1725 kunnen uitoefenen met betrekking tot zijn operationele gegevens die door Eurojust worden verwerkt. Daartoe kan de betrokkene met redelijke tussenpozen kosteloos een dergelijk verzoek indienen bij Eurojust of bij de nationale toezichthoudende autoriteit in de door de betrokkene gekozen lidstaat.

(33)

De toepasselijke regels inzake de ontvankelijkheid van persoonsgegevens als bewijs in een strafrechtelijk vooronderzoek en in strafrechtelijke procedures worden onverlet gelaten door de gegevensbeschermingsbepalingen van deze verordening.

(34)

Elke verwerking van persoonsgegevens door Eurojust, in het kader van zijn bevoegdheid, met het oog op de uitvoering van zijn taken dient te worden aangemerkt als verwerking van operationele persoonsgegevens.

(35)

Aangezien Eurojust ook administratieve persoonsgegevens verwerkt, die geen verband houden met strafrechtelijke onderzoeken, dient de verwerking van dergelijke gegevens onderworpen te zijn aan de algemene bepalingen van Verordening (EU) 2018/1725 .

(36)

Indien de lidstaat operationele persoonsgegevens doorgeeft of verstrekt aan Eurojust, dienen de bevoegde autoriteit, het nationale lid, alsmede de nationale correspondent van Eurojust het recht te hebben om te verzoeken dat die operationele persoonsgegevens worden gerectificeerd of gewist.

(37)

Voor het aantonen van overeenstemming met deze verordening dient Eurojust of de gemachtigde verwerker een register bij te houden van alle categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Eurojust en iedere gemachtigde verwerker dienen ertoe te worden verplicht met de Europese Toezichthouder voor gegevensbescherming (de „EDPS”) samen te werken en hem desgevraagd dat register te verstrekken zodat hij het kan gebruiken om op die verwerkingen toe te zien. Eurojust en zijn gemachtigde verwerker die persoonsgegevens verwerken in systemen voor niet-geautomatiseerde verwerking dienen te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de verwerking aan te tonen, om interne controle mogelijk te maken en om de integriteit en de beveiliging van gegevens te waarborgen.

(38)

De raad van bestuur van Eurojust dient onder het bestaande personeel een functionaris voor gegevensbescherming aan te wijzen. De persoon die wordt aangewezen als functionaris voor gegevensbescherming moet een speciale opleiding hebben genoten op het gebied van de wetgeving en praktijk inzake gegevensbescherming, om over de juiste deskundigheid op dit gebied te beschikken. Het vereiste expertiseniveau dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door Eurojust verwerkte persoonsgegevens wordt vereist.

(39)

De EDPS moet verantwoordelijk zijn voor de controle op en de volledige toepassing van de gegevensbeschermingsbepalingen van deze verordening met betrekking tot de verwerking van operationele persoonsgegevens door Eurojust. Aan de EDPS moet de bevoegdheden worden verleend om deze taak effectief te vervullen. De EDPS moet het recht hebben om Eurojust te raadplegen over ingediende verzoeken, om zaken door te verwijzen naar Eurojust om de naar voren gekomen problemen in verband met de verwerking van operationele persoonsgegevens op te lossen, om voorstellen te doen om de bescherming van de betrokkenen te verbeteren, en om Eurojust te gelasten specifieke operaties uit te voeren met betrekking tot de verwerking van operationele persoonsgegevens. De EDPS moet bijgevolg over de middelen beschikken om de opdrachten na te leven en uit te voeren. Hij moet ook de bevoegdheid hebben om Eurojust te waarschuwen. Een waarschuwing is een mondelinge of schriftelijke herinnering aan de verplichting om de opdrachten van de EDPS uit te voeren of om de voorstellen van de EDPS in praktijk te brengen, waarbij wordt herinnerd aan de te nemen maatregelen bij niet-nakoming of weigering door Eurojust.

(40)

De verplichtingen en bevoegdheden van de EDPS, zoals de bevoegdheid om Eurojust te gelasten tot correctie, beperkte verwerking of wissing van operationele persoonsgegevens bij de verwerking waarvan de gegevensbeschermingsbepalingen van deze verordening werden geschonden, mogen niet worden uitgebreid tot de persoonsgegevens die in nationale dossiers over de zaak vervat liggen.

(41)

Teneinde de samenwerking tussen de EDPS en de nationale toezichthoudende autoriteiten te bevorderen, maar zonder afbreuk te doen aan de onafhankelijkheid van de EDPS en zijn verantwoordelijkheid voor het toezicht op Eurojust wat betreft gegevensbescherming, dienen de EDPS en de nationale toezichthoudende autoriteiten regelmatig bijeen te komen binnen het Europees Comité voor gegevensbescherming, overeenkomstig de regels inzake gecoördineerd toezicht vervat in Verordening (EU) 2018/1725 .

(42)

Als eerste ontvanger op het grondgebied van de Unie is Eurojust verantwoordelijk voor de gegevens die worden verstrekt door of verzameld uit derde landen of internationale organisaties. Eurojust moet verantwoordelijk zijn voor de juistheid van die gegevens. Eurojust moet maatregelen nemen om, voor zover mogelijk, de juistheid van de gegevens te verifiëren bij ontvangst van de gegevens of bij het beschikbaar stellen van de gegevens aan andere autoriteiten.

(43)

Eurojust moet onderworpen zijn aan de algemene regels inzake contractuele en niet-contractuele aansprakelijkheid die van toepassing zijn op de instellingen, organen, instanties en agentschappen van de Unie.

(44)

Eurojust moet relevante persoonsgegevens kunnen uitwisselen en samenwerkingsverbanden kunnen aangaan met andere instellingen, organen, instanties en agentschappen van de Unie, voor zover nodig voor de vervulling van zijn of hun taken.

(45)

Teneinde doelbinding te garanderen, moet ervoor worden gezorgd dat Eurojust persoonsgegevens alleen kan overdragen aan derde landen en internationale organisaties indien dit noodzakelijk is voor de preventie en bestrijding van criminaliteit die onder de taken van Eurojust valt. Daartoe moet er bij de overdracht van persoonsgegevens op worden toegezien dat de ontvanger zich ertoe verbindt dat hij de gegevens uitsluitend zal gebruiken of aan een bevoegde instantie in een derde land zal doorgeven voor het doel waarvoor ze oorspronkelijk zijn overgedragen. Verdere doorgifte van de gegevens moet gebeuren in overeenstemming met deze verordening.

(46)

Alle lidstaten zijn aangesloten bij de Internationale Criminele Politieorganisatie (Interpol). Om haar taak te kunnen uitvoeren, zorgt Interpol voor het ontvangen, opslaan en verspreiden van persoonsgegevens om bevoegde autoriteiten bij te staan in het voorkomen en bestrijden van internationale criminaliteit. Daarom is het zinvol de samenwerking tussen de Unie en Interpol te versterken door een efficiënte uitwisseling van persoonsgegevens te bevorderen, zulks met eerbiediging van de grondrechten en fundamentele vrijheden met betrekking tot de automatische verwerking van persoonsgegevens. Wanneer operationele persoonsgegevens worden doorgegeven van Eurojust aan Interpol, en aan landen die vertegenwoordigers naar Interpol hebben afgevaardigd, dient deze verordening, met name de bepalingen inzake internationale doorgifte, van toepassing te zijn. Deze verordening mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad (11) en van Besluit 2007/533/JBZ van de Raad (12).

(47)

Wanneer Eurojust operationele persoonsgegevens doorgeeft aan een autoriteit van een derde land of aan een internationale organisatie uit hoofde van een internationale overeenkomst die is gesloten overeenkomstig artikel 218 VWEU, dient te worden voorzien in passende waarborgen ter bescherming van de privacy en de grondrechten en fundamentele vrijheden van natuurlijke personen om ervoor te zorgen dat de toepasselijke gegevensbeschermingsbepalingen van deze verordening worden nageleefd.

(48)

Eurojust dient ervoor te zorgen dat doorgifte aan een derde land of aan een internationale organisatie enkel plaatsvindt indien dit noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, waaronder de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en dat de verwerkingsverantwoordelijke in het derde land of de internationale organisatie een bevoegde autoriteit is in de zin van deze verordening. Een doorgifte mag alleen plaatsvinden indien Eurojust optreedt als verwerkingsverantwoordelijke. Een dergelijke doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het derde land of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden of waarin afwijkingen voor specifieke situaties van toepassing zijn.

(49)

Eurojust dient persoonsgegevens te kunnen overdragen aan een instantie in een derde land of aan een internationale organisatie op grond van een besluit van de Commissie waarin is vastgesteld dat het land of de internationale organisatie in kwestie een adequaat niveau van gegevensbescherming („adequaatheidsbesluit”) biedt of, indien er geen adequaatheidsbesluit is, een overeenkomstig artikel 218 VWEU door de Unie gesloten internationale overeenkomst of een vóór de datum van toepassing van deze verordening tussen Eurojust en het derde land gesloten samenwerkingsovereenkomst voor de uitwisseling van persoonsgegevens.

(50)

Wanneer het college vaststelt dat er een operationele behoefte is tot samenwerking met een derde land of met een internationale organisatie, moet het de Raad kunnen voorstellen om de Commissie te wijzen op de noodzaak van een adequaatheidsbesluit of een aanbeveling voor het opstarten van onderhandelingen over een internationale overeenkomst krachtens artikel 218 VWEU.

(51)

Doorgiften die niet plaatsvinden op grond van een adequaatheidsbesluit mogen enkel worden toegestaan indien in een juridisch bindend instrument passende waarborgen voor de persoonsgegevensbescherming worden geboden of indien Eurojust alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende waarborgen voor de bescherming van persoonsgegevens worden geboden. Dergelijke juridisch bindende instrumenten zouden bijvoorbeeld juridisch bindende bilaterale overeenkomsten kunnen zijn die door de lidstaten zijn gesloten en in hun rechtsorde zijn geïmplementeerd en waarop de betrokkenen van die lidstaten zich zouden kunnen beroepen, en die de naleving van gegevensbeschermingsvoorschriften en de rechten van de betrokkenen waarborgen, waaronder het recht om administratief beroep of beroep in rechte in te stellen. Eurojust moet rekening kunnen houden met tussen Eurojust en derde landen gesloten samenwerkingsovereenkomsten die de uitwisseling van persoonsgegevens mogelijk maken wanneer de beoordeling van alle omstandigheden omtrent de gegevensdoorgifte wordt verricht. Eurojust moet er ook rekening mee kunnen houden dat de doorgifte van persoonsgegevens zal worden onderworpen aan verplichtingen inzake vertrouwelijkheid en aan het beginsel van specificiteit, om ervoor te zorgen dat de gegevens niet worden verwerkt voor andere doeleinden dan die waarvoor zij worden doorgegeven. Verder dient Eurojust in acht te nemen dat de persoonsgegevens niet zullen worden gebruikt om de doodstraf of enige vorm van wrede of onmenselijke behandeling te vorderen, uit te spreken of uit te voeren. Hoewel die voorwaarden kunnen worden bezien als passende waarborgen voor de overdracht van gegevens, moet Eurojust bijkomende waarborgen kunnen eisen.

(52)

Wanneer er geen adequaatheidsbesluit voorhanden is of er geen passende waarborgen worden geboden, zou een doorgifte of een categorie van doorgiften slechts in specifieke situaties kunnen plaatsvinden, indien zulks noodzakelijk is: om de vitale belangen van de betrokkene of een andere persoon te beschermen of om legitieme belangen van de betrokkene te waarborgen indien het recht van de lidstaat die de persoonsgegevens doorgeeft dat bepaalt; om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; in een afzonderlijk geval, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of, in een afzonderlijk geval, met het oog op de vaststelling, de uitoefening of de onderbouwing van rechtsvorderingen. Die afwijkingen moeten beperkend worden opgevat en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar dienen tot de strikt noodzakelijke gegevens te worden beperkt. Dergelijke doorgiften dienen te worden gedocumenteerd en op verzoek ter beschikking van de EDPS te worden gesteld zodat deze de rechtmatigheid van de doorgifte kan controleren.

(53)

In uitzonderlijke gevallen dient Eurojust in staat te zijn om de termijnen voor het bewaren van operationele persoonsgegevens te verlengen om zijn doelstellingen te verwezenlijken, met inachtneming van het doelbindingsbeginsel dat van toepassing is op de verwerking van persoonsgegevens in het kader van al zijn activiteiten. Deze besluiten dienen te worden genomen na zorgvuldige afweging van alle belangen die op het spel staan, inclusief die van de betrokkenen. Tot verruiming van een termijn voor de verwerking van persoonsgegevens na het tijdstip waarop in alle lidstaten de geldende termijn voor verjaring van het recht van strafvordering is verstreken, mag alleen worden besloten in geval van een bijzondere noodzaak tot verlening van bijstand krachtens deze verordening.

(54)

Eurojust dient bevoorrechte relaties met het Europees justitieel netwerk te onderhouden, gebaseerd op overleg en complementariteit. Deze verordening dient de respectieve rollen van Eurojust en het Europees justitieel netwerk en hun onderlinge relatie te helpen verduidelijken en tegelijkertijd het specifieke karakter van het Europees justitieel netwerk in stand te houden.

(55)

Eurojust dient samenwerkingsverbanden te onderhouden met andere instellingen, organen, instanties en agentschappen van de Unie, met het EOM, met de bevoegde autoriteiten van derde landen en met internationale organisaties, voor zover deze nodig zijn voor de vervulling van zijn taken.

(56)

Om de operationele samenwerking tussen Eurojust en Europol te verbeteren, en met name verbanden te leggen tussen gegevens die reeds in het bezit zijn van een van beide agentschappen, dient Eurojust Europol op basis van een hit/no hit-systeem toegang te verschaffen tot gegevens die Eurojust ter beschikking heeft. Eurojust en Europol dienen ervoor te zorgen dat de nodige regelingen worden getroffen voor een optimale operationele samenwerking, waarin naar behoren rekening wordt gehouden met hun respectieve mandaten en eventuele beperkingen zoals bepaald van de lidstaten. Deze werkafspraken dienen toegang tot en de mogelijkheid van het doorzoeken van alle informatie die aan Europol met het oog op kruiscontroles is verstrekt te waarborgen, in overeenstemming met de specifieke voorzorgsmaatregelen en gegevensbeschermingsgaranties waarin deze verordening voorziet. Elke toegang door Europol tot gegevens die Eurojust heeft, moet met technische middelen worden beperkt tot informatie die onder de respectieve mandaten van die agentschappen van de Unie valt.

(57)

Eurojust en Europol dienen elkaar op de hoogte te houden van elke activiteit waarbij gemeenschappelijke onderzoeksteams worden gefinancierd.

(58)

Voor zover nodig voor de vervulling van zijn taken, dient Eurojust persoonsgegevens te kunnen uitwisselen met instellingen, organen, instanties en agentschappen van de Unie, met volledige eerbiediging van de bescherming van de privacy en andere grondrechten en fundamentele vrijheden.

(59)

Eurojust moet zijn samenwerking met de bevoegde autoriteiten van derde landen en internationale organisaties verbeteren volgens een strategie die in overleg met de Commissie wordt uitgewerkt. Daartoe dient te worden voorzien in de mogelijkheid dat Eurojust verbindingsmagistraten detacheert in derde landen met het oog op het bereiken van soortgelijke doelen als die welke worden nagestreefd door de verbindingsmagistraten die door de lidstaten worden gedetacheerd uit hoofde van Gemeenschappelijk Optreden 96/277/JBZ van de Raad (13).

(60)

Er dient te worden voorzien in de mogelijkheid dat Eurojust de tenuitvoerlegging van verzoeken om justitiële samenwerking van een derde land kan coördineren wanneer tenuitvoerlegging van die verzoeken in ten minste twee lidstaten vereist is als onderdeel van hetzelfde onderzoek. Eurojust mag die coördinatie enkel met instemming van de betrokken lidstaten verrichten.

(61)

Om de volledige autonomie en onafhankelijkheid van Eurojust te garanderen, dient het een eigen begroting te krijgen die toereikend is om zijn werkzaamheden naar behoren uit te voeren, met inkomsten die hoofdzakelijk uit een bijdrage van de begroting van de Unie komen, met uitzondering van de salarissen en emolumenten van de nationale leden, adjuncten en medewerkers, die ten laste komen van hun lidstaat. De begrotingsprocedure van de Unie dient van toepassing te zijn op de bijdrage van de Unie en eventuele andere subsidies die ten laste komen van de algemene begroting van de Unie. De Rekenkamer moet de rekeningen controleren en de Commissie begrotingscontrole van het Europees Parlement moet deze goed- of afkeuren.

(62)

Om de transparantie van en het democratisch toezicht op Eurojust te vergroten, moet in een mechanisme worden voorzien overeenkomstig artikel 85, lid 1, VWEU voor de gezamenlijke evaluatie van de activiteiten van Eurojust door het Europees Parlement en de nationale parlementen. De evaluatie dient plaats te vinden in het kader van een interparlementaire commissievergadering in de gebouwen van het Europees Parlement in Brussel, met deelname van leden van de bevoegde commissies van het Europees Parlement en van de nationale parlementen. De interparlementaire commissievergadering vindt echter plaats met volledige inachtneming van de onafhankelijkheid van Eurojust ten aanzien van maatregelen die zijn genomen in specifieke operationele zaken en ten aanzien van de zwijg- en geheimhoudingsplicht.

(63)

Het is van belang dat de toepassing van deze verordening regelmatig wordt geëvalueerd.

(64)

De werking van Eurojust dient, overeenkomstig artikel 15, lid 3, VWEU, transparant te zijn. Het college zou specifieke bepalingen moeten vaststellen over de wijze waarop het recht op toegang van het publiek tot documenten wordt gewaarborgd. Niets in deze verordening beoogt het recht van het publiek op inzage in documenten te beperken voor zover dat recht gewaarborgd is in de Unie en in de lidstaten, meer bepaald uit hoofde van artikel 42 van het Handvest van de Fundamentele Rechten van de Europese Unie (het „Handvest”). De algemene transparantievoorschriften die gelden voor de agentschappen van de Unie dienen ook te gelden voor Eurojust, op een wijze die op geen enkele wijze afbreuk doet aan de vereiste vertrouwelijkheid van de operationele werkzaamheden. Evenzo dient de Europese Ombudsman bij zijn administratieve onderzoeken de vertrouwelijkheidsverplichting van Eurojust in acht te nemen.

(65)

Teneinde de transparantie en verantwoordingsplicht van Eurojust ten aanzien van Unieburgers te vergroten, moet Eurojust op zijn website een lijst van de leden van de raad van bestuur bekendmaken alsook, indien nodig, de resultaten van de bijeenkomsten van de raad van bestuur, met eerbiediging van de gegevensbeschermingsvoorschriften.

(66)

Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (14) dient van toepassing te zijn op Eurojust.

(67)

Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad (15) dient van toepassing te zijn op Eurojust.

(68)

De noodzakelijke bepalingen betreffende de huisvesting van Eurojust in de lidstaat waar zijn zetel is, Nederland, en de specifieke voorschriften die gelden voor het personeel van Eurojust en hun gezinnen, dienen te worden vastgelegd in een zetelovereenkomst. De gastlidstaat dient optimale voorwaarden te creëren om ervoor te zorgen dat Eurojust vlot functioneert, en met name zorgt voor meertalige, Europeesgerichte opleiding en adequate transportverbindingen, teneinde hooggekwalificeerd personeel te kunnen aantrekken uit een zo groot mogelijk geografisch gebied.

(69)

Eurojust zoals opgericht bij deze verordening moet de rechtsopvolger zijn van Eurojust zoals opgericht bij Besluit 2002/187/JBZ met betrekking tot al zijn contractuele verplichtingen, met inbegrip van arbeidsovereenkomsten, aansprakelijkheden en verkregen eigendommen. Internationale overeenkomsten die zijn gesloten door Eurojust zoals opgericht bij dat besluit dienen van kracht te blijven.

(70)

Daar de doelstelling van deze verordening, namelijk de oprichting van een entiteit die als taak heeft het ondersteunen en versterken van de coördinatie en de samenwerking tussen justitiële autoriteiten van de lidstaten met betrekking tot ernstige criminaliteit welke twee of meer lidstaten schaadt of een vervolging op gemeenschappelijke basis vereist, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het optreden beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(71)

Overeenkomstig de artikelen 1 en 2 en artikel 4 bis, lid 1, van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU, en onverminderd artikel 4 van dat protocol, nemen het Verenigd Koninkrijk en Ierland niet deel aan de aanneming van deze verordening, die bijgevolg niet bindend is voor, noch van toepassing is in deze landen.

(72)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het VEU en het VWEU, neemt Denemarken niet deel aan de aanneming van deze verordening, die bijgevolg niet bindend is voor, noch van toepassing is in Denemarken.

(73)

De EDPS is geraadpleegd krachtens artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (16) en heeft op 5 maart 2014 advies uitgebracht.

(74)

Deze verordening eerbiedigt de fundamentele rechten en waarborgen ten volle en volgt de beginselen die met name in het Handvest zijn erkend,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

OPRICHTING, DOELSTELLINGEN EN TAKEN VAN EUROJUST

Artikel 1

Oprichting van het agentschap van de Europese Unie voor justitiële samenwerking in strafzaken

1.   Er wordt een Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust) opgericht.

2.   Eurojust wordt bij deze verordening opgericht ter vervanging en opvolging van Eurojust als opgericht bij Besluit 2002/187/JBZ.

3.   Eurojust heeft rechtspersoonlijkheid.

Artikel 2

Taken

1.   Eurojust ondersteunt en versterkt de coördinatie en de samenwerking tussen de nationale autoriteiten die belast zijn met het onderzoek en de vervolging van ernstige criminaliteit waarvoor Eurojust overeenkomstig artikel 3, leden 1 en 3, bevoegd is en die twee of meer lidstaten schaadt of vervolging op gemeenschappelijke basis vereist, op basis van de door de autoriteiten van de lidstaten, door Europol, door het EOM en door OLAF uitgevoerde operaties en verstrekte informatie.

2.   Bij de uitvoering van zijn taken moet Eurojust:

a)

rekening houden met elk verzoek dat uitgaat van een bevoegde autoriteit van een lidstaat of met alle informatie die wordt verstrekt door de autoriteiten, instellingen, organen, instanties en agentschappen van de Unie die bevoegd zijn krachtens de in het kader van de Verdragen vastgestelde bepalingen en alle informatie die door Eurojust zelf is verzameld;

b)

de tenuitvoerlegging van verzoeken om en besluiten inzake justitiële samenwerking vergemakkelijken, waaronder de verzoeken en besluiten die zijn gebaseerd op instrumenten waarmee uitvoering wordt gegeven aan het beginsel van wederzijdse erkenning.

3.   Eurojust oefent zijn taken uit op verzoek van de bevoegde autoriteiten van de lidstaten of op eigen initiatief of op verzoek van het EOM binnen de grenzen van de bevoegdheid van het EOM.

Artikel 3

Bevoegdheid van Eurojust

1.   Eurojust is bevoegd voor de in bijlage I genoemde vormen van ernstige criminaliteit. Vanaf de datum waarop het EOM zijn onderzoeks- en vervolgingstaken op zich neemt overeenkomstig artikel 120, lid 2, van Verordening (EU) 2017/1939, oefent Eurojust zijn bevoegdheid echter niet uit voor de strafbare feiten ten aanzien waarvan het EOM zijn bevoegdheden uitoefent, behalve in die gevallen waarbij ook lidstaten betrokken zijn die niet deelnemen aan nauwere samenwerking bij de instelling van het EOM en op verzoek van die lidstaten of op verzoek van het EOM.

2.   Eurojust oefent zijn bevoegdheden uit ten aanzien van strafbare feiten die de financiële belangen van de Unie schaden in zaken waarbij lidstaten betrokken zijn die deelnemen aan de nauwere samenwerking inzake de oprichting van het EOM, maar ten aanzien waarvan het EOM geen bevoegdheid heeft of besluit om zijn bevoegdheid niet uit te oefenen.

Eurojust, het EOM en de betrokken lidstaten werken samen en treden in overleg met elkaar om het Eurojust gemakkelijker te maken om de bevoegdheid uit hoofde van dit lid uit te oefenen. De praktische details van zijn uitoefening van de bevoegdheid uit hoofde van dit lid worden geregeld met een werkafspraak als bedoeld in artikel 47, lid 3.

3.   Eurojust kan tevens, overeenkomstig zijn taken, op verzoek van een bevoegde autoriteit van een lidstaat bijstand verlenen aan onderzoeken en vervolgingen in verband met andere dan de in bijlage I vermelde vormen van criminaliteit.

4.   De bevoegdheid van Eurojust strekt zich ook uit tot strafbare feiten die verband houden met de in bijlage I genoemde strafbare feiten. De volgende categorieën van strafbare feiten worden als zodanig beschouwd:

a)

strafbare feiten die zijn gepleegd om zich de middelen te verschaffen voor het plegen van in bijlage I vermelde ernstige strafbare feiten;

b)

strafbare feiten die zijn gepleegd om in bijlage I vermelde ernstige strafbare feiten te vergemakkelijken of uit te voeren;

c)

strafbare feiten die zijn gepleegd om in bijlage I vermelde ernstige strafbare feiten ongestraft te doen blijven.

5.   Op verzoek van een bevoegde autoriteit van een lidstaat kan Eurojust ook bijstand verlenen aan onderzoeken en vervolgingen waarbij alleen die lidstaat en een derde land betrokken zijn, op voorwaarde dat met dat derde land een samenwerkingsovereenkomst is gesloten of een afspraak tot samenwerking is gemaakt krachtens artikel 52 of op voorwaarde dat er in een specifiek geval een essentieel belang bestaat om dergelijke bijstand te verlenen.

6.   Op verzoek van een bevoegde autoriteit van een lidstaat dan wel van de Commissie, kan Eurojust ook bijstand verlenen aan onderzoeken en vervolgingen waarbij alleen die lidstaat betrokken is, maar die gevolgen hebben op Unieniveau. Alvorens op verzoek van de Commissie op te treden, raadpleegt Eurojust de bevoegde autoriteit van de betrokken lidstaat. Die bevoegde autoriteit kan binnen een door Eurojust vastgestelde termijn bezwaar maken tegen de tenuitvoerlegging van het verzoek door Eurojust, waarbij die bevoegde autoriteit per geval haar standpunt rechtvaardigt.

Artikel 4

Operationele taken van Eurojust

1.   Eurojust:

a)

informeert de bevoegde autoriteiten van de lidstaten over de onderzoeken en vervolgingen waarvan het kennis heeft gekregen die gevolgen hebben op Unieniveau of gevolgen kunnen hebben voor andere dan de rechtstreeks betrokken lidstaten;

b)

staat de bevoegde autoriteiten van de lidstaten bij met het oog op een optimale coördinatie van de onderzoeken en vervolgingen;

c)

verleent bijstand om de samenwerking tussen de bevoegde autoriteiten van de lidstaten te verbeteren, met name op basis van de door Europol verrichte analyses;

d)

werkt samen en treedt in overleg met het Europees justitieel netwerk in strafzaken, onder meer door gebruik te maken van de documentaire gegevensbank van het Europees justitieel netwerk en door bij te dragen aan de verbetering daarvan;

e)

werkt nauw samen met het EOM voor zaken die onder zijn bevoegdheid vallen;

f)

biedt operationele, technische en financiële ondersteuning bij grensoverschrijdende operaties en onderzoeken van lidstaten, inclusief gemeenschappelijke onderzoeksteams;

g)

ondersteunt en neemt zo nodig deel aan de gespecialiseerde kenniscentra van de Unie die zijn opgezet door Europol en andere instellingen, organen, instanties en agentschappen van de Unie;

h)

werkt samen met instellingen, organen, instanties en agentschappen alsmede netwerken van de Unie die zijn opgericht op het gebied van de ruimte van vrijheid, veiligheid en recht overeenkomstig Titel V van het VWEU;

i)

ondersteunt het optreden van de lidstaten bij de bestrijding van de in bijlage I vermelde vormen van ernstige criminaliteit.

2.   Bij de uitvoering van zijn taken kan Eurojust de bevoegde autoriteiten van de betrokken lidstaten onder vermelding van zijn redenen vragen om:

a)

ter zake van specifieke feiten onderzoek of vervolging in te stellen;

b)

te aanvaarden dat een van hen beter in staat is ter zake van specifieke feiten onderzoek of vervolging in te stellen;

c)

tussen de bevoegde autoriteiten van de betrokken lidstaten te coördineren;

d)

overeenkomstig de toepasselijke samenwerkingsregelingen een gemeenschappelijk onderzoeksteam in te stellen;

e)

alle gegevens te verstrekken die Eurojust nodig heeft om zijn taken uit te voeren;

f)

speciale onderzoeksmaatregelen te nemen;

g)

alle andere voor het onderzoek of de vervolging gerechtvaardigde maatregelen te treffen.

3.   Eurojust kan ook:

a)

Europol adviezen geven op basis van de door Europol verrichte analyses;

b)

logistieke steun verlenen, met name vertaling, vertolking en organisatie van coördinatievergaderingen.

4.   Wanneer twee of meer lidstaten het niet eens kunnen worden over wie van hen onderzoek of vervolging moet instellen naar aanleiding van een verzoek overeenkomstig lid 2, onder a) of b), geeft Eurojust schriftelijk advies over de zaak. Eurojust stuurt het advies onmiddellijk door naar de betrokken lidstaten.

5.   Op verzoek van een bevoegde autoriteit of op eigen initiatief brengt Eurojust schriftelijk advies uit over herhaalde weigeringen of moeilijkheden in verband met de tenuitvoerlegging van verzoeken en besluiten inzake justitiële samenwerking, met in begrip van verzoeken en besluiten die zijn gebaseerd op instrumenten waarmee uitvoering wordt gegeven aan het beginsel van wederzijdse erkenning, op voorwaarde dat dergelijke gevallen niet in onderlinge overeenstemming door de bevoegde nationale autoriteiten of door tussenkomst van de betrokken nationale leden kunnen worden opgelost. Eurojust stuurt dat advies onmiddellijk door naar de betrokken lidstaten.

6.   De bevoegde autoriteiten van de betrokken lidstaten geven onverwijld gevolg aan verzoeken van Eurojust op grond van lid 2 en volgen de in de lid 4 of 5 bedoelde schriftelijke adviezen onverwijld op. De bevoegde autoriteiten van de lidstaten kunnen weigeren gevolg te geven aan dergelijke verzoeken of kunnen weigeren een schriftelijk advies op te volgen als dat wezenlijke nationale veiligheidsbelangen zou schaden of het welslagen van een lopend onderzoek of de veiligheid van een persoon in gevaar zou brengen.

Artikel 5

Uitvoering van operationele en andere taken

1.   Eurojust handelt door middel van één of meer van de betrokken nationale leden wanneer het een van de in artikel 4, lid 1 of 2, bedoelde taken uitvoert. Onverminderd lid 2 van dit artikel concentreert het college zich op operationele aangelegenheden en andere aangelegenheden die rechtstreeks verband houden met de operationele kwesties. Het college wordt alleen bij administratieve kwesties betrokken voor zover dat nodig is om te waarborgen dat zijn operationele taken worden vervuld.

2.   Eurojust handelt als college:

a)

bij de uitvoering van een van de in artikel 4, lid 1 of 2, bedoelde taken:

i)

op verzoek van een of meer nationale leden die betrokken zijn bij een door Eurojust behandelde zaak;

ii)

wanneer de zaak betrekking heeft op onderzoeken of vervolgingen die gevolgen hebben op Unieniveau of gevolgen kunnen hebben voor andere dan de rechtstreeks betrokken lidstaten;

b)

bij de uitvoering van een van de in artikel 4, lid 3, 4 of 5, bedoelde taken;

c)

wanneer een algemene vraag in verband met de verwezenlijking van zijn operationele doelstellingen aan de orde is;

d)

bij de vaststelling van de jaarlijkse begroting van Eurojust, waarvan het besluit met een tweederdemeerderheid van zijn leden wordt genomen;

e)

bij de vaststelling van het onder artikel 15 bedoelde programmeringsdocument of bij de aanneming van het jaarlijks verslag over de activiteiten van Eurojust waarover met een tweederdemeerderheid van zijn leden wordt besloten;

f)

bij het verkiezen of het ontslaan van de voorzitter en de vicevoorzitters overeenkomstig artikel 11;

g)

bij de benoeming van de administratief directeur of, in voorkomend geval, bij de verlenging van zijn ambtstermijn of bij de ontheffing uit zijn functie overeenkomstig artikel 17;

h)

bij de vaststelling van werkafspraken die overeenkomstig artikel 47, lid 3, en artikel 52 worden gemaakt;

i)

bij de vaststelling van regels voor de preventie en het beheer van belangenconflicten met betrekking tot zijn leden, onder meer in verband met hun belangenverklaring;

j)

bij de goedkeuring van verslagen, beleidsnota’s, richtsnoeren voor de nationale autoriteiten en adviezen in verband met de operationele werkzaamheden van Eurojust, telkens wanneer die documenten strategisch van aard zijn;

k)

bij het aanwijzen van verbindingsmagistraten overeenkomstig artikel 53;

l)

bij het nemen van alle andere besluiten waarvoor de raad van bestuur niet uitdrukkelijk bevoegd is op grond van deze verordening of waarvoor de administratief directeur niet verantwoordelijk is overeenkomstig artikel 18;

m)

wanneer in deze verordening anders is bepaald.

3.   Bij de vervulling van zijn taken geeft Eurojust aan of het handelt door middel van een of meer van de nationale leden, dan wel als college.

4.   Het college kan de administratief directeur en de raad van bestuur volgens de operationele behoeften bijkomende administratieve taken toewijzen naast de taken die zijn voorzien in de artikelen 16 en 18.

Wanneer uitzonderlijke omstandigheden dit vereisen, kan het college besluiten om de delegatie van de bevoegdheden van de aanstellingsautoriteit aan de administratief directeur en van de bevoegdheden die laatstgenoemde op zijn beurt verder heeft gedelegeerd, tijdelijk te schorsen en deze bevoegdheden zelf uit te oefenen dan wel te delegeren aan een van zijn leden of aan een ander personeelslid dan de administratief directeur.

5.   Het college stelt het reglement van orde van Eurojust vast op basis van een tweederdemeerderheid van zijn leden. Ingeval er geen overeenstemming op basis van een tweederdemeerderheid kan worden bereikt, wordt het besluit met een gewone meerderheid vastgesteld. De Raad keurt het reglement van orde van Eurojust goed door middel van uitvoeringshandelingen.

HOOFDSTUK II

STRUCTUUR EN ORGANISATIE VAN EUROJUST

AFDELING I

Structuur

Artikel 6

Structuur van Eurojust

Eurojust omvat:

a)

de nationale leden;

b)

het college;

c)

de raad van bestuur;

d)

de administratief directeur.

AFDELING II

Nationale leden

Artikel 7

Statuut van nationale leden

1.   Eurojust bestaat uit één door elke lidstaat overeenkomstig zijn rechtsstelsel gedetacheerd nationaal lid. Dat nationale lid heeft zijn vaste werkplek op het hoofdkwartier van Eurojust.

2.   Elk nationaal lid wordt bijgestaan door een adjunct en door een medewerker. In principe hebben de adjunct en de medewerker hun vaste werkplek op het hoofdkwartier van Eurojust. Elke lidstaat kan besluiten dat de adjunct of de medewerker of beiden hun gewone werkplek in hun lidstaat hebben. Indien een lidstaat een dergelijk besluit neemt, stelt die lidstaat het college daarvan in kennis. Indien de operationele behoeften van Eurojust dit vereisen, kan het college de lidstaat verzoeken de adjunct of de medewerker of beiden voor een bepaalde periode op het hoofdkwartier van Eurojust te plaatsen. De lidstaat willigt een dergelijk verzoek van het college onverwijld in.

3.   Het nationale lid kan worden bijgestaan door extra adjuncten of medewerkers, die zo nodig en met instemming van het college hun vaste werkplek bij Eurojust kunnen hebben. De lidstaten stellen Eurojust en de Commissie in kennis van de aanstelling van nationale leden, adjuncten en medewerkers.

4.   De nationale leden en hun adjuncten hebben het statuut van een openbaar aanklager, een rechter of een vertegenwoordiger van een justitiële autoriteit met gelijkwaardige bevoegdheden als die van een openbaar aanklager of een rechter overeenkomstig hun nationale recht. De lidstaten verlenen hun ten minste de in deze verordening bedoelde bevoegdheden zodat zij hun taken kunnen vervullen.

5.   De ambtstermijn van de nationale leden en hun adjuncten bedraagt vijf jaar en kan eenmaal worden verlengd. Indien een adjunct niet kan optreden in naam of als vervanger van een nationaal lid, blijft het nationale lid bij het verstrijken van zijn ambtstermijnzijn functie vervullen tot de verlenging van zijn ambtstermijn of tot hij wordt vervangen mits hun lidstaat daarin toestemt.

6.   De lidstaten benoemen nationale leden en adjuncten op basis van een bewezen hoog niveau aan relevante praktijkervaring op het gebied van strafzaken.

7.   De adjunct kan optreden in naam of als vervanger van het nationale lid. Een medewerker kan eveneens optreden in naam of als vervanger van het nationale lid indien hij een in lid 3 bedoelde statuut heeft.

8.   Tussen Eurojust en de lidstaten uitgewisselde operationele informatie wordt doorgezonden via de nationale leden.

9.   De salarissen en vergoedingen van de nationale leden, adjuncten en medewerkers komen ten laste van hun lidstaat, onverminderd artikel 12.

10.   Wanneer de nationale leden, adjuncten en medewerkers in het kader van de taken van Eurojust handelen, worden de met die taken verband houdende relevante uitgaven beschouwd als operationele uitgaven.

Artikel 8

Bevoegdheden van nationale leden

1.   De nationale leden zijn bevoegd om:

a)

de indiening en tenuitvoerlegging van een verzoek om wederzijdse rechtshulp of wederzijdse erkenning te vergemakkelijken of anderszins te ondersteunen;

b)

rechtstreeks contact op te nemen en informatie uit te wisselen met een bevoegde nationale autoriteit van de lidstaat of andere bevoegde organen, instanties of agentschappen van de Unie, waaronder het EOM;

c)

rechtstreeks contact op te nemen en informatie uit te wisselen met een bevoegde internationale autoriteit in overeenstemming met de internationale afspraken van hun lidstaat;

d)

deel te nemen aan gezamenlijke onderzoeksteams, inclusief aan het oprichten van die teams.

2.   Onverminderd lid 1 kunnen de lidstaten overeenkomstig hun nationale recht aanvullende bevoegdheden toekennen aan de nationale leden. Die lidstaten stellen de Commissie en het college in kennis van deze bevoegdheden.

3.   Met instemming van de bevoegde nationale autoriteit kunnen de nationale leden overeenkomstig hun nationale recht:

a)

verzoeken om wederzijdse rechtsbijstand of wederzijdse erkenning indienen en ten uitvoer leggen;

b)

onderzoeksmaatregelen gelasten, aanvragen of ten uitvoer leggen, als bedoeld in Richtlijn 2014/41/EU van het Europees Parlement en de Raad (17).

4.   In dringende gevallen en voor zover het niet mogelijk is de bevoegde nationale autoriteit tijdig te vinden of contact met deze op te nemen, zijn de nationale leden bevoegd om de in lid 3 bedoelde maatregelen te nemen overeenkomstig hun nationale recht, op voorwaarde dat zij de bevoegde nationale autoriteit daarvan zo snel mogelijk in kennis stellen.

5.   Het nationale lid kan bij de bevoegde nationale autoriteit een voorstel indienen om de in de leden 3 en 4 bedoelde maatregelen te nemen indien de uitoefening van de in de leden 3 en 4 bedoelde bevoegdheden aan een nationaal lid indruist tegen:

a)

grondwettelijke regels van een lidstaat, of

b)

wezenlijke kenmerken van het nationale strafrechtelijk bestel met betrekking tot:

i)

de bevoegdheidsverdeling tussen politie, openbare aanklagers en rechters,

ii)

de functionele taakverdeling tussen vervolgingsinstanties, of

iii)

de federale structuur van de betrokken lidstaat.

6.   De lidstaten zorgen ervoor dat de bevoegde nationale autoriteit het door hun nationale lid ingediende voorstel in de in lid 5 bedoelde gevallen zonder onverwijld behandelt.

Artikel 9

Toegang tot nationale registers

De nationale leden hebben toegang tot, of kunnen ten minste de informatie verkrijgen die is vervat in de volgende soorten registers van hun lidstaat, overeenkomstig hun nationale recht:

a)

strafregisters;

b)

registers van aangehouden personen;

c)

onderzoeksregisters;

d)

DNA-registers;

e)

andere registers van overheidsinstanties van hun lidstaat indien dergelijke informatie nodig is om hun taken te vervullen.

AFDELING III

Het college

Artikel 10

Samenstelling van het college

1.   Het college bestaat uit:

a)

alle nationale leden; en

b)

een vertegenwoordiger van de Commissie wanneer het college zijn beheerstaken verricht.

De overeenkomstig punt b) van de eerste alinea benoemde vertegenwoordiger van de Commissiemoet uit hoofde van artikel 16, lid 4, ook de vertegenwoordiger van de Commissie in de raad van bestuur zijn.

2.   De administratief directeur woont de beheersvergaderingen van het college bij, maar heeft geen stemrecht.

3.   Het college kan eenieder van wie het advies van belang kan zijn, uitnodigen om zijn vergaderingen als waarnemer bij te wonen.

4.   De leden van het college kunnen zich overeenkomstig zijn reglement van orde van Eurojust laten bijstaan door adviseurs of deskundigen.

Artikel 11

De voorzitter en vicevoorzitter van Eurojust

1.   Het college kiest met een meerderheid van twee derde van zijn leden een voorzitter en twee vicevoorzitters uit de nationale leden. Indien na een tweede stemronde geen tweederdemeerderheid kan worden bereikt, worden de vicevoorzitters verkozen bij gewone meerderheid van de leden van het college. Voor de verkiezing van de voorzitter blijft een tweederdemeerderheid noodzakelijk.

2.   De voorzitter oefent zijn ambt namens het college uit. De voorzitter:

a)

vertegenwoordigt Eurojust;

b)

roept de vergaderingen van het college en de raad van bestuur bijeen en zit deze voor, en houdt het college op de hoogte van aangelegenheden die voor het college van belang zijn;

c)

leidt de werkzaamheden van het college en oefent toezicht uit op het dagelijks beheer van Eurojust door de administratief directeur;

d)

oefent eventueel andere functies uit als vastgesteld in het reglement van orde van Eurojust.

3.   De vicevoorzitters oefenen de in lid 2 vastgestelde functies uit die de voorzitter hun toevertrouwt. Zij vervangen de voorzitter als hij niet in staat is zijn taken te verrichten. De voorzitter en de vicevoorzitters worden bij het uitvoeren van hun specifieke taken bijgestaan door het administratief personeel van Eurojust.

4.   De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vier jaar. Zij kunnen eenmaal worden herkozen.

5.   Wanneer een nationaal lid tot voorzitter of vicevoorzitter van Eurojust wordt verkozen, wordt zijn ambtstermijn verlengd om ervoor te zorgen dat hij zijn functie als voorzitter of vicevoorzitter kan vervullen.

6.   Indien de voorzitter of vicevoorzitter niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken, kan hij door het college worden ontslagen op voorstel van een derde van de leden. Het besluit moet worden aangenomen met een meerderheid van twee derde van de leden van het college, de betrokken voorzitter of vicevoorzitter niet inbegrepen.

7.   Wanneer een nationaal lid tot voorzitter van Eurojust wordt verkozen, mag de betrokken lidstaat een andere voldoende gekwalificeerde persoon afvaardigen om het nationale bureau te versterken gedurende het mandaat van dat nationaal lid als voorzitter.

Als een lidstaat besluit een dergelijk persoon af te vaardigen, heeft hij het recht een vergoeding aan te vragen overeenkomstig artikel 12.

Artikel 12

Vergoedingsregeling voor de verkiezing tot voorzitter

1.   Uiterlijk op 12 december 2019 stelt de Raad op voorstel van de Commissie door middel van uitvoeringshandelingen een vergoedingsregeling vast voor de toepassing van artikel 11, lid 7, ten gunste van lidstaten waarvan het nationale lid tot voorzitter wordt verkozen.

2.   De vergoeding staat ter beschikking van eender welke lidstaat indien:

a)

zijn nationale lid tot voorzitter is verkozen, en

b)

de lidstaat het college om vergoeding verzoekt en de noodzaak om zijn nationaal bureau op grond van de toegenomen werklast te versterken, motiveert.

3.   De vergoeding is gelijk aan 50 % van het nationale salaris van de gedetacheerde persoon. Kosten van levensonderhoud en daarmee gepaard gaande kosten worden op vergelijkbare wijze vergoed als die van Unieambtenaren of andere naar het buitenland gedetacheerde ambtenaren.

4.   Het kosten van het vergoedingsregeling komen ten laste van de begroting van Eurojust.

Artikel 13

Vergaderingen van het college

1.   De voorzitter roept de vergaderingen van het college bijeen.

2.   Het college houdt ten minste één vergadering per maand. Daarnaast komt het college bijeen op initiatief van de voorzitter, op verzoek van de Commissie om de administratieve taken van het college te bespreken, of op verzoek van ten minste één derde van zijn leden.

3.   Eurojust stuurt het EOM de agenda’s van de vergaderingen van het college wanneer er onderwerpen worden besproken die van belang zijn voor de uitoefening van de taken van het EOM. Eurojust nodigt het EOM uit om zonder stemrecht deel te nemen aan deze vergaderingen.

Wanneer het EOM voor een vergadering van het college wordt uitgenodigd, stelt Eurojust de relevante ondersteunende documenten ter beschikking van het EOM.

Artikel 14

Stemprocedure van het college

1.   Tenzij anders is bepaald en indien geen consensus kan worden bereikt, stelt het college zijn besluiten vast bij meerderheid van zijn leden.

2.   Elk lid heeft één stem. Bij afwezigheid van een stemgerechtigd lid kan de adjunct het stemrecht uitoefenen onder de in artikel 7, lid 7, gestelde voorwaarden. Bij afwezigheid van de adjunct kan de medewerker het stemrecht uitoefenen onder de in artikel 7, lid 7, gestelde voorwaarden.

Artikel 15

Jaarlijkse en meerjarige programmering

1.   Uiterlijk op 30 november van elk jaar stelt het college een programmeringsdocument vast met de jaarlijkse en meerjarige programmering op basis van een door de administratief directeur opgesteld ontwerp, rekening houdend met het advies van de Commissie. Het college stuurt het programmeringsdocument door aan het Europees Parlement, de Raad, de Commissie en het EOM. Het programmeringsdocument wordt definitief na de definitieve vaststelling van de algemene Uniebegroting en wordt indien nodig dienovereenkomstig aangepast.

2.   Het jaarlijkse werkprogramma omvat een gedetailleerde beschrijving van de doelstellingen en de beoogde resultaten, inclusief prestatie-indicatoren om. Het bevat ook een beschrijving van de te financieren activiteiten en een indicatie van de financiële en personele middelen die aan iedere activiteit worden toegewezen, overeenkomstig de beginselen die gelden voor activiteitgestuurde begroting en beheer. Het jaarlijkse werkprogramma moet stroken met het in lid 4 bedoelde meerjarige werkprogramma. Het vermeldt duidelijk welke taken zijn toegevoegd, gewijzigd of geschrapt ten opzichte van het vorige begrotingsjaar.

3.   Het college past het vastgestelde jaarlijkse werkprogramma aan wanneer Eurojust een nieuwe taak krijgt toegewezen. Iedere wezenlijke verandering van het jaarlijkse werkprogramma wordt vastgesteld volgens dezelfde procedure als het oorspronkelijke jaarlijkse werkprogramma. Het college kan aan de administratief directeur de bevoegdheid delegeren om niet-wezenlijke veranderingen door te voeren in het jaarlijkse werkprogramma.

4.   Het meerjarige werkprogramma omvat de algemene strategische programmering, met inbegrip van doelstellingen, de in artikel 52 bedoelde strategie voor samenwerking met de autoriteiten van derde landen en internationale organisaties, beoogde resultaten en prestatie-indicatoren. Het bevat ook de programmering van de middelen, met inbegrip van de meerjarige begroting en de personele middelen. De programmering van de middelen wordt jaarlijks bijgewerkt. De strategische programmering wordt in voorkomend geval bijgewerkt, met name om rekening te houden met de resultaten van de in artikel 69 bedoelde evaluatie.

AFDELING IV

De raad van bestuur

Artikel 16

Werking van de raad van bestuur

1.   Het college wordt bijgestaan door een raad van bestuur. De raad van bestuur is verantwoordelijk voor het nemen van administratieve besluiten om de goede werking van Eurojust te waarborgen. Hij ziet toe op de noodzakelijke voorbereidende werkzaamheden van de administratief directeur met betrekking tot andere administratieve kwesties die ter goedkeuring worden voorgelegd aan het college. Hij is niet betrokken bij de operationele taken van Eurojust als bedoeld in de artikelen 4 en 5.

2.   De raad van bestuur kan het college raadplegen bij de uitvoering van zijn taken.

3.   De raad van bestuur heeft daarnaast de volgende taken:

a)

de evaluatie van het in artikel 15 bedoelde programmeringsdocument op basis van het door de administratief directeur opgestelde ontwerp, en het doorsturen daarvan aan het college ter vaststelling;

b)

de vaststelling van een fraudebestrijdingsstrategie voor Eurojust op basis van een door de administratief directeur opgesteld ontwerp die in verhouding staat tot de frauderisico’s waarbij rekening wordt gehouden met de kosten- batenverhouding van de uit te voeren maatregelen;

c)

de vaststelling van geschikte regels die uitvoering geven aan het Statuut van de ambtenaren van de Europese Unie (het „Statuut van de ambtenaren”) en de regeling welke van toepassing is op de andere personeelsleden van de Europese Unie („Regeling voor de andere personeelsleden”), vastgesteld door de Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (18) overeenkomstig artikel 110 van het Statuut van de ambtenaren;

d)

de zorg voor voldoende opvolging van de resultaten en aanbevelingen die voortvloeien uit de interne of externe auditverslagen, beoordelingen en onderzoeken, waaronder die van de EDPS en OLAF;

e)

het nemen van besluiten betreffende het opzetten en, waar nodig, het wijzigen van de interne administratieve structuren van Eurojust;

f)

de ondersteuning en advisering van de administratief directeur bij de tenuitvoerlegging van de besluiten van het college teneinde het toezicht op het administratief en begrotingsbeheer te versterken, onverminderd de verantwoordelijkheden van de administratief directeur als omschreven in artikel 18;

g)

de verrichting van alle bijkomende administratieve taken die hem uit hoofde van artikel 5, lid 4, door het college worden toegewezen;

h)

de vaststelling van de financiële regeling die op Eurojust van toepassing is, overeenkomstig artikel 64;

i)

de vaststelling overeenkomstig artikel 110 van het Statuut van de ambtenaren, en op grond van artikel 2, lid 1, van het Statuut van de ambtenaren en van artikel 6 van de regeling welke van toepassing is op de andere personeelsleden, van een besluit ter delegatie van de bevoegdheden tot aanstelling aan de administratief directeur en ter bepaling van de voorwaarden voor de schorsing van die bevoegdheidsdelegatie; de administratief directeur mag die bevoegdheden delegeren;

j)

de beoordeling van de jaarlijkse begroting van Eurojust voorafgaand aan de vaststelling ervan door het college;

k)

de beoordeling van het jaarlijkse verslag over de activiteiten van Eurojust en het doorsturen daarvan stuurt naar het college ter vaststelling;

l)

de benoeming van een rekenplichtige en een functionaris voor gegevensbescherming, die functioneel onafhankelijk zijn bij de uitvoering van hun taken;

4.   De raad van bestuur is samengesteld uit de voorzitter en de vicevoorzitters van Eurojust, één vertegenwoordiger van de Commissie en twee andere leden van het college die overeenkomstig het reglement van orde van Eurojust op basis van een toerbeurtsysteem voor twee jaar worden benoemd. De administratief directeur woont de vergaderingen van de raad van bestuur bij, maar heeft geen stemrecht.

5.   De voorzitter van Eurojust is de voorzitter van de raad van bestuur. De raad van bestuur besluit bij meerderheid van zijn leden. Elk lid heeft één stem. Bij staking van stemmen heeft de voorzitter van Eurojust de beslissende stem.

6.   De ambtstermijn van de leden van de raad van bestuur eindigt wanneer hun mandaat als nationaal lid, voorzitter of vicevoorzitter eindigt.

7.   De raad van bestuur komt ten minste één keer per maand bijeen. Daarnaast komt de raad bijeen op initiatief van zijn voorzitter of op verzoek van de Commissie of van ten minste twee van zijn andere leden.

8.   Eurojust stuurt het EOM de agenda van de vergaderingen van de raad van bestuur en overlegt met het EOM over de noodzaak om aan deze vergaderingen deel te nemen. Eurojust nodigt het EOM uit om, zonder stemrecht, deel te nemen aan vergaderingen waarin kwesties worden besproken die relevant zijn voor de werking van het EOM.

Wanneer het EOM voor een vergadering van de raad van bestuur wordt uitgenodigd, stelt Eurojust de relevante ondersteunende documenten ter beschikking van het EOM.

AFDELING V

De administratief directeur

Artikel 17

Statuut van de administratief directeur

1.   De administratief directeur wordt aangesteld als tijdelijk functionaris van Eurojust op grond van artikel 2, onder a), van de Regeling welke van toepassing is op de andere personeelsleden.

2.   De administratief directeur wordt, na een open en transparante selectieprocedure overeenkomstig het reglement van orde van Eurojust door het college benoemd uit een lijst van door de raad van bestuur voorgedragen kandidaten. Voor het sluiten van de arbeidsovereenkomst met de administratief directeur wordt Eurojust vertegenwoordigd door de voorzitter van Eurojust.

3.   De ambtstermijn van de administratief directeur bedraagt vier jaar. Aan het eind van deze termijn maakt de raad van bestuur een beoordeling waarin rekening wordt gehouden met een evaluatie van de prestaties van de administratief directeur.

4.   Op grond van een voorstel van de raad van bestuur, waarin rekening wordt gehouden met de in lid 3 bedoelde beoordeling, kan het college de ambtstermijn van de administratief directeur eenmaal en voor ten hoogste vier jaar verlengen.

5.   Een administratief directeur wiens ambtstermijn is verlengd, is aan het eind van de volledige termijn uitgesloten van een andere selectieprocedure voor dezelfde functie.

6.   De administratief directeur legt verantwoording af aan het college.

7.   De administratief directeur kan uitsluitend uit zijn functie worden ontheven bij besluit van het college op voorstel van de raad van bestuur.

Artikel 18

Verantwoordelijkheden van de administratief directeur

1.   Voor administratieve doeleinden wordt Eurojust geleid door zijn administratief directeur.

2.   Onverminderd de bevoegdheden van het college of de raad van bestuur, voert de administratief directeur zijn taken op onafhankelijke wijze uit, zonder instructies te vragen aan of te ontvangen van regeringen of andere organen.

3.   De administratief directeur is de wettelijke vertegenwoordiger van Eurojust.

4.   De administratief directeur is verantwoordelijk voor de uitvoering van de aan Eurojust toegekende administratieve taken, en met name voor:

a)

het dagelijks bestuur van Eurojust en het personeelsbeheer;

b)

de uitvoering van de besluiten van het college en de raad van bestuur;

c)

de opstelling van het in artikel 15 bedoelde programmeringsdocument en het voorleggen daarvan ter beoordeling aan de raad van bestuur;

d)

de uitvoering van het in artikel 15 bedoelde programmeringsdocument en de verslaglegging over die uitvoering aan de raad van bestuur en het college;

e)

de opstelling van het jaarverslag van de activiteiten van Eurojust en het voorleggen daarvan ter beoordeling aan de raad van bestuur en ter vaststelling aan het college;

f)

de opstelling van een actieplan voor de opvolging van conclusies van interne of externe auditverslagen, beoordelingen en onderzoeken, waaronder die van de EDPS en OLAF, en de halfjaarlijkse verslaglegging over de voortgang aan het college, de raad van bestuur, de Commissie en de EDPS;

g)

de opstelling van een fraudebestrijdingsstrategie voor Eurojust en het ter vaststelling voorleggen daarvan aan de raad van bestuur;

h)

de opstelling van een ontwerp van de financiële regels die op Eurojust van toepassing zijn;

i)

de opstelling van de ontwerpraming van ontvangsten en uitgaven van Eurojust, en de uitvoering van zijn begroting;

j)

de uitoefening, met betrekking tot het personeel van Eurojust, van de bevoegdheden die krachtens het Statuut van de ambtenaren zijn verleend aan de aanstellingsautoriteit en die krachtens de Regeling welke van toepassing is op de andere personeelsleden zijn verleend aan het bevoegde gezag tot het sluiten van overeenkomsten voor de aanstelling van andere personeelsleden („de bevoegdheden van de aanstellingsautoriteit”);

k)

het waarborgen dat de noodzakelijke administratieve steun wordt verleend om de operationele werkzaamheden van Eurojust te faciliteren;

l)

het waarborgen dat de voorzitter en vicevoorzitters ondersteund worden bij de vervulling van hun taken;

m)

de opstelling van een ontwerpvoorstel voor de jaarlijkse begroting van Eurojust, dat moet worden beoordeeld door de raad van bestuur voordat het door het college wordt vastgesteld.

HOOFDSTUK III

OPERATIONELE AANGELEGENHEDEN

Artikel 19

Oproepcoördinatiemechanisme

1.   Teneinde zijn taken in dringende gevallen te vervullen, beschikt Eurojust over een oproepcoördinatiemechanisme dat te allen tijde aan Eurojust gerichte verzoeken in ontvangst kan nemen en behandelen. Het oproepcoördinatiemechanisme is 24 uur per dag en zeven dagen per week bereikbaar.

2.   Het oproepcoördinatiemechanisme doet een beroep op één oproepcoördinatievertegenwoordiger per lidstaat, die het nationale lid zelf of zijn adjunct kan zijn, een medewerker die bevoegd is om het nationale lid te vervangen of een gedetacheerde nationale deskundige. De oproepcoördinatievertegenwoordiger is 24 uur per dag en zeven dagen per week inzetbaar.

3.   De oproepcoördinatievertegenwoordigers handelen onverwijld en efficiënt met betrekking tot de uitvoering van een verzoek in hun lidstaat.

Artikel 20

Nationaal coördinatiesysteem voor Eurojust

1.   Elke lidstaat wijst één of meer nationale correspondenten voor Eurojust aan.

2.   Alle door de lidstaten op grond van lid 1 aangewezen nationale correspondenten beschikken over de voor hen nodige deskundigheid en ervaring om hun taken uit te oefenen.

3.   Elke lidstaat zet een nationaal coördinatiesysteem voor Eurojustop om te zorgen voor de coördinatie van de werkzaamheden verricht door:

a)

de nationale correspondenten voor Eurojust;

b)

nationale correspondenten voor aangelegenheden die verband houden met de bevoegdheid van het EOM;

c)

de nationale correspondent voor Eurojust voor terrorismebestrijding;

d)

de nationale correspondent voor het Europees justitieel netwerk in strafzaken en ten hoogste drie andere contactpunten van het Europees justitieel netwerk;

e)

nationale leden of contactpunten van het netwerk voor gemeenschappelijke onderzoeksteams en nationale leden of contactpunten van de netwerken die zijn opgezet bij Besluiten 2002/494/JBZ, 2007/845/JBZ en 2008/852/JBZ;

f)

in voorkomend geval, elke andere relevante justitiële autoriteit.

4.   De in de leden 1 en 3 bedoelde personen behouden de positie en het statuut waarover zij krachtens het nationale recht beschikken, zonder dat dit significante gevolgen heeft voor de uitvoering van hun taken uit hoofde van deze verordening.

5.   De nationale correspondenten voor Eurojust zijn verantwoordelijk voor de werking van hun nationaal coördinatiesysteem voor Eurojust. Wanneer er meerdere correspondenten voor Eurojust zijn benoemd, is een van hen verantwoordelijk voor de werking van hun nationaal coördinatiesysteem voor Eurojust.

6.   De nationale leden van Eurojust worden geïnformeerd over alle vergaderingen van hun nationaal coördinatiesysteem voor Eurojust waar aangelegenheden in verband met zaken worden besproken. De nationale leden kunnen dergelijke vergaderingen zo nodig bijwonen.

7.   Elk nationaal coördinatiesysteem voor Eurojust faciliteert de uitvoering van de taken van Eurojust in de betrokken lidstaat, met name door:

a)

ervoor te zorgen dat het in artikel 23 bedoelde casemanagementsysteem op efficiënte en betrouwbare wijze gegevens in verband met de betrokken lidstaat ontvangt;

b)

te helpen bepalen of een verzoek met bijstand van Eurojust of van het Europees justitieel netwerk moet worden behandeld;

c)

het nationale lid te helpen bepalen welke autoriteiten bevoegd zijn voor de tenuitvoerlegging van verzoeken en besluiten inzake justitiële samenwerking, waaronder de verzoeken en besluiten die zijn gebaseerd op instrumenten waarmee uitvoering wordt gegeven aan het beginsel van wederzijdse erkenning;

d)

nauwe betrekkingen te onderhouden met de nationale Europol-eenheid, met andere contactpunten van het Europees justitieel netwerk en met andere bevoegde nationale autoriteiten.

8.   Voor de verwezenlijking van de in lid 7 bedoelde doelstellingen worden de in lid 1 en in lid 3, onder a), b) en c), bedoelde personen op het casemanagementsysteem aangesloten en kunnen de in lid 3, onder d) en e), bedoelde personen of autoriteiten hierop worden aangesloten overeenkomstig dit artikel en de artikelen 23, 24, 25 en 34. De kosten van aansluiting op het casemanagementsysteem komen ten laste van de algemene begroting van de Unie.

9.   Het opzetten van het nationaal coördinatiesysteem voor Eurojust en de aanwijzing van nationale correspondenten staat niet in de weg aan rechtstreekse contacten tussen het nationale lid en de bevoegde autoriteiten van zijn lidstaat.

Artikel 21

Informatie-uitwisseling met de lidstaten en tussen nationale leden

1.   De bevoegde autoriteiten van de lidstaten wisselen met Eurojust alle informatie uit die nodig is voor de uitvoering van zijn taken overeenkomstig de artikelen 2 en 4 en de toepasselijke gegevensbeschermingsbepalingen. Daarbij gaat het ten minste om de in de leden 4, 5 en 6 van dit artikel bedoelde informatie.

2.   De doorgifte van informatie aan Eurojust wordt alleen als een verzoek om bijstand van Eurojust opgevat indien een bevoegde autoriteit dat in het betrokken geval specifiek vermeldt.

3.   De nationale leden wisselen, zonder voorafgaande toestemming, onderling of met hun bevoegde nationale autoriteiten alle voor de uitvoering van de taken van Eurojust noodzakelijke informatie uit. Meer bepaald brengen de bevoegde nationale autoriteiten hun nationale leden onverwijld op de hoogte van een hen betreffende zaak.

4.   De bevoegde nationale autoriteiten brengen hun nationale leden op de hoogte van het instellen van gemeenschappelijke onderzoeksteams en van de resultaten van dergelijke teams.

5.   De bevoegde nationale autoriteiten stellen hun nationale leden zonder nodeloze vertraging in kennis van elke zaak waarbij ten minste drie lidstaten betrokken zijn, waarin verzoeken of besluiten inzake justitiële samenwerking, waaronder verzoeken en besluiten die gebaseerd zijn op instrumenten waarmee uitvoering wordt gegeven aan het beginsel van wederzijdse erkenning, aan ten minste twee lidstaten zijn toegezonden, en waarbij één van de volgende situaties van toepassing is:

a)

het betrokken strafbare feit wordt in de verzoekende of de uitvaardigende lidstaat strafbaar gesteld met een vrijheidsstraf of een vrijheidsbenemende maatregel met een maximumduur van ten minste vijf of zes jaar, naargelang de beslissing van de betrokken lidstaat, en is opgenomen in de onderstaande lijst:

i)

mensenhandel,

ii)

seksueel misbruik of seksuele uitbuiting, inclusief kinderpornografie en het benaderen van kinderen voor seksuele doeleinden,

iii)

drugshandel,

iv)

illegale handel in vuurwapens, onderdelen of componenten daarvan, of munitie of explosieven,

v)

corruptie,

vi)

misdrijven tegen de financiële belangen van de Unie,

vii)

valsemunterij of vervalsing van betaalmiddelen,

viii)

witwasactiviteiten,

ix)

computercriminaliteit;

b)

er zijn concrete aanwijzingen van betrokkenheid van een criminele organisatie;

c)

er zijn aanwijzingen dat de zaak een ernstige grensoverschrijdende dimensie kan hebben of ernstige gevolgen kan hebben op het niveau van de Unie, of gevolgen kan hebben voor andere dan de rechtstreeks betrokken lidstaten.

6.   De bevoegde nationale autoriteiten stellen hun nationale leden in kennis van:

a)

zaken waarin jurisdictiegeschillen zijn ontstaan of kunnen ontstaan;

b)

gecontroleerde afleveringen waarbij ten minste drie landen betrokken zijn, waaronder ten minste twee lidstaten;

c)

herhaalde problemen met of weigeringen van het tenuitvoerlegging van verzoeken of besluiten inzake justitiële samenwerking, waaronder verzoeken en besluiten die gebaseerd zijn op instrumenten waarmee uitvoering wordt gegeven aan het beginsel van wederzijdse erkenning.

7.   De bevoegde nationale autoriteiten zijn niet verplicht om in afzonderlijke gevallen informatie te verstrekken indien daardoor wezenlijke nationale veiligheidsbelangen zouden worden geschaad of de veiligheid van een persoon in gevaar zou worden gebracht.

8.   Dit artikel doet geen afbreuk aan in bilaterale of multilaterale overeenkomsten of regelingen tussen lidstaten en derde landen gestelde voorwaarden, met inbegrip van door derde landen gestelde voorwaarden betreffende het gebruik van informatie nadat deze verstrekt is.

9.   Dit artikel laat andere verplichtingen inzake overdracht van gegevens aan Eurojust, waaronder die welke voortvloeien uit Besluit 2005/671/JBZ van de Raad (19), onverlet.

10.   De in dit artikel bedoelde informatie wordt op gestructureerde en de door Eurojust bepaalde wijze verstrekt. De bevoegde nationale autoriteit hoeft deze informatie niet te verstrekken indien deze reeds overeenkomstig andere bepalingen van deze verordening aan Eurojust is doorgegeven.

Artikel 22

Door Eurojust aan de bevoegde nationale autoriteiten verstrekte gegevens

1.   Eurojust verstrekt de bevoegde nationale autoriteiten onverwijld informatie over de resultaten van informatieverwerking, onder meer over het bestaan van verbanden met reeds in het casemanagementsysteem opgenomen zaken. Die informatie kan persoonsgegevens omvatten.

2.   Wanneer een bevoegde nationale autoriteit Eurojust verzoekt om binnen een bepaalde termijn informatie te verstrekken, verstrekt Eurojust die informatie binnen die termijn.

Artikel 23

Casemanagementsysteem, register en tijdelijke werkbestanden

1.   Eurojust zet een casemanagementsysteem op dat bestaat uit tijdelijke werkbestanden en een register van de in bijlage II genoemde persoonsgegevens en niet-persoonsgebonden gegevens.

2.   Het doel van het casemanagementsysteem is:

a)

het ondersteunen van het beheer en de coördinatie van onderzoeken en vervolgingen waaraan Eurojust bijstand verleent, met name door informatie te vergelijken;

b)

het vergemakkelijken van de toegang tot informatie over lopende onderzoeken en vervolgingen;

c)

het vergemakkelijken van het toezicht op de rechtmatigheid van de verwerking van persoonsgegevens door Eurojust en op de naleving van de toepasselijke gegevensbeschermingsbepalingen.

3.   Het casemanagementsysteem kan worden verbonden met de beveiligde telecommunicatieverbinding als bedoeld in artikel 9 van Besluit 2008/976/JBZ (20).

4.   Het register bevat verwijzingen naar de tijdelijke werkbestanden die in het kader van Eurojust worden aangemaakt en mag geen andere persoonsgegevens bevatten dan die welke zijn genoemd in punt 1, onder a) tot en met i), k) en m), en in punt 2 van bijlage II.

5.   Bij uitvoering van hun taken mogen de nationale leden gegevens betreffende de individuele zaken die zij in behandeling hebben, verwerken in een tijdelijk werkbestand. Zij bieden de functionaris voor gegevensbescherming toegang tot de tijdelijke werkbestanden. Telkens wanneer een nieuw tijdelijk werkbestand met persoonsgegevens wordt aangemaakt, stelt het betrokken nationale lid de functionaris voor gegevensbescherming daarvan in kennis.

6.   Voor de verwerking van operationele persoonsgegevens mag Eurojust geen ander geautomatiseerd bestand aanmaken dan het casemanagementsysteem. Het nationale lid kan persoonsgegevens echter tijdelijk opslaan en analyseren om na te gaan of die gegevens van belang zijn voor de uitvoering van de taken van Eurojust en of zij in het casemanagementsysteem kunnen worden opgenomen. Die gegevens mogen ten hoogste drie maanden worden bewaard.

Artikel 24

Werking van de tijdelijke werkbestanden en van het register

1.   Het betrokken nationale lid maakt voor iedere zaak waarover hij informatie krijgt verstrekt een tijdelijk werkbestand aan voor zover deze informatieverstrekking in overeenstemming is met deze verordening of met andere toepasselijke rechtsinstrumenten. Het nationale lid is verantwoordelijk voor het beheer van de door hem aangemaakte tijdelijke werkbestanden.

2.   Het nationale lid dat een tijdelijk werkbestand heeft aangemaakt, besluit per geval om de toegang tot het tijdelijk werkbestand beperkt te houden dan wel om de toegang tot dit bestand of tot delen ervan te verlenen aan andere nationale leden, aan gemachtigde personeelsleden van Eurojust of aan eenieder die namens Eurojust werkt en van de administratief directeur de vereiste machtiging heeft verkregen.

3.   Het nationale lid dat een tijdelijk werkbestand heeft aangemaakt, besluit welke informatie betreffende dat tijdelijke werkbestand overeenkomstig artikel 23, lid 4, in het register wordt opgenomen.

Artikel 25

Toegang tot het casemanagementsysteem op nationaal niveau

1.   De in artikel 20, lid 3, bedoelde personen, voor zover zij op het casemanagementsysteem zijn aangesloten, mogen alleen toegang hebben tot:

a)

het register, tenzij het nationale lid dat besloten heeft de gegevens in het register op te nemen, die toegang uitdrukkelijk heeft geweigerd;

b)

door het nationale lid van hun lidstaat aangemaakte tijdelijke werkbestanden;

c)

door nationale leden van andere lidstaten aangemaakte tijdelijke werkbestanden waartoe het nationale lid van hun lidstaat toegang heeft gekregen, tenzij het nationale lid dat het tijdelijke werkbestand heeft aangemaakt deze toegang uitdrukkelijk heeft geweigerd.

2.   Het nationale lid besluit, binnen de in lid 1 van dit artikel bepaalde grenzen, over de mate waarin in zijn lidstaat toegang tot de tijdelijke werkbestanden wordt verleend aan de in artikel 20, lid 3, bedoelde personen, voor zover die op het casemanagementsysteem zijn aangesloten.

3.   Elke lidstaat besluit na overleg met zijn nationale lid over de mate waarin in die lidstaat toegang tot het register wordt verleend aan de in artikel 20, lid 3, bedoelde personen, voor zover die op het casemanagementsysteem zijn aangesloten. De lidstaten stellen Eurojust en de Commissie in kennis van hun besluit met betrekking tot de toepassing van dit lid. De Commissie stelt de andere lidstaten daarvan in kennis.

4.   Personen aan wie overeenkomstig lid 2 toegang is verleend, hebben ten minste toegang tot het register voor zover dat noodzakelijk is voor de toegang tot de tijdelijke werkbestanden waartoe hun toegang is verleend.

HOOFDSTUK IV

INFORMATIEVERWERKING

Artikel 26

Verwerking van persoonsgegevens door Eurojust

1.   Deze verordening en artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725 zijn van toepassing op de verwerking van operationele persoonsgegevens door Eurojust. Verordening (EU) 2018/1725 is van toepassing op de verwerking van door Eurojust verwerkte administratieve persoonsgegevens, met uitzondering van hoofdstuk IX van die verordening.

2.   De verwijzingen naar de „toepasselijke gegevensbeschermingsbepalingen” in deze verordening worden beschouwd als verwijzingen naar de gegevensbeschermingsbepalingen zoals vastgesteld in deze verordening en in Verordening (EU) 2018/1725.

3.   De gegevensbeschermingsbepalingen inzake de verwerking van operationele persoonsgegevens van deze verordening worden beschouwd als specifieke gegevensbeschermingsbepalingen ten opzichte van de algemene bepalingen van artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725.

4.   Eurojust stelt in de gegevensbeschermingsbepalingen van zijn reglement van orde de termijnen voor het bewaren van administratieve persoonsgegevens vast.

Artikel 27

Verwerking van operationele persoonsgegevens

1.   Voor zover noodzakelijk voor het vervullen van zijn taken kan Eurojust in het kader van zijn bevoegdheid en om zijn operationele taken uit te voeren, overeenkomstig deze verordening uitsluitend de onder punt 1 van bijlage II bedoelde operationele persoonsgegevens verwerken, langs geautomatiseerde weg of in gestructureerde manuele bestanden, van personen die op grond van het nationale recht van de betrokken lidstaten worden aangemerkt als personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen ten aanzien waarvan Eurojust bevoegd is, of die voor een dergelijk feit veroordeeld zijn.

2.   Eurojust mag uitsluitend de onder punt 2 van bijlage II bedoelde operationele persoonsgegevens verwerken van personen die op grond van het nationale recht van de betrokken lidstaten worden beschouwd als slachtoffers of andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in het kader van een strafrechtelijk onderzoek of strafrechtelijke vervolging inzake een of meer van de in artikel 3 bedoelde vormen van criminaliteit en strafbare feiten, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een in lid 1 bedoelde persoon. Dergelijke operationele persoonsgegevens mogen alleen worden verwerkt indien dit noodzakelijk is voor de verwezenlijking van de taken van Eurojust, in het kader van zijn bevoegdheden en om zijn operationele taken uit te voeren.

3.   In uitzonderlijke gevallen kan Eurojust voor een bepaalde periode, die niet langer duurt dan nodig is voor het sluiten van de zaak in verband waarmee de gegevens worden verwerkt, ook andere dan de in de bijlage II bedoelde operationele persoonsgegevens verwerken die betrekking hebben op de omstandigheden van een strafbaar feit, wanneer dergelijke gegevens van onmiddellijk belang zijn voor en deel uitmaken van lopende onderzoeken die Eurojust coördineert of helpt coördineren en indien de verwerking noodzakelijk is voor de in lid 1 genoemde doeleinden. De in artikel 36 bedoelde functionaris voor gegevensbescherming wordt onmiddellijk op de hoogte gebracht wanneer dergelijke operationele persoonsgegevens worden verwerkt en wordt in kennis gesteld van de specifieke omstandigheden die de noodzaak van de verwerking van die operationele persoonsgegevens rechtvaardigen. Wanneer die andere gegevens betrekking hebben op getuigen of slachtoffers in de zin van lid 2 van dit artikel wordt het besluit tot verwerking door de betrokken nationale leden gezamenlijk genomen.

4.   Eurojust kan bijzondere categorieën operationele persoonsgegevens verwerken overeenkomstig artikel 76 van Verordening (EU) 2018/1725 . Deze gegevens mogen niet worden verwerkt in het in artikel 23, lid 4, van deze verordening bedoelde register. Wanneer die andere gegevens betrekking hebben op getuigen of slachtoffers in de zin van lid 2 van dit artikel wordt het besluit tot verwerking door de betrokken nationale leden genomen.

Artikel 28

Verwerking onder gezag van Eurojust of de verwerker

De verwerker en eenieder die onder het gezag van Eurojust of van de verwerker handelt en toegang heeft tot operationele persoonsgegevens, verwerkt deze uitsluitend in opdracht van Eurojust, tenzij hij volgens het Unierecht of het recht van een lidstaat tot de verwerking gehouden is.

Artikel 29

Bewaartermijnen van operationele persoonsgegevens

1.   Eurojust slaat de operationele persoonsgegevens die het verwerkt niet langer op dan noodzakelijk is voor de uitvoering van zijn taken. Onverminderd lid 3 van dit artikel, mogen met name de in artikel 27 bedoelde operationele persoonsgegevens niet langer worden bewaard dan het moment waarop de eerste van de volgende data zich voordoet:

a)

de datum waarop in alle bij het onderzoek en de vervolgingen betrokken lidstaten de geldende termijn voor verjaring van het recht van strafvordering is verstreken;

b)

de datum waarop aan Eurojust wordt meegedeeld dat de betrokkene wordt vrijgesproken en het vonnis kracht van gewijsde hebben gekregen, in welk geval de betrokken lidstaat Eurojust daarvan onverwijld in kennis stelt;

c)

drie jaar nadat het vonnis in de laatste van de lidstaten, die betrokken zijn bij het onderzoek of de vervolging, kracht van gewijsde heeft gekregen;

d)

de datum waarop Eurojust en de betrokken lidstaten in onderling overleg hebben vastgesteld of zijn overeengekomen dat Eurojust de coördinatie van het onderzoek en de vervolging niet meer hoeft voort te zetten, tenzij er overeenkomstig artikel 21, lid 5 of 6, een verplichting is om deze informatie aan Eurojust te verstrekken;

e)

drie jaar na de datum waarop overeenkomstig artikel 21, lid 5 of 6, operationele persoonsgegevens werden verstrekt.

2.   De naleving van de in lid 1 van dit artikel bedoelde bewaartermijnen wordt permanent gecontroleerd door middel van adequate geautomatiseerde verwerking door Eurojust, met name vanaf het moment waarop de zaak door Eurojust wordt afgesloten. Na de invoering van de gegevens wordt ook om de drie jaar nagegaan of de bewaring noodzakelijk is, waarbij de resultaten van een dergelijke beoordeling voor de gehele zaak gelden. Als operationele persoonsgegevens als bedoeld in artikel 27, lid 4, worden bewaard gedurende een periode van meer dan vijf jaar, wordt de EDPS in kennis gesteld.

3.   Voordat een van de in lid 1 bedoelde bewaartermijnen verstrijkt, controleert Eurojust of en hoelang het nodig is de operationele persoonsgegevens verder te bewaren teneinde zijn taken te verwezenlijken. Eurojust kan besluiten om de gegevens bij wijze van afwijking tot de volgende controle te bewaren. De redenen voor verdere bewaring worden onderbouwd en geregistreerd. Als er bij de controle niet wordt besloten tot verdere bewaring van de operationele persoonsgegevens, worden deze gegevens automatisch gewist.

4.   Wanneer operationele persoonsgegevens overeenkomstig lid 3 langer zijn bewaard dan de in lid 1 bedoelde bewaartermijnen, gaat de EDPS ook om de drie jaar na of de bewaring van die gegevens noodzakelijk is.

5.   Wanneer de bewaartermijn van het laatste geautomatiseerde gegeven uit het dossier is verstreken, worden alle stukken van het dossier vernietigd, met uitzondering van de oorspronkelijke stukken die Eurojust van nationale autoriteiten heeft ontvangen en die aan de afzender moeten worden teruggestuurd.

6.   Indien Eurojust een onderzoek of vervolgingen heeft gecoördineerd, stellen de betrokken nationale leden elkaar in kennis wanneer zij informatie ontvangen dat de zaak geseponeerd of afgewezen is of dat alle vonnissen in verband met de zaak kracht van gewijsde hebben gekregen.

7.   Lid 5 is niet van toepassing indien:

a)

dit de belangen zou schaden van een betrokkene die moet worden beschermd; in dergelijke gevallen worden de operationele persoonsgegevens uitsluitend gebruikt met uitdrukkelijke schriftelijke toestemming van de betrokkene;

b)

de juistheid van de operationele persoonsgegevens wordt betwist door de betrokkene; in dergelijke gevallen is lid 5 van dit artikel niet van toepassing gedurende een periode waarin de lidstaten of Eurojust, in voorkomend geval, de juistheid van dergelijke gegevens kunnen controleren;

c)

de operationele persoonsgegevens moeten worden bewaard als bewijsmateriaal of voor de vaststelling, uitoefening of verdediging van een rechtsvordering;

d)

de betrokkene zich tegen de wissing van de operationele persoonsgegevens verzet en in plaats daarvan verzoekt om een gebruiksbeperking; of

e)

de operationele persoonsgegevens moeten worden gearchiveerd in het algemeen belang of met het oog op statistische doeleinden.

Artikel 30

Beveiliging van operationele persoonsgegevens

Eurojust en de lidstaten stellen mechanismen vast om ervoor te zorgen dat de in artikel 91 van Verordening (EU) 2018/1725 bedoelde beveiligingsmaatregelen gelden rond alle informatiesystemen.

Artikel 31

Recht van inzage door de betrokkene

1.   Elke betrokkene die gebruik wil maken van zijn in artikel 80 van Verordening (EU), 2018/1725 bedoelde recht van inzage van operationele persoonsgegevens die betrekking op hem hebben en die door Eurojust zijn verwerkt, kan daartoe bij Eurojust of de nationale toezichthoudende autoriteit in de lidstaat van zijn keuze een verzoek indienen. Die autoriteit geeft het verzoek onverwijld, en in elk geval binnen een maand na ontvangst ervan door aan Eurojust.

2.   Eurojust beantwoordt het verzoek onverwijld, en in elk geval binnen drie maanden na ontvangst.

3.   Eurojust raadpleegt de bevoegde autoriteiten van de betrokken lidstaten alvorens op het verzoek te beslissen. Het door Eurojust genomen besluit betreffende de inzage van gegevens kan enkel worden genomen in nauwe samenwerking met de lidstaten waarvoor de verstrekking van die gegevens van rechtstreeks belang is. Indien een lidstaat bezwaar maakt tegen het door Eurojust voorgestelde besluit, stelt hij Eurojust in kennis van de redenen voor dit bezwaar. Eurojust respecteert een dergelijk bezwaar. De betrokken nationale leden stellen de bevoegde autoriteiten vervolgens in kennis van de inhoud van het besluit van Eurojust.

4.   De betrokken nationale leden, behandelen het verzoek en nemen namens Eurojust een besluit. Indien de betrokken nationale leden geen overeenstemming bereiken, verwijzen zij de zaak door naar het college, dat met een tweederdemeerderheid een besluit neemt over het verzoek.

Artikel 32

Beperking van het recht van inzage

In gevallen als bedoeld in artikel 81 van Verordening (EU) 2018/1725 informeert Eurojust de betrokkene na raadpleging van de bevoegde autoriteiten van de betrokken lidstaten overeenkomstig artikel 31, lid 3, van deze verordening.

Artikel 33

Recht op beperking van de verwerking

Onverminderd de in artikel 29, lid 7, van deze verordening bepaalde uitzonderingen, worden de operationele persoonsgegevens, wanneer de verwerking daarvan uit hoofde van artikel 82, lid 3, van Verordening (EU) 2018/1725 is beperkt, enkel verwerkt ter bescherming van de rechten van de betrokkene of een andere natuurlijke of rechtspersoon die partij is bij de procedure waarbij Eurojust partij is, of voor de doeleinden van artikel 82, lid 3, van Verordening (EU) 2018/1725.

Artikel 34

Gemachtigde toegang tot operationele persoonsgegevens binnen Eurojust

Alleen de nationale leden, hun adjuncten, hun medewerkers en gemachtigde gedetacheerde nationale deskundigen, de in artikel 20, lid 3, bedoelde personen voor zover die op het casemanagementsysteem zijn aangesloten en de gemachtigde personeelsleden van Eurojust hebben ter vervulling van de taken van Eurojust en binnen de in de artikelen 23, 24 en 25 gestelde grenzen toegang tot door Eurojust verwerkte operationele persoonsgegevens.

Artikel 35

Registers van categorieën verwerkingsactiviteiten

1.   Eurojust houdt een register bij van alle categorieën verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende informatie:

a)

de contactgegevens van Eurojust en de naam en de contactgegevens van zijn functionaris voor gegevensbescherming;

b)

de doeleinden van de verwerking;

c)

de beschrijving van de categorieën betrokkenen en van de categorieën operationele persoonsgegevens;

d)

de categorieën ontvangers aan wie de operationele persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

e)

indien van toepassing, de doorgiften van operationele persoonsgegevens aan een derde land of een internationale organisatie, met vermelding van de naam van dat derde land of die internationale organisatie;

f)

indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g)

indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 91 van Verordening (EU) 2018/1725 .

2.   Het in lid 1 bedoelde register is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.

3.   Eurojust stelt het register op verzoek ter beschikking van de EDPS.

Artikel 36

Aanwijzing van de functionaris voor gegevensbescherming

1.   De raad van bestuur wijst een functionaris voor gegevensbescherming aan. De functionaris voor gegevensbescherming is een personeelslid dat specifiek voor dit doel wordt benoemd. Bij de uitvoering van zijn taken treedt de functionaris voor gegevensbescherming onafhankelijk op en mag hij geen instructies ontvangen.

2.   De functionaris voor gegevensbescherming wordt gekozen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in deze verordening, met name in artikel 38, bedoelde taken te vervullen.

3.   De keuze van de functionaris voor gegevensbescherming mag niet kunnen leiden tot een belangenconflict tussen zijn taak als functionaris voor gegevensbescherming en andere officiële taken, met name in verband met de toepassing van deze verordening.

4.   De functionaris voor gegevensbescherming wordt benoemd voor een termijn van vier jaar en kan worden herbenoemd, maar de totale duur van zijn mandaat mag niet meer dan acht jaar bedragen. De functionaris voor gegevensbescherming kan door de raad van bestuur en uitsluitend met toestemming van de EDPS van zijn functie worden ontheven indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.

5.   Eurojust maakt de contactgegevens van de functionaris voor gegevensbescherming bekend en deelt deze mee aan de EDPS.

Artikel 37

Positie van de functionaris voor gegevensbescherming

1.   Eurojust zorgt ervoor dat de functionaris voor gegevensbescherming goed en tijdig betrokken wordt bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.   Eurojust ondersteunt de functionaris voor gegevensbescherming bij de vervulling van de in artikel 38 bedoelde taken door hem de benodigde middelen en het benodigde personeel voor het vervullen van deze taken ter beschikking te stellen en door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten, en door het op peil houden van zijn deskundigheid.

3.   Eurojust zorgt ervoor dat de functionaris voor gegevensbescherming geen instructies krijgt met betrekking tot de uitvoering van zijn taken. De functionaris voor gegevensbescherming wordt door de raad van bestuur niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan het college met betrekking tot de operationele persoonsgegevens en aan de raad van bestuur met betrekking tot de administratieve persoonsgegevens.

4.   Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun persoonsgegevens en met de uitoefening van hun rechten uit hoofde van deze verordening en van Verordening (EU) 2018/1725 .

5.   De raad van bestuur stelt uitvoeringsbepalingen vast met betrekking tot de functionaris voor gegevensbescherming. Deze uitvoeringsbepalingen hebben met name betrekking op de selectieprocedure voor de positie van functionaris voor gegevensbescherming, zijn ontslag, taken, verplichtingen en bevoegdheden, en waarborgen voor de onafhankelijkheid van de functionaris voor gegevensbescherming.

6.   De functionaris voor gegevensbescherming en zijn personeelsleden zijn gebonden door de geheimhoudingsplicht overeenkomstig artikel 72.

7.   De functionaris voor gegevensbescherming kan door de verwerkingsverantwoordelijke en de verwerker, het betrokken personeelscomité en elke natuurlijke persoon, zonder de officiële weg te volgen, worden geraadpleegd over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening en Verordening (EU) 2018/1725 . Niemand mag nadeel ondervinden van het feit dat hij een zaak onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht, waarin een schending wordt gesteld van deze verordening of Verordening (EU) 2018/1725.

8.   Na zijn aanwijzing wordt de functionaris voor gegevensbescherming door Eurojust aangemeld bij de EDPS.

Artikel 38

Taken van de functionaris voor gegevensbescherming

1.   De functionaris voor gegevensbescherming heeft met name de volgende taken met betrekking tot de verwerking van persoonsgegevens:

a)

er op onafhankelijke wijze op toezien dat Eurojust de gegevensbeschermingsbepalingen van deze verordening en Verordening (EU) 2018/1725 en de toepasselijke gegevensbeschermingsbepalingen in het reglement van orde van Eurojust naleeft; daaronder valt tevens het toezicht op naleving van deze verordening, van Verordening (EU) 2018/1725, van andere gegevensbeschermingsbepalingen van Unierecht of nationaal recht en van het beleid van Eurojust met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en betreffende audits;

b)

Eurojust en het personeel dat persoonsgegevens verwerkt, informeren en adviseren over hun verplichtingen op grond van deze verordening, Verordening (EU) 2018/1725 en andere gegevensbeschermingsbepalingen van Unierecht of nationaal recht;

c)

desgevraagd advies verstrekken met betrekking tot de effectbeoordeling van gegevensbescherming en toezien op de uitvoering daarvan op grond van 89 van Verordening (EU) 2018/1725;

d)

waarborgen dat de verstrekking en de ontvangst van persoonsgegevens worden bijgehouden overeenkomstig de in het reglement van orde van Eurojust op te nemen bepalingen;

e)

samenwerken met de personeelsleden van Eurojust die verantwoordelijk zijn voor procedures, opleiding en advies op het gebied van gegevensverwerking;

f)

samenwerken met de EDPS;

g)

waarborgen dat de betrokkenen op hun verzoek in kennis worden gesteld van hun rechten uit hoofde van deze verordening en Verordening (EU) 2018/1725;

h)

optreden als contactpunt voor de EDPS; inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 90 van Verordening (EU) 2018/1725 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid;

i)

desgevraagd advies verstrekken met betrekking tot de noodzaak van een melding of mededeling inzake een inbreuk in verband met persoonsgegevens in overeenstemming met de artikelen 92 en 93 van Verordening (EU) 2018/1725;

j)

opstellen van een jaarverslag en dit verslag voorleggen aan de raad van bestuur, het college en de EDPS.

2.   De functionaris voor gegevensbescherming vervult de functies die bij Verordening (EU) 2018/1725 met betrekking tot administratieve persoonsgegevens zijn vastgelegd.

3.   Voor zover nodig voor de uitvoering van hun taken hebben de functionaris voor gegevensbescherming en de personeelsleden van Eurojust die de functionaris voor gegevensverwerking bijstaan bij de uitvoering van zijn taken, toegang tot de door Eurojust verwerkte persoonsgegevens en tot de gebouwen van Eurojust.

4.   Indien de functionaris voor gegevensbescherming van oordeel is dat de bepalingen van Verordening (EU) 2018/1725 met betrekking tot de verwerking van administratieve persoonsgegevens of de bepalingen van deze verordening of van artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725 met betrekking tot de verwerking van operationele persoonsgegevens niet worden nageleefd, stelt hij de raad van bestuur hiervan in kennis, met het verzoek deze situatie van niet-naleving binnen een bepaalde termijn op te lossen. Indien de raad van bestuur deze situatie van niet-naleving niet binnen de gestelde termijn oplost, legt de functionaris voor gegevensbescherming de zaak voor aan de EDPS.

Artikel 39

Melding van een inbreuk in verband met persoonsgegevens aan de betrokken autoriteiten

1.   In het geval van een inbreuk in verband met persoonsgegevens meldt Eurojust die inbreuk onverwijld aan de bevoegde autoriteiten van de betrokken lidstaten.

2.   De in lid 1 bedoelde melding bevat ten minste:

a)

een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk en passend de categorieën en het aantal betrokkenen in kwestie, alsook de categorieën en het aantal gegevensbestanden in kwestie;

b)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

c)

een omschrijving van de maatregelen die Eurojust heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken; en

d)

waar passend, aanbevelingen voor maatregelen om de mogelijke nadelige gevolgen van de inbreuk in verband met persoonsgegevens te beperken.

Artikel 40

Toezicht door de EDPS

1.   De EDPS is belast met het toezicht op en het verzekeren van de toepassing van de bepalingen van deze verordening en Verordening (EU) 2018/1725 betreffende de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met de verwerking van operationele persoonsgegevens door Eurojust, alsmede voor het verstrekken van advies aan Eurojust en aan de betrokkenen inzake de verwerking van operationele persoonsgegevens. Daartoe vervult de EDPS de bij lid 2 van dit artikel opgedragen taken, oefent hij de bij lid 3 van dit artikel verleende bevoegdheden uit en werkt hij overeenkomstig artikel 42 samen met de nationale toezichthoudende autoriteiten.

2.   De EDPS is op grond van deze verordening en Verordening (EU) 2018/1725 belast met de volgende taken:

a)

het kennisnemen en onderzoeken van klachten, en de mededeling van het resultaat aan de betrokkene binnen een redelijke termijn;

b)

het instellen op eigen initiatief of op basis van klachten van onderzoeken, en het in kennis stellen van de betrokkenen binnen een redelijke termijn;

c)

het toezien op en zorgen voor de toepassing door Eurojust van de bepalingen van deze verordening en Verordening (EU) 2018/1725 betreffende de bescherming van natuurlijke personen in verband met de verwerking van operationele persoonsgegevens;

d)

de advisering van Eurojust op eigen initiatief of naar aanleiding van een raadpleging over alles wat de verwerking van operationele persoonsgegevens betreft, met name voordat Eurojust interne regels opstelt betreffende de bescherming van grondrechten en fundamentele vrijheden bij de verwerking van operationele persoonsgegevens.

3.   De EDPS kan ingevolge deze verordening en Verordening (EU) 2018/1725 met inachtneming van de gevolgen voor door lidstaten uitgevoerde onderzoeken en vervolgingen:

a)

betrokkenen adviseren bij de uitoefening van hun rechten;

b)

een zaak voorleggen aan Eurojust in het geval van een vermeende inbreuk op de bepalingen betreffende de verwerking van operationele persoonsgegevens en in voorkomend geval voorstellen doen om de inbreuk ongedaan te maken en de betrokkenen beter te beschermen;

c)

Eurojust raadplegen wanneer verzoeken om uitoefening van bepaalde rechten in verband met operationele persoonsgegevens in strijd met artikel 31, 32 of 33 van deze verordening dan wel de artikelen 77 tot en met 82 of artikel 84 van Verordening (EU) 2018/1725 zijn afgewezen;

d)

Eurojust waarschuwen;

e)

Eurojust belasten met de verbetering, beperking of wissing van operationele persoonsgegevens die door Eurojust in strijd met de bepalingen betreffende de verwerking van operationele persoonsgegevens zijn verwerkt en derden, aan wie dergelijke gegevens openbaar zijn gemaakt, daarvan in kennis stellen, op voorwaarde dat dit niet interfereert met de in artikel 2 van deze verordening bepaalde taken van Eurojust;

f)

de zaak aan het Hof van Justitie van de Europese Unie (het „Hof”) voorleggen overeenkomstig de in het VWEU vastgestelde voorwaarden;

g)

tussenkomen in procedures die bij het Hof aanhangig zijn gemaakt.

4.   De EDPS heeft, voor zover dit noodzakelijk is voor de uitvoering van zijn taken, toegang tot de door Eurojust verwerkte operationele persoonsgegevens en tot de gebouwen van Eurojust.

5.   De EDPS stelt een jaarverslag op over zijn controleactiviteiten met betrekking tot Eurojust. Dat verslag maakt deel uit van het in artikel 60 van Verordening (EU) 2018/1725 bedoelde jaarverslag van de EDPS. De nationale toezichthoudende autoriteiten wordt verzocht opmerkingen te formuleren over dit verslag, voordat het onderdeel wordt van het in artikel 60 van Verordening (EU) 2018/1725 bedoelde jaarverslag van de EDPS. De EDPS houdt zo veel mogelijk rekening met de opmerkingen van de nationale toezichthoudende autoriteiten en maakt er in ieder geval melding van in het jaarverslag.

6.   Op verzoek van de EDPS werkt Eurojust bij de uitvoering van zijn taken samen met de EDPS.

Artikel 41

Beroepsgeheim van de EDPS

1.   Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van officiële taken ter kennis is gekomen, geldt voor de EDPS en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.

2.   De EDPS houdt bij de uitoefening van zijn toezichtsbevoegdheden zo veel mogelijk rekening met het geheim van gerechtelijke onderzoeken en strafrechtelijke procedures, overeenkomstig het Unierecht of het recht van de lidstaten.

Artikel 42

Samenwerking tussen de EDPS en de nationale toezichthoudende autoriteiten

1.   De EDPS werkt nauw samen met de nationale toezichthoudende autoriteiten bij specifieke kwesties waarvoor nationale betrokkenheid vereist is, met name in het geval dat de EDPS of een nationale toezichthoudende autoriteit grote verschillen tussen praktijken van de lidstaten of een potentieel onrechtmatige gegevensoverdracht via de kanalen van Eurojust constateert, dan wel in de context van vragen van een of meer nationale toezichthoudende autoriteiten over de uitvoering en de uitlegging van deze verordening.

2.   In de in lid 1 bedoelde gevallen wordt overeenkomstig artikel 62 van Verordening (EU) 2018/1725 gezorgd voor gecoördineerd toezicht.

3.   De EDPS houdt de nationale toezichthoudende autoriteiten ten volle op de hoogte van alle aangelegenheden die hen rechtstreeks of anderszins raken. De EDPS informeert nationale toezichthoudende autoriteiten over specifieke aangelegenheden op verzoek van één of meer van hen.

4.   In zaken in verband met gegevens die afkomstig zijn van een of meer lidstaten, met name in de in artikel 43, lid 3, bedoelde gevallen, raadpleegt de EDPS de betrokken nationale toezichthoudende autoriteiten. De EDPS neemt pas een besluit over verdere maatregelen nadat de nationale toezichthoudende autoriteiten hem binnen een door de EDPS gestelde termijn hun standpunt kenbaar hebben gemaakt. Die termijn bedraagt niet minder dan één en niet meer dan drie maanden. De EDPS houdt zorgvuldig rekening met het standpunt van de betrokken nationale toezichthoudende autoriteiten. Indien de EDPS van plan is hun standpunt niet te volgen, laat hij hun dat met opgave van redenen weten, en legt hij de zaak voor aan het Europees comité voor gegevensbescherming.

In gevallen die de EDPS uiterst dringend acht, kan hij besluiten onmiddellijk actie te ondernemen. In dergelijke gevallen brengt de EDPS de nationale toezichthoudende autoriteiten onmiddellijk op de hoogte en onderbouwt hij de dringende aard van de situatie en rechtvaardigt hij de door hem ondernomen actie.

5.   De nationale toezichthoudende autoriteiten houden de EDPS op de hoogte van alle stappen die zij nemen in verband met de overdracht, de opvraging of andere verstrekking van operationele persoonsgegevens uit hoofde van deze verordening door de lidstaten.

Artikel 43

Recht om een klacht aangaande operationele persoonsgegevens in te dienen bij de EDPS

1.   Elke betrokkene heeft het recht om een klacht in te dienen bij de EDPS, indien hij van oordeel is dat de verwerking van zijn operationele persoonsgegevens door Eurojust deze verordening of Verordening (EU) 2018/1725 niet naleeft.

2.   Indien een klacht betrekking heeft op een besluit als bedoeld in de artikelen 31, 32 of 33 van deze verordening of de artikelen 80, 81 of 82 van Verordening (EU) 2018/1725, raadpleegt de EDPS de nationale toezichthoudende autoriteiten of de bevoegde gerechtelijke instantie van de lidstaat die de gegevens heeft verstrekt dan wel van de rechtstreeks betrokken lidstaat. Bij de vaststelling van een besluit, die een weigering kan inhouden om informatie te verstrekken, houdt de EDPS rekening met het standpunt van de nationale toezichthoudende autoriteit of de bevoegde gerechtelijke instantie.

3.   Indien een klacht betrekking heeft op de verwerking van door een lidstaat aan Eurojust verstrekte gegevens, vergewissen de EDPS en de nationale toezichthoudende autoriteit van de lidstaat die de gegevens heeft verstrekt zich er elk binnen hun respectieve bevoegdheden van dat de nodige controles op de rechtmatigheid van de gegevensverwerking correct zijn uitgevoerd.

4.   Indien een klacht betrekking heeft op de verwerking van door organen, instanties of agentschappen van de Unie, door derde landen of door internationale organisaties aan Eurojust verstrekte gegevens, of op de verwerking van gegevens die Eurojust aan openbare bronnen heeft ontleend, vergewist de EDPS zich ervan dat Eurojust op correcte wijze de nodige controles op de rechtmatigheid van de gegevensverwerking heeft uitgevoerd.

5.   De EDPS houdt de betrokkene op de hoogte van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte uit hoofde van artikel 44.

Artikel 44

Recht op rechterlijke toetsing van een beslissing van de EDPS

Bij het Hof kan beroep worden ingesteld tegen beslissingen van de EDPS inzake operationele persoonsgegevens.

Artikel 45

Verantwoordelijkheid voor gegevensbescherming

1.   Eurojust verwerkt operationele persoonsgegevens zodanig dat kan worden vastgesteld welke instantie de gegevens heeft verstrekt of uit welke bron de gegevens afkomstig zijn.

2.   De verantwoordelijkheid voor de juistheid van de operationele persoonsgegevens ligt bij:

a)

Eurojust voor operationele persoonsgegevens die zijn verstrekt door een lidstaat, of door een instelling, een instantie of een orgaan van de Unie, indien de verstrekte gegevens door Eurojust tijdens de verwerking zijn gewijzigd;

b)

de lidstaat of de instelling, het orgaan of de instantie van de Unie die de gegevens aan Eurojust heeft verstrekt, indien de verstrekte gegevens tijdens de verwerking door Eurojust niet zijn gewijzigd;

c)

Eurojust voor operationele persoonsgegevens die door derde landen of door internationale organisaties zijn verstrekt, en voor operationele persoonsgegevens die door Eurojust aan openbare bronnen zijn ontleend.

3.   De verantwoordelijkheid voor de naleving van Verordening (EU) 2018/1725 wat betreft administratieve persoonsgegevens en voor de naleving van deze verordening en van artikel 3 en hoofdstuk IX van Verordening (EU) 2018/1725 wat betreft operationele persoonsgegevens, ligt bij Eurojust.

De verantwoordelijkheid voor de rechtmatigheid van doorgifte van operationele persoonsgegevens ligt bij:

a)

de lidstaat die de betrokken operationele persoonsgegevens aan Eurojust heeft verstrekt;

b)

Eurojust voor de betrokken operationele persoonsgegevens die het aan de lidstaten, aan instellingen, organen, instanties of agentschappen van de Unie of aan derde landen of internationale organisaties heeft verstrekt.

4.   Onverminderd andere bepalingen van deze verordening is Eurojust verantwoordelijk voor alle gegevens die het verwerkt.

Artikel 46

Aansprakelijkheid voor ongeoorloofde of onjuiste verwerking van gegevens

1.   Eurojust is overeenkomstig artikel 340 VWEU aansprakelijk voor alle schade die aan een particulier is berokkend als gevolg van ongeoorloofde of onjuiste gegevensverwerking door Eurojust.

2.   Klachten tegen Eurojust op in lid 1 van dit artikel bedoelde aansprakelijkheidsgronden worden ingediend bij het Hof overeenkomstig artikel 268 VWEU.

3.   Elke lidstaat is overeenkomstig zijn nationaal recht aansprakelijk voor alle schade die aan een particulier is berokkend als gevolg van ongeoorloofde of onjuiste verwerking door die lidstaat van aan Eurojust meegedeelde gegevens.

HOOFDSTUK V

BETREKKINGEN MET PARTNERS

AFDELING I

Gemeenschappelijke bepalingen

Artikel 47

Gemeenschappelijke bepalingen

1.   Voor zover noodzakelijk voor de uitvoering van zijn taken kan Eurojust samenwerkingsverbanden aangaan en onderhouden met instellingen, organen, instanties en agentschappen van de Unie overeenkomstig hun respectieve doelstellingen, alsook met de bevoegde autoriteiten van derde landen en internationale organisaties overeenkomstig de in artikel 52 bedoelde samenwerkingsstrategie.

2.   Voor zover relevant voor de uitvoering van zijn taken en behoudens beperkingen op grond van artikel 21, lid 8, en artikel 76 kan Eurojust rechtstreeks alle informatie, met uitzondering van persoonsgegevens, uitwisselen met de in lid 1 van dit artikel bedoelde entiteiten.

3.   Eurojust kan voor de in de leden 1 en 2 vermelde doeleinden werkafspraken maken met de in lid 1 bedoelde entiteiten. Zulke werkafspraken vormen geen grondslag voor het toestaan van de uitwisseling van persoonsgegevens en zijn niet bindend voor de Unie of haar lidstaten.

4.   Eurojust kan persoonsgegevens van de in lid 1 bedoelde entiteiten ontvangen en deze verwerken voor zover nodig voor de uitvoering van zijn taken en mits in overeenstemming met de toepasselijke gegevensbeschermingsbepalingen.

5.   Persoonsgegevens mogen door Eurojust alleen aan instellingen, organen en instanties van de Unie, aan derde landen en aan internationale organisaties worden doorgegeven indien dit noodzakelijk is voor de uitvoering van zijn taken en in overeenstemming is met de artikelen 55 en 56. Indien de over te dragen gegevens zijn verstrekt door een lidstaat, verzoekt Eurojust eerst om toestemming van de betrokken bevoegde autoriteit in die lidstaat, tenzij de lidstaat aan een dergelijke verdere overdracht zijn voorafgaande goedkeuring heeft gegeven, in algemene zin dan wel onder specifieke voorwaarden. Deze goedkeuring kan te allen tijde worden ingetrokken.

6.   Wanneer lidstaten, instellingen, organen, instanties of agentschappen van de Unie, derde landen of internationale organisaties persoonsgegevens van Eurojust hebben ontvangen, zijn doorgiften van dergelijke gegevens aan derden verboden tenzij aan alle volgende voorwaarden is voldaan:

a)

Eurojust vooraf toestemming heeft verkregen van de lidstaat die de gegevens heeft verstrekt;

b)

Eurojust hiervoor uitdrukkelijk toestemming heeft verleend na de omstandigheden van het betrokken geval te hebben onderzocht;

c)

de doorgifte uitsluitend een specifiek doel dient dat niet onverenigbaar is met het doel waarvoor de gegevens waren toegezonden.

AFDELING II

Betrekkingen met partners binnen de Unie

Artikel 48

Samenwerking met het Europees justitieel netwerk en andere Unienetwerken voor justitiële samenwerking in strafzaken

1.   Eurojust en het Europees justitieel netwerk in strafzaken onderhouden met elkaar bevoorrechte betrekkingen, die gebaseerd zijn op overleg en complementariteit, met name tussen het nationale lid, de contactpunten van het Europees justitieel netwerk van dezelfde lidstaat als het nationale lid en de nationale correspondenten voor Eurojust en het Europees justitieel netwerk. Ten behoeve van een efficiënte samenwerking worden de volgende maatregelen genomen:

a)

de nationale leden brengen de contactpunten van het Europees justitieel netwerk per geval op de hoogte van alle zaken die in hun ogen beter door het netwerk kunnen worden behandeld;

b)

het secretariaat van het Europees justitieel netwerk maakt deel uit van het personeel van Eurojust. Het vormt een aparte eenheid. Het kan beschikken over de administratieve middelen van Eurojust die het nodig heeft om de taken van het Europees justitieel netwerk te vervullen, onder meer voor dekking van de kosten van de plenaire vergaderingen van het netwerk;

c)

De contactpunten van het Europees justitieel netwerk kunnen ad hoc worden uitgenodigd voor de vergaderingen van Eurojust;

d)

Eurojust en het Europees justitieel netwerk kunnen gebruikmaken van het nationaal coördinatiesysteem voor Eurojust om overeenkomstig artikel 20, lid 7, onder b), te bepalen of een verzoek met bijstand van Eurojust of van het Europees justitieel netwerk moet worden behandeld.

2.   De secretariaten van het netwerk voor gemeenschappelijke onderzoeksteams en van het bij Besluit 2002/494/JBZ opgezette netwerk behoren tot het personeel van Eurojust. Die secretariaten vormen aparte eenheden. Zij kunnen beschikken over de administratieve middelen van Eurojust die zij nodig hebben om hun taken te vervullen. Eurojust zorgt voor de coördinatie tussen de secretariaten. Dit lid is van toepassing op het secretariaat van elk relevant netwerk voor justitiële samenwerking in strafzaken waarvoor steun in de vorm van een secretariaat moet worden geleverd door Eurojust. Eurojust kan steun verlenen, onder meer indien passend door middel van een secretariaat dat wordt ondergebracht bij Eurojust, aan relevante Europese netwerken en organen voor justitiële samenwerking in strafzaken.

3.   Het bij Besluit 2008/852/JBZ opgezette netwerk kan Eurojust verzoeken te voorzien in een secretariaat voor het netwerk. Indien dat verzoek wordt gedaan, is lid 2 van toepassing.

Artikel 49

Betrekkingen met Europol

1.   Eurojust neemt alle passende maatregelen om Europol in staat te stellen om binnen de grenzen van het mandaat van Europol op basis van een hit/no hit-systeem indirecte toegang te verkrijgen tot de aan Eurojust verstrekte informatie, onverminderd eventuele beperkingen die zijn gesteld door de lidstaat, het orgaan, de instantie of het agentschap van de Unie, het derde land of de internationale organisatie die of dat de betrokken informatie heeft verstrekt. Indien een zoekopdracht een hit oplevert, start Eurojust de procedure op grond waarvan de informatie die tot de hit heeft geleid, mag worden gedeeld, met inachtneming van het besluit van de lidstaat, het orgaan, de instantie of het agentschap van de Unie, het derde land of de internationale organisatie die of dat de informatie aan Eurojust heeft verstrekt.

2.   Zoekopdrachten naar informatie overeenkomstig lid 1 worden slechts uitgevoerd om na te gaan of de bij Europol beschikbare informatie overeenkomt met de door Eurojust verwerkte informatie.

3.   Eurojust staat zoekopdrachten overeenkomstig lid 1 slechts toe nadat het van Europol heeft vernomen welke personeelsleden van Europol zijn gemachtigd om dergelijke zoekopdrachten uit te voeren.

4.   Indien tijdens de informatieverwerkingsactiviteiten van Eurojust met betrekking tot een individueel onderzoek Eurojust of een lidstaat coördinatie, samenwerking of ondersteuning overeenkomstig het mandaat van Europol nodig acht, brengt Eurojust Europol hiervan op de hoogte en start het de procedure voor informatie-uitwisseling, met inachtneming van het besluit van de lidstaat die de informatie heeft verstrekt. In zulke gevallen overlegt Eurojust met Europol.

5.   Voor zover van belang voor de uitvoering van de taken van de twee agentschappen en voor de verwezenlijking van hun doelstellingen, rekening houdend met de noodzaak om dubbel werk te vermijden, gaat Eurojust een nauwe samenwerking met Europol aan en onderhoudt het deze samenwerking.

Daartoe komen de uitvoerend directeur van Europol en de voorzitter van Eurojust geregeld bijeen om kwesties van gemeenschappelijk belang te bespreken.

6.   Europol neemt elke algemene of specifieke toegangs- of gebruiksbeperking in acht die een lidstaat, orgaan, instantie of agentschap van de Unie, derde land of internationale organisatie in verband met de door deze verstrekte informatie hebben gesteld.

Artikel 50

Betrekkingen met het EOM

1.   Eurojust schept en onderhoudt een nauwe band met het EOM, die gebaseerd is op wederzijdse samenwerking binnen hun respectieve mandaten en bevoegdheden en op de ontwikkeling van de in dit artikel beschreven operationele, administratieve en beheersmatige verbanden tussen beide organen. Daartoe komen de voorzitter van Eurojust en de Europese hoofdaanklager regelmatig bijeen om kwesties van gemeenschappelijk belang te bespreken. Zij komen bijeen op verzoek van de voorzitter van Eurojust of de Europese hoofdaanklager.

2.   Eurojust behandelt onverwijld verzoeken om ondersteuning van het EOM en doet dit in voorkomend geval alsof zij afkomstig zijn van een voor justitiële samenwerking bevoegde nationale autoriteit.

3.   Indien noodzakelijk om de overeenkomstig lid 1 van dit artikel tot stand gebrachte samenwerking te ondersteunen, maakt Eurojust gebruik van de overeenkomstig artikel 20 opgezette nationale Eurojustcoördinatiesystemen, alsook van de betrekkingen die het heeft aangeknoopt met derde landen, met inbegrip van zijn verbindingsmagistraten.

4.   In operationele aangelegenheden die van belang zijn voor de bevoegdheden van het EOM, informeert Eurojust het EOM over en betrekt het indien passend het EOM bij zijn activiteiten inzake grensoverschrijdende zaken, onder meer door:

a)

informatie over zijn zaken, met inbegrip van persoonsgegevens, te delen als bedoeld in de relevante bepalingen in deze verordening;

b)

ondersteuning te vragen van het EOM.

5.   Eurojust krijgt op basis van een hit/no hit-systeem indirect toegang tot informatie in het casemanagementsysteem van het EOM. Telkens wanneer een match wordt gevonden tussen gegevens die het EOM in het casemanagementsysteem heeft ingevoerd en gegevens die Eurojust heeft, wordt het feit dat er een match is, meegedeeld aan zowel Eurojust en het EOM als de lidstaat die de betrokken gegevens aan Eurojust verstrekte. Eurojust neemt passende maatregelen om het EOM op basis van een hit/no-hit-systeem indirect toegang te geven tot informatie in zijn casemanagementsysteem.

6.   Het EOM kan gebruikmaken van de administratieve ondersteuning en middelen van Eurojust. Daartoe mag Eurojust diensten van gezamenlijk belang aan het EOM verlenen. De bijzonderheden worden vastgelegd in een regeling.

Artikel 51

Betrekkingen met andere organen, instanties en agentschappen van de Unie

1.   Eurojust zal samenwerkingsverbanden aangaan en onderhouden met het Europees netwerk voor justitiële opleiding.

2.   OLAF draagt bij aan de coördinatiewerkzaamheden van Eurojust op het gebied van de bescherming van de financiële belangen van de Unie in overeenstemming met zijn mandaat krachtens Verordening (EU, Euratom) nr. 883/2013.

3.   Het Europees Grens- en kustwachtagentschap draagt bij aan de werkzaamheden van Eurojust, onder meer door relevante informatie over te dragen die verwerkt is in overeenstemming met zijn mandaat en taken uit hoofde van artikel 8, lid 1, onder m), van Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (21). De verwerking van persoonsgegevens in verband daarmee door Het Europees Grens- en kustwachtagentschap is geregeld in Verordening (EU) 2018/1725 .

4.   Ten behoeve van de ontvangst en de overdracht van gegevens tussen Eurojust en OLAF en onverminderd artikel 8 van deze verordening, zien de lidstaten erop toe dat de nationale leden van Eurojust uitsluitend voor de toepassing van Verordening (EU, Euratom) nr. 883/2013 als bevoegde autoriteiten van de lidstaten worden aangemerkt. De gegevensuitwisseling tussen OLAF en de nationale leden doet geen afbreuk aan de verplichtingen tot het verstrekken van de informatie die krachtens deze verordeningen aan andere bevoegde instanties moet worden verstrekt.

AFDELING III

Internationale samenwerking

Artikel 52

Betrekkingen met de autoriteiten van derde landen en internationale organisaties

1.   Eurojust kan een samenwerking aangaan en onderhouden met autoriteiten van derde landen en internationale organisaties.

Daartoe stelt Eurojust om de vier jaar in overleg met de Commissie een samenwerkingsstrategie op die aangeeft met welke derde landen en internationale organisaties er een operationele behoefte is tot samenwerking.

2.   Eurojust kan werkafspraken maken met de in artikel 47, lid 1, bedoelde entiteiten.

3.   Eurojust kan ter bevordering van de samenwerking naargelang de operationele behoeften van Eurojust met instemming van de betrokken bevoegde autoriteiten contactpunten in derde landen aanwijzen.

Artikel 53

In derde landen gedetacheerde verbindingsmagistraten

1.   Ter vergemakkelijking van de justitiële samenwerking met derde landen in zaken waarin Eurojust bijstand biedt overeenkomstig deze verordening, kan het college verbindingsmagistraten detacheren in een derde land, onder voorbehoud van het bestaan van een in artikel 47, lid 3, bedoelde werkafspraak met de bevoegde autoriteiten van dat derde land.

2.   Tot de taken van de verbindingsmagistraten behoren alle activiteiten die ertoe strekken alle vormen van justitiële samenwerking in strafzaken te bevorderen en te versnellen, met name door het leggen van rechtstreekse contacten met de bevoegde autoriteiten van het betrokken derde land. Bij de uitvoering van hun taken kunnen de verbindingsmagistraten overeenkomstig artikel 56 operationele persoonsgegevens uitwisselen met de bevoegde autoriteiten van het betrokken derde land.

3.   De in lid 1 bedoelde verbindingsmagistraat heeft ervaring met Eurojust en een toereikende kennis van justitiële samenwerking en van de werking van Eurojust. Voor detachering van een verbindingsmagistraat namens Eurojust is voorafgaande instemming van de magistraat en van diens lidstaat vereist.

4.   Indien de bij Eurojust gedetacheerde verbindingsmagistraat verkozen is uit nationale leden, adjuncten of medewerkers:

a)

vervangt de betrokken lidstaat hem in zijn functie als nationaal lid, adjunct of medewerker vervangen;

b)

mag hij niet meer de hem uit hoofde van artikel 8 toegekende bevoegdheden uitoefenen.

5.   Onverminderd artikel 110 van het Statuut van de ambtenaren stelt het college de voorwaarden op voor de detachering van verbindingsmagistraten, waaronder hun bezoldiging, vast., Het college stelt de daarvoor nodige uitvoeringsregeling vast in overleg met de Commissie.

6.   Op de activiteiten van de door Eurojust gedetacheerde verbindingsmagistraten wordt toezicht uitgeoefend door de EDPS. De verbindingsmagistraten brengen verslag uit aan het college, dat op passende wijze het Europees Parlement en de Raad in het jaarverslag informeert over hun activiteiten. De verbindingsmagistraten brengen de nationale leden en de bevoegde nationale autoriteiten op de hoogte van alle zaken die hun lidstaat betreffen.

7.   De bevoegde autoriteiten van de lidstaten en de in lid 1 bedoelde verbindingsmagistraten kunnen rechtstreeks met elkaar in contact treden. In zulke gevallen brengt de verbindingsmagistraat het betrokken nationale lid op de hoogte van zulke contacten.

8.   De in lid 1 bedoelde verbindingsmagistraten worden aangesloten op het casemanagementsysteem.

Artikel 54

Verzoeken om justitiële samenwerking aan en van derde landen

1.   Eurojust kan met de toestemming van de betrokken lidstaten de tenuitvoerlegging van verzoeken om justitiële samenwerking van een derde land coördineren wanneer tenuitvoerlegging in ten minste twee lidstaten vereist is als onderdeel van hetzelfde onderzoek. Dergelijke verzoeken mogen ook door een bevoegde nationale instantie aan Eurojust worden doorgegeven.

2.   In dringende gevallen en overeenkomstig artikel 19 kan het oproepcoördinatiemechanisme de in lid 1 van dit artikel bedoelde verzoeken van een derde land dat een samenwerkingsovereenkomst of een werkafspraak met Eurojust heeft gesloten, in ontvangst nemen en doorsturen.

3.   Onverminderd artikel 3, lid 5, faciliteert Eurojust, wanneer er door de betrokken lidstaat verzoeken voor justitiële samenwerking worden gedaan die op hetzelfde onderzoek betrekking hebben en tenuitvoerlegging in een derde land vergen, justitiële samenwerking met dat derde land.

AFDELING IV

Doorgifte van persoonsgegevens

Artikel 55

Doorgifte van operationele persoonsgegevens aan instellingen, organen, instanties en agentschappen van de Unie

1.   Onder voorbehoud van verdere beperkingen krachtens deze verordening, met name krachtens artikel 21, lid 8, artikel 47, lid 5, en artikel 76, geeft Eurojust uitsluitend operationele persoonsgegevens door aan een andere instelling, een ander orgaan, een andere instantie of een ander agentschap van de Unie indien die gegevens noodzakelijk zijn voor de rechtmatige uitvoering van onder de bevoegdheid van de andere instelling, het andere orgaan of de andere instantie van de Unie vallende taken.

2.   Indien de operationele persoonsgegevens op verzoek van een andere instelling, een ander orgaan, een andere instantie of een ander agentschap van de Unie worden doorgegeven, zijn zowel de verwerkingsverantwoordelijke als de ontvanger verantwoordelijk voor de rechtmatigheid van die doorgifte.

Eurojust gaat de bevoegdheid van de andere instelling, het andere orgaan, de andere instantie of het andere agentschap van de Unie na en geeft een voorlopig oordeel over de noodzaak van de doorgifte van de operationele persoonsgegevens. Bij twijfel over de noodzaak van de doorgifte vraagt Eurojust de ontvanger om nadere toelichting.

De andere instelling, het andere orgaan, de andere instantie of het andere agentschap van de Unie draagt er zorg voor dat de noodzaak van de doorgifte van de operationele persoonsgegevens achteraf kan worden geverifieerd.

3.   De andere instelling, het andere orgaan, de andere instantie of het andere agentschap van de Unie verwerkt de operationele persoonsgegevens uitsluitend voor de doeleinden waarvoor ze werden doorgegeven.

Artikel 56

Algemene beginselen inzake de doorgifte van operationele persoonsgegevens aan derde landen en internationale organisaties

1.   Eurojust kan, met inachtneming van de toepasselijke gegevensverwerkingsbepalingen en de andere bepalingen van deze verordening, operationele persoonsgegevens slechts doorgeven aan een derde land of een internationale organisatie indien is voldaan aan de volgende voorwaarden:

a)

de doorgifte is noodzakelijk voor de uitvoering van de taken van Eurojust;

b)

de autoriteit van het derde land of de internationale organisatie waaraan de operationele persoonsgegevens zijn doorgegeven, zijn bevoegd is op het gebied van rechtshandhaving en strafrecht;

c)

indien de overeenkomstig dit artikel door te geven operationele persoonsgegevens door een lidstaat aan Eurojust zijn toegezonden of ter beschikking gesteld van Eurojust, verzoekt Eurojust voor die doorgifte om voorafgaande toestemming van de betrokken bevoegde autoriteit van die lidstaat overeenkomstig haar nationale recht, tenzij die lidstaat dergelijke doorgiften in algemene zin dan wel onder specifieke voorwaarden heeft toegestaan;

d)

in het geval van een verdere doorgifte aan een ander derde land of een andere internationale organisatie door een derde land of een internationale organisatie, verplicht Eurojust het doorgevende derde land of de doorgevende internationale organisatie ertoe om zijn voorafgaande toestemming te voor die verdere doorgifte te verkrijgen.

Eurojust kan de onder d) bedoelde toestemming slechts verlenen met voorafgaande toestemming van de lidstaat waarvan de gegevens afkomstig zijn en nadat het alle relevante factoren terdege in aanmerking heeft genomen, waaronder de ernst van het strafbare feit, het doel waarvoor de operationele persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de operationele persoonsgegevens verder worden doorgegeven.

2.   Onder de in artikel 1 van dit artikel gestelde voorwaarden kan Eurojust operationele persoonsgegevens doorgeven aan een derde land of aan een internationale organisatie, zij het uitsluitend in de volgende gevallen:

a)

de Commissie heeft op grond van artikel 57 besloten dat het derde land of de internationale organisatie in kwestie een passend beschermingsniveau waarborgt of er bestaan, bij ontstentenis van een dergelijk adequaatheidsbesluit, passende waarborgen — of deze worden geboden — op grond van artikel 58, lid 1, of er is, bij ontstentenis van zowel een adequaatheidsbesluit als dergelijke passende waarborgen, een afwijking voor specifieke situaties van toepassing uit hoofde van artikel 59, lid 1;

b)

er is vóór 12 december 2019 een samenwerkingsovereenkomst gesloten tussen Eurojust en dat derde land of die internationale organisatie overeenkomstig artikel 26 bis van Besluit 2002/187/JBZ die de uitwisseling van operationele persoonsgegevens toestaat; of

c)

er is een internationale overeenkomst gesloten tussen de Unie en het derde land of de internationale organisatie op grond van artikel 218 VWEU die voorziet in passende waarborgen betreffende de bescherming van het privéleven en van de grondrechten en fundamentele vrijheden van burgers.

3.   De in artikel 47, lid 3, bedoelde werkafspraken kunnen worden gebruikt om de in lid 2 van dit artikel bedoelde overeenkomsten of adequaatheidsbesluiten vast te stellen.

4.   Eurojust kan in dringende gevallen slechts operationele persoonsgegevens zonder voorafgaande toestemming door een lidstaat overeenkomstig lid 1, onder c), doorgeven. Eurojust kan dit enkel doen indien de doorgifte van operationele persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of van een derde land of voor de wezenlijke belangen van een lidstaat, en wanneer voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.

5.   De lidstaten en de instellingen, organen, instanties en agentschappen van de Unie mogen van Eurojust ontvangen operationele persoonsgegevens niet verder doorgeven aan een derde land of een internationale organisatie. Bij wijze van uitzondering mogen zij een dergelijke doorgifte wel doen wanneer Eurojust dit heeft toegestaan na alle relevante factoren terdege in aanmerking te hebben genomen, waaronder de ernst van het strafbare feit, het doel waarvoor de operationele persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de operationele persoonsgegevens verder worden doorgegeven.

6.   De artikelen 57, 58 en 59 zijn van toepassing om ervoor te zorgen dat geen afbreuk wordt gedaan aan het door deze verordening en door het Unierecht gewaarborgde beschermingsniveau voor natuurlijke personen.

Artikel 57

Doorgiften op basis van adequaatheidsbesluiten

Eurojust kan operationele persoonsgegevens doorgeven aan een derde land of aan een internationale organisatie wanneer de Commissie overeenkomstig artikel 36 van Richtlijn (EU) 2016/680 heeft besloten dat het derde land, een gebied of een of meer nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een toereikend beschermingsniveau waarborgt.

Artikel 58

Doorgiften mits er voldoende waarborgen zijn

1.   Bij ontstentenis van een adequaatheidsbesluit kan Eurojust operationele persoonsgegevens slechts doorgeven aan een derde land of een internationale organisatie indien:

a)

er in een juridisch bindend instrument wordt voorzien in passende waarborgen voor de bescherming van operationele persoonsgegevens; of

b)

Eurojust alle omstandigheden in verband met de doorgifte van operationele persoonsgegevens heeft beoordeeld en tot de slotsom is gekomen dat er passende waarborgen bestaan voor de bescherming van operationele persoonsgegevens.

2.   Eurojust stelt de EDPS in kennis van de categorieën doorgiften uit hoofde van lid 1, onder b).

3.   Indien een doorgifte op lid 1, onder b), is gebaseerd, wordt een dergelijke doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking gesteld van de EDPS. Die documentatie bevat een vermelding van de datum en het tijdstip van doorgifte, en informatie over de ontvangende bevoegde autoriteit, over de reden voor de doorgifte en over de doorgegeven operationele persoonsgegevens zelf.

Artikel 59

Afwijkingen voor specifieke situaties

1.   Bij ontstentenis van een adequaatheidsbesluit, of van voldoende waarborgen op grond van artikel 58, kan Eurojust operationele persoonsgegevens enkel doorgeven aan een derde land of aan een internationale organisatie indien de doorgifte noodzakelijk is:

a)

om de vitale belangen van de betrokkene of van een andere persoon te beschermen;

b)

om de legitieme belangen van de betrokkene te waarborgen;

c)

om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; of

d)

in individuele gevallen, voor de uitvoering van de taken van Eurojust, tenzij Eurojust bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte.

2.   Indien een doorgifte op lid 1 is gebaseerd, wordt deze doorgifte gedocumenteerd en moet de documentatie desgevraagd ter beschikking gesteld van de EDPS. Die documentatie bevat een vermelding van de datum en tijd van doorgifte, en informatie over de ontvangende bevoegde autoriteit, over de reden voor de doorgifte en over de doorgegeven operationele persoonsgegevens zelf.

HOOFDSTUK VI

FINANCIËLE BEPALINGEN

Artikel 60

Begroting

1.   Voor elk begrotingsjaar, dat samenvalt met het kalenderjaar, worden alle ontvangsten en uitgaven van Eurojust geraamd en vervolgens in de begroting van Eurojust weergegeven.

2.   De begroting van Eurojust moet in evenwicht zijn wat betreft de ontvangsten en uitgaven.

3.   Onverminderd andere inkomsten, omvatten de ontvangsten van Eurojust:

a)

een bijdrage van de Unie die wordt opgenomen in de algemene begroting van de Unie;

b)

eventuele vrijwillige financiële bijdragen van de lidstaten;

c)

vergoedingen voor publicaties en andere door Eurojust verrichte diensten;

d)

ad-hocsubsidies.

4.   De uitgaven van Eurojust omvatten de bezoldiging van het personeel, uitgaven voor administratie en infrastructuur en operationele uitgaven, waaronder de financiering van gezamenlijke onderzoeksteams.

Artikel 61

Vaststelling van de begroting

1.   Elk jaar stelt de administratief directeur een ontwerpraming op van de ontvangsten en uitgaven van Eurojust voor het volgende begrotingsjaar, inclusief het formatieplan, en zendt deze toe aan de raad van bestuur. Het Europees justitieel netwerk en andere in artikel 48 bedoelde Unienetwerken voor justitiële samenwerking in strafzaken worden tijdig vóór de toezending van de raming aan de Commissie geïnformeerd over de onderdelen die betrekking hebben op hun activiteiten.

2.   Op basis van die ontwerpraming beoordeelt de raad van bestuur voor het volgende begrotingsjaar de voorlopige ontwerpraming van de ontvangsten en uitgaven van Eurojust, die ter vaststelling aan het college wordt toegezonden.

3.   De voorlopige ontwerpraming van de ontvangsten en uitgaven van Eurojust wordt elk jaar uiterlijk op 31 januari aan de Commissie toegezonden. Eurojust zendt de Commissie uiterlijk op 31 maart van hetzelfde jaar een definitieve ontwerpraming toe, die tevens een ontwerp van formatieplan bevat.

4.   De Commissie zendt de raming, samen met het ontwerp van algemene begroting van de Unie, toe aan het Europees Parlement en aan de Raad (de begrotingsautoriteit).

5.   Op basis van de raming neemt de Commissie de geraamde bedragen die zij nodig acht voor het formatieplan alsook de bijdrage ten laste van de algemene begroting op in het ontwerp van algemene begroting van de Unie, dat zij overeenkomstig de artikelen 313 en 314 VWEU voorlegt aan de begrotingsautoriteit.

6.   De begrotingsautoriteit keurt de kredieten voor de bijdrage van de Unie aan Eurojust goed.

7.   De begrotingsautoriteit stelt het formatieplan van Eurojust vast. De begroting van Eurojust wordt door het college vastgesteld. De begroting wordt definitief na de definitieve vaststelling van de algemene begroting van de Unie. Indien nodig wordt de begroting van Eurojust dienovereenkomstig aangepast door het college.

8.   Op bouwprojecten die aanzienlijke gevolgen kunnen hebben voor de begroting van Eurojust, is artikel 88 van Gedelegeerde Verordening (EU) nr. 1271/2013 (22) van de Commissie van toepassing.

Artikel 62

Uitvoering van de begroting

De administratief directeur treedt op als ordonnateur van Eurojust en voert de begroting van Eurojust uit onder zijn eigen verantwoordelijkheid binnen de in de begroting gestelde grenzen.

Artikel 63

Indiening van de rekeningen en kwijting

1.   De rekenplichtige van Eurojust dient de voorlopige rekeningen voor het begrotingsjaar (jaar N) uiterlijk op 1 maart van het volgende begrotingsjaar (jaar N+1) in bij de rekenplichtige van de Commissie en bij de Rekenkamer.

2.   Eurojust zendt het verslag over het budgettaire en financiële beheer voor het jaar N uiterlijk op 31 maart van jaar N+1 toe aan het Europees Parlement, de Raad en de Rekenkamer.

3.   Uiterlijk op 31 maart van jaar N+1 zendt de rekenplichtige van de Commissie de voorlopige rekeningen van Eurojust voor jaar N na consolidatie met de rekeningen van de Commissie toe aan de Rekenkamer.

4.   Overeenkomstig artikel 246, lid 1, van Verordening (EU, Euratom) 2018/1046 maakt de Rekenkamer haar opmerkingen over de voorlopige rekeningen van Eurojust uiterlijk op 1 juni van jaar N+1 bekend.

5.   Na ontvangst van de opmerkingen van de Rekenkamer over de voorlopige rekeningen van Eurojust overeenkomstig artikel 246 van Verordening (EU, Euratom) 2018/1046 maakt de administratief directeur de definitieve rekeningen van Eurojust onder zijn eigen verantwoordelijkheid op en dient deze voor advies in bij de raad van bestuur.

6.   De raad van bestuur brengt advies uit over de definitieve rekeningen van Eurojust.

7.   Uiterlijk op 1 juli van jaar N+1 zendt de administratief directeur de definitieve rekeningen voor jaar N, samen met het advies van de raad van bestuur, toe aan het Europees Parlement, de Raad, de Commissie en de Rekenkamer.

8.   De definitieve rekeningen voor jaar N worden uiterlijk op 15 november van jaar N+1 bekendgemaakt in het Publicatieblad van de Europese Unie.

9.   De administratief directeur zendt de Rekenkamer uiterlijk op 30 september van jaar N+1 een antwoord op haar opmerkingen toe. De administratief directeur zendt dit antwoord ook toe aan de raad van bestuur en aan de Commissie.

10.   Op verzoek van het Europees Parlement verstrekt de administratief directeur aan het Europees Parlement alle informatie die nodig is voor het goede verloop van de kwijtingsprocedure voor het betrokken begrotingsjaar, overeenkomstig artikel 261, lid 3, van Verordening (EU, Euratom) 2018/1046.

11.   Vóór 15 mei van jaar N+2 verleent het Europees Parlement op aanbeveling van de Raad, die met gekwalificeerde meerderheid van stemmen besluit, de administratief directeur kwijting voor de uitvoering van de begroting van jaar N.

12.   De kwijting voor de begroting van Eurojust wordt door het Europees Parlement op basis van het auditverslag van de Europese Rekenkamer en op aanbeveling van de Raad verleend volgens een procedure die vergelijkbaar is met de procedure van artikel 319 VWEU en de artikelen 260, 261 en 262 van Verordening (EU, Euratom) 2018/1046.

Indien het Europees Parlement uiterlijk op 15 mei van jaar N+2 weigert kwijting te verlenen, wordt de administratief directeur uitgenodigd om zijn standpunt toe te lichten voor het college, dat in het licht van de omstandigheden een definitief besluit neemt over het standpunt van de administratief directeur.

Artikel 64

Financiële regels

1.   De financiële regels die op Eurojust van toepassing zijn, worden door de raad van bestuur overeenkomstig Gedelegeerde Verordening (EU) nr. 1271/2013 van de Commissie na overleg met de Commissie vastgesteld. Die financiële regels mogen niet afwijken van Gedelegeerde Verordening (EU) nr. 1271/2013, tenzij een dergelijke afwijking specifiek vereist is voor de activiteiten van Eurojust en de Commissie vooraf toestemming heeft verleend.

Voor de financiële steun aan de activiteiten van gemeenschappelijke onderzoeksteams stellen Eurojust en Europol gezamenlijk de regels en voorwaarden vast volgens welke de aanvragen voor dergelijke steun moeten worden verwerkt.

2.   Eurojust mag subsidies toekennen in verband met de uitvoering van zijn taken bedoeld in artikel 4, lid 1. Subsidies voor taken in het kader van artikel 4, lid 1, onder f), kunnen aan de lidstaten worden toegekend zonder een oproep tot het indienen van voorstellen.

HOOFDSTUK VII

BEPALINGEN INZAKE PERSONEEL

Artikel 65

Algemene bepalingen

1.   Het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden en de voorschriften die in overleg zijn vastgesteld door de instellingen van de Unie ten behoeve van de uitvoering van het Statuut van de ambtenaren en de Regeling welke van toepassing is op de andere personeelsleden, zijn van toepassing op de personeelsleden van Eurojust.

2.   Het personeel van Eurojust bestaat uit personen die overeenkomstig de op de ambtenaren en andere personeelsleden van de Unie toepasselijke voorschriften en regels zijn aangenomen, rekening houdend met alle criteria vermeld in artikel 27 van het Statuut van de ambtenaren, met name hun geografische spreiding.

Artikel 66

Gedetacheerde nationale deskundigen en andere personeelsleden

1.   Eurojust kan niet enkel op zijn eigen personeel een beroep doen, maar ook op gedetacheerde nationale deskundigen of andere personeelsleden die niet bij Eurojust in dienst zijn.

2.   Het college stelt een besluit vast met de voorschriften voor de detachering van nationale deskundigen bij Eurojust en voor de inzet van andere personeelsleden, met name om potentiële belangenconflicten te voorkomen.

3.   Eurojust neemt passende administratieve maatregelen, onder meer in de vorm van opleidingen en preventieve strategieën, om belangenconflicten te vermijden, onder meer belangenconflicten met betrekking tot kwesties na beëindiging van het dienstverband.

HOOFDSTUK VIII

EVALUATIE EN RAPPORTAGE

Artikel 67

Betrokkenheid van de instellingen van de Unie en de nationale parlementen

1.   Eurojust dient een jaarverslag in bij het Europees Parlement, de Raad en de nationale parlementen, die opmerkingen en conclusies kunnen formuleren.

2.   Na zijn verkiezing legt de nieuw verkozen voorzitter van Eurojust een verklaring af voor de bevoegde commissie(s) van het Europees Parlement en beantwoordt hij vragen van commissieleden. Daarbij wordt niet rechtstreeks of indirect verwezen naar concrete acties in verband met specifieke operationele zaken.

3.   De voorzitter van Eurojust is eenmaal per jaar aanwezig op een interparlementaire commissievergadering voor een gezamenlijke evaluatie van de activiteiten van Eurojust door het Europees Parlement en de nationale parlementen om de lopende activiteiten van Eurojust te bespreken en om het jaarverslag of andere belangrijke documenten van Eurojust te presenteren.

In de besprekingen wordt niet rechtstreeks of indirect verwezen naar concrete acties die in verband met specifieke operationele zaken zijn ondernomen.

4.   Behalve de andere in deze verordening opgenomen informatie- en raadplegingsverplichtingen dient Eurojust bij het Europees Parlement en de nationale parlementen in hun respectieve officiële talen te hunner informatie het volgende in:

a)

de resultaten van studies en strategische projecten die door Eurojust zijn uitgewerkt of opgedragen;

b)

de in artikel 15 bedoelde programmeringsdocumenten;

c)

werkafspraken met derden.

Artikel 68

Adviezen over voorgestelde wetgevingshandelingen

De Commissie en lidstaten die hun rechten uit hoofde van artikel 76, onder b, VWEU uitoefenen, kunnen Eurojust om advies vragen over alle in artikel 76 VWEU bedoelde voorgestelde wetgevingshandelingen.

Artikel 69

Evaluatie en herziening

1.   Uiterlijk op 13 december 2024 en daarna elke vijf jaar geeft de Commissie de opdracht om de uitvoering en de gevolgen van deze verordening te evalueren, alsmede de doeltreffendheid en efficiëntie van Eurojust en zijn werkmethoden. Het college wordt bij de evaluatie gehoord. De evaluatie kan zich in het bijzonder richten op de vraag of het mandaat van Eurojust moet worden gewijzigd en op de financiële gevolgen van een dergelijke wijziging.

2.   De Commissie zendt het evaluatieverslag samen met haar conclusies toe aan het Europees Parlement, de nationale parlementen, de Raad en het college. De resultaten van de evaluatie worden openbaar gemaakt.

HOOFDSTUK IX

ALGEMENE EN SLOTBEPALINGEN

Artikel 70

Voorrechten en immuniteiten

Op Eurojust en zijn personeel is het aan het VEU en het VWEU gehechte Protocol nr. 7 betreffende de voorrechten en immuniteiten van de Europese Unie van toepassing.

Artikel 71

Talenregeling

1.   Verordening nr. 1 van de Raad (23) is van toepassing op Eurojust.

2.   Het college neemt met een tweederdemeerderheid van zijn leden een besluit over de interne talenregeling van Eurojust.

3.   De voor het functioneren van Eurojust vereiste vertaaldiensten worden verricht door het Vertaalbureau voor de organen van de Europese Unie, opgericht door Verordening (EG) nr. 2965/94 van de Raad (24), tenzij een andere oplossing moet worden gevonden wanneer het Vertaalbureau niet beschikbaar is.

Artikel 72

Vertrouwelijkheid

1.   Voor de nationale leden en hun adjuncten en medewerkers als bedoeld in artikel 7, de personeelsleden van Eurojust, de nationale correspondenten, gedetacheerde nationale deskundigen, verbindingsmagistraten, de functionaris voor gegevensbescherming en de leden en personeelsleden van de EDPS geldt een geheimhoudingsplicht met betrekking tot alle informatie die in de uitvoering van hun taken te hunner kennis is gekomen.

2.   De geheimhoudingsplicht geldt ten aanzien van alle personen en organen die met Eurojust moeten samenwerken.

3.   De geheimhoudingsplicht blijft ook gelden na beëindiging van de functie, het dienstverband en de activiteiten van de in de leden 1 en 2 bedoelde personen.

4.   De geheimhoudingsplicht geldt voor alle informatie die Eurojust ontvangt of uitwisselt, tenzij die informatie reeds op rechtmatige wijze openbaar of voor het publiek toegankelijk is gemaakt.

Artikel 73

Voorwaarden inzake vertrouwelijkheid van nationale procedures

1.   Wanneer er via Eurojust informatie wordt ontvangen of uitgewisseld, mag de instantie van de lidstaat die de informatie heeft verstrekt, onverminderd artikel 21, lid 3, overeenkomstig haar nationaal recht voorwaarden formuleren betreffende het gebruik van die informatie in nationale procedures door de ontvangende instantie.

2.   De instantie van de lidstaat die de onder lid 1 bedoelde informatie ontvangt is aan deze voorwaarden gehouden.

Artikel 74

Transparantie

1.   Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (25) is van toepassing op documenten die in het bezit zijn van Eurojust.

2.   De raad van bestuur stelt binnen zes maanden nadat hij een eerste keer heeft vergaderd, gedetailleerde voorschriften voor de toepassing van Verordening (EG) nr. 1049/2001 op, die door het college moeten worden vastgesteld.

3.   Besluiten die Eurojust neemt op grond van artikel 8 van Verordening (EG) nr. 1049/2001 kunnen voorwerp zijn van een klacht bij de Europese Ombudsman of een procedure bij het Hof, overeenkomstig de in artikel 228 respectievelijk artikel 263 VWEU neergelegde voorwaarden.

4.   Eurojust maakt op zijn website een lijst van de leden van de raad van bestuur bekend, alsook de samenvatting van de resultaten van de bijeenkomsten van de raad van bestuur. De bekendmaking van deze samenvattingen wordt tijdelijk of permanent achterwege gelaten of beperkt indien die bekendmaking de uitvoering van de taken van Eurojust in gevaar zou brengen, gelet op de zwijg- en geheimhoudingsplicht en het operationeel karakter van Eurojust.

Artikel 75

OLAF en de Rekenkamer

1.   Teneinde de bestrijding van fraude, corruptie en andere onrechtmatige activiteiten krachtens Verordening (EU, Euratom) nr. 883/2013 te vereenvoudigen, treedt Eurojust binnen zes maanden na de inwerkingtreding van deze verordening toe tot het Interinstitutioneel Akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (26). Eurojust stelt op basis van het model in de bijlage bij dat akkoord passende voorschriften op die van toepassing zijn op alle nationale leden, hun adjuncten en medewerkers, alle gedetacheerde nationale deskundigen en alle personeelsleden van Eurojust.

2.   De Rekenkamer is bevoegd om bij alle begunstigden van subsidies, contractanten en subcontractanten die van Eurojust Uniemiddelen hebben ontvangen, controles op stukken en controles ter plaatse te verrichten.

3.   Overeenkomstig de bepalingen en procedures van Verordening (EU, Euratom) nr. 883/2013 en Verordening (Euratom, EG) nr. 2185/96 van de Raad (27) kan OLAF onderzoeken, waaronder controles en inspecties ter plaatse, uitvoeren om vast te stellen of er sprake is van onregelmatigheden waardoor de financiële belangen van de Unie worden geschaad in verband met door Eurojust gefinancierde uitgaven.

4.   Onverminderd de leden 1, 2 en 3, moeten in werkafspraken met derde landen of internationale organisaties, de overeenkomsten, subsidieovereenkomsten en -besluiten van Eurojust bepalingen worden opgenomen die de Rekenkamer en OLAF uitdrukkelijk de bevoegdheid verlenen dergelijke controles en onderzoeken te verrichten overeenkomstig hun respectieve bevoegdheden.

5.   De personeelsleden van Eurojust, de administratief directeur en de leden van het college en de raad van bestuur melden bij OLAF en het EOM onverwijld en zonder dat hun verantwoordelijkheid als gevolg van deze melding in het geding kan komen, elke verdenking van onregelmatige of illegale activiteiten binnen hun respectieve mandaat waarvan zij tijdens de vervulling van hun taken kennis hebben genomen.

Artikel 76

Voorschriften inzake de bescherming van gevoelige niet-gerubriceerde informatie en van gerubriceerde informatie

1.   Eurojust stelt interne voorschriften inzake de behandeling en vertrouwelijkheid van informatie en inzake de bescherming van gevoelige, niet-gerubriceerde informatie vast, onder meer inzake het genereren en verwerken van die informatie bij Eurojust.

2.   Eurojust stelt interne voorschriften inzake de bescherming van gerubriceerde EU-informatie vast die stroken met Besluit 2013/488/EU (28) van de Raad, teneinde een gelijkwaardig beschermingsniveau voor die informatie te waarborgen.

Artikel 77

Administratieve onderzoeken

De administratieve activiteiten van Eurojust kunnen worden onderzocht door de Europese Ombudsman overeenkomstig artikel 228 VWEU.

Artikel 78

Aansprakelijkheid voor andere aangelegenheden dan ongeoorloofde of onjuiste verwerking van gegevens

1.   De contractuele aansprakelijkheid van Eurojust wordt beheerst door het recht dat van toepassing is op de betrokken overeenkomst.

2.   Het Hof is bevoegd om uitspraak te doen krachtens arbitrageclausules in de door Eurojust gesloten overeenkomsten.

3.   In geval van niet-contractuele aansprakelijkheid vergoedt Eurojust, los van enige aansprakelijkheid overeenkomstig artikel 46, alle door Eurojust of zijn personeelsleden bij de uitvoering van hun taken veroorzaakte schade overeenkomstig de algemene beginselen die de rechtsstelsels van de lidstaten gemeen hebben.

4.   Lid 3 is ook van toepassing op de door een nationaal lid, een adjunct of een medewerker bij de uitvoering van zijn taken veroorzaakte schade. Wanneer hij echter optreedt op grond van de hem uit hoofde van artikel 8 verleende bevoegdheden, vergoedt zijn lidstaat aan Eurojust de bedragen die Eurojust heeft betaald om dergelijke schade te vergoeden.

5.   Het Hof heeft rechtsmacht voor geschillen over de vergoeding van de in lid 3 bedoelde schade.

6.   Welke nationale rechter bevoegd is om kennis te nemen van geschillen omtrent de in dit artikel bedoelde aansprakelijkheid van Eurojust, wordt vastgesteld op basis van Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad (29).

7.   De persoonlijke aansprakelijkheid van de personeelsleden van Eurojust jegens Eurojust wordt beheerst door de bepalingen van het Statuut van ambtenaren en van de Regeling welke van toepassing is op de andere personeelsleden.

Artikel 79

Zetelovereenkomst en exploitatievoorwaarden

1.   Eurojust is gevestigd in Den Haag in Nederland.

2.   De noodzakelijke bepalingen betreffende de huisvesting van Eurojust in Nederland en de door Nederland ter beschikking te stellen voorzieningen, alsook de specifieke voorschriften die in Nederland gelden voor de administratief directeur, de leden van het college, de personeelsleden van Eurojust en hun gezinsleden, worden vastgesteld in een zetelovereenkomst tussen Eurojust en Nederland, die wordt gesloten nadat het college daarmee heeft ingestemd.

Artikel 80

Overgangsregelingen

1.   Eurojust zoals opgericht bij deze verordening is de algemene rechtsopvolger voor alle overeenkomsten, financiële verplichtingen en eigendommen van Eurojust zoals opgericht bij Besluit 2002/187/JBZ.

2.   De nationale leden van Eurojust zoals opgericht bij Besluit 2002/187/JBZ die door iedere lidstaat zijn gedetacheerd uit hoofde van dat besluit, overnemen de rol van nationaal lid van Eurojust uit hoofde van hoofdstuk II, deel II, van deze verordening. Hun mandaten kunnen één keer worden verlengd overeenkomstig artikel 7, lid 5, van deze verordening na de inwerkingtreding ervan, ongeacht een vorige verlenging.

3.   De voorzitter en de vicevoorzitters van Eurojust zoals opgericht bij Besluit 2002/187/JBZ op het tijdstip van de inwerkingtreding van deze verordening, fungeren overeenkomstig artikel 11 van deze verordening als voorzitter en vicevoorzitters van Eurojust tot hun ambtstermijn overeenkomstig dat besluit afloopt. Zij kunnen eenmaal worden herkozen na de inwerkingtreding van deze verordening op grond van artikel 11, lid 4, ervan, ongeacht een eerdere herverkiezing.

4.   De administratief directeur die als laatste uit hoofde van artikel 29 van Besluit 2002/187/JBZ is benoemd, neemt de rol van administratief directeur over uit hoofde van artikel 17 van deze verordening tot het verstrijken van zijn ambtstermijn als bepaald uit hoofde van dat besluit. De ambtstermijn van de administratief directeur kan eenmaal worden verlengd na de inwerkingtreding van deze verordening.

5.   Deze verordening doet geen afbreuk aan de geldigheid van overeenkomsten die zijn gesloten door Eurojust zoals opgericht bij Besluit 2002/187/JBZ. Meer bepaald, blijven alle internationale overeenkomsten geldig die door Eurojust zijn gesloten en die in werking zijn getreden vóór 12 december 2019.

6.   De kwijtingsprocedure met betrekking tot de op grond van artikel 35 van Besluit 2002/187/JBZ goedgekeurde begrotingen wordt uitgevoerd overeenkomstig de voorschriften van artikel 36 van dat besluit.

7.   Deze verordening heeft geen gevolgen voor de arbeidsovereenkomsten die uit hoofde van Besluit 2002/187/JBZ vóór de inwerkingtreding van deze verordening zijn gesloten. De functionaris voor gegevensbescherming die als laatste uit hoofde van artikel 17 van dat besluit was benoemd, overneemt uit hoofde van artikel 36 van deze verordening de rol van functionaris voor gegevensbescherming.

Artikel 81

Vervanging en intrekking

1.   Besluit 2002/187/JBZ, wordt voor de door deze verordening gebonden lidstaten met ingang van 12 december 2019 vervangen.

Besluit 2002/187/JBZ wordt derhalve ingetrokken met ingang van 12 december 2019.

2.   Ten aanzien van de door deze verordening gebonden lidstaten gelden verwijzingen naar het in lid 1 bedoelde besluit als verwijzingen naar deze verordening.

Artikel 82

Inwerkingtreding en toepassing

1.   Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.   Zij is van toepassing met ingang van 12 december 2019.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat overeenkomstig de Verdragen.

Gedaan te Straatsburg, 14 november 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

K. EDTSTADLER


(1)  Standpunt van het Europees Parlement van 4 oktober 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 6 november 2018.

(2)  Besluit 2002/187/JBZ van de Raad van 28 februari 2002 betreffende de oprichting van Eurojust teneinde de strijd tegen ernstige vormen van criminaliteit te versterken (PB L 63 van 6.3.2002, blz. 1).

(3)  Besluit 2003/659/JBZ van de Raad van 18 juni 2003 tot wijziging van Besluit 2002/187/JBZ betreffende de oprichting van Eurojust teneinde de strijd tegen ernstige vormen van criminaliteit te versterken (PB L 245 van 29.9.2003, blz. 44).

(4)  Besluit 2009/426/JBZ van de Raad van 16 december 2008 inzake het versterken van Eurojust en tot wijziging van Besluit 2002/187/JBZ betreffende de oprichting van Eurojust teneinde de strijd tegen ernstige vormen van criminaliteit te versterken (PB L 138 van 4.6.2009, blz. 14).

(5)  Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie („EOM”) (PB L 283 van 31.10.2017, blz. 1).

(6)  Besluit 2002/494/JBZ van de Raad van 13 juni 2002 tot instelling van een Europees netwerk van aanspreekpunten inzake personen die verantwoordelijk zijn voor genocide, misdrijven tegen de menselijkheid en oorlogsmisdrijven (PB L 167 van 26.6.2002, blz. 1).

(7)  Besluit 2007/845/JBZ van de Raad van 6 december 2007 betreffende de samenwerking tussen de nationale bureaus voor de ontneming van vermogensbestanddelen op het gebied van de opsporing en de identificatie van opbrengsten van misdrijven of andere vermogensbestanddelen die hun oorsprong vinden in misdrijven (PB L 332 van 18.12.2007, blz. 103).

(8)  Besluit 2008/852/JBZ van de Raad van 24 oktober 2008 inzake een netwerk van contactpunten ter bestrijding van corruptie (PB L 301 van 12.11.2008, blz. 38).

(9)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(10)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen van de Unie, organen en instanties en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002 (zie bladzijde 39 van dit Publicatieblad).

(11)  Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad van 24 januari 2005 over de uitwisseling van bepaalde gegevens met Interpol (PB L 27 van 29.1.2005, blz. 61).

(12)  Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).

(13)  Gemeenschappelijk Optreden 96/227/JBZ van 22 april 1996 inzake een kader voor de uitwisseling van verbindingsmagistraten ter verbetering van de justitiële samenwerking tussen de lidstaten van de Europese Unie (PB L 105 van 27.4.1996, blz. 1).

(14)  Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad van 18 juli 2018 tot vaststelling van de financiële regels van toepassing op de algemene begroting van de Unie, tot wijziging van Verordeningen (EU) nr. 1296/2013, (EU) nr. 1301/2013, (EU) nr. 1303/2013, (EU) nr. 1304/2013, (EU) nr. 1309/2013, (EU) nr. 1316/2013, (EU) nr. 223/2014, (EU) nr. 283/2014 en Besluit nr. 541/2014/EU en tot intrekking van Verordening (EU, Euratom) nr. 966/2012 (PB L 193 van 30.7.2018, blz. 1).

(15)  Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad van 11 september 2013 betreffende onderzoeken door het Europees Bureau voor fraudebestrijding (OLAF) en tot intrekking van Verordening (EG) nr. 1073/1999 van het Europees Parlement en de Raad en Verordening (Euratom) nr. 1074/1999 van de Raad (PB L 248 van 18.9.2013, blz. 1).

(16)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(17)  Richtlijn 2014/41/EU van het Europees Parlement en de Raad van 3 april 2014 betreffende het Europees onderzoeksbevel in strafzaken (PB L 130 van 1.5.2014, blz. 1).

(18)  PB L 56 van 4.3.1968, blz. 1.

(19)  Besluit 2005/671/JBZ van de Raad van 20 september 2005 betreffende informatie-uitwisseling en samenwerking in verband met strafbare feiten van terroristische aard (PB L 253 van 29.9.2005, blz. 22).

(20)  Besluit 2008/976/JBZ van de Raad van 16 december 2008 betreffende het Europees justitieel netwerk (PB L 348 van 24.12.2008, blz. 130).

(21)  Verordening (EU) 2016/1624 van het Europees Parlement en de Raad van 14 september 2016 betreffende de Europese grens- en kustwacht, tot wijziging van Verordening (EU) 2016/399 van het Europees Parlement en de Raad en tot intrekking van Verordening (EG) nr. 863/2007 van het Europees Parlement en de Raad, Verordening (EG) nr. 2007/2004 van de Raad en Besluit 2005/267/EG van de Raad (PB L 251 van 16.9.2016, blz. 1).

(22)  Gedelegeerde Verordening (EU) nr. 1271/2013 van de Commissie van 30 september 2013 houdende de financiële kaderregeling van de organen, bedoeld in artikel 208 van Verordening (EU, Euratom) nr. 966/2012 van het Europees Parlement en de Raad (PB L 328 van 7.12.2013, blz. 42).

(23)  Verordening (EEG) nr. 1/58 van de Raad van 15 april 1958 tot regeling van het taalgebruik in de Europese Economische Gemeenschap (PB 17 van 6.10.1958, blz. 385).

(24)  Verordening (EG) nr. 2965/94 van de Raad van 28 november 1994 tot oprichting van een Vertaalbureau voor de organen van de Europese Unie (PB L 314 van 7.12.1994, blz. 1).

(25)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(26)  PB L 137 van 31.5.1999, blz. 15.

(27)  Verordening (Euratom, EG) nr. 2185/96 van de Raad van 11 november 1996 betreffende de controles en verificaties ter plaatse die door de Commissie worden uitgevoerd ter bescherming van de financiële belangen van de Europese Gemeenschappen tegen fraudes en andere onregelmatigheden (PB L 292 van 15.11.1996, blz. 2).

(28)  Besluit 2013/488/EU van de Raad van 23 september 2013 betreffende de beveiligingsvoorschriften voor de bescherming van gerubriceerde EU-informatie (PB L 274 van 15.10.2013, blz. 1).

(29)  Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 351 van 20.12.2012, blz. 1).


BIJLAGE I

Lijst van vormen van ernstige criminaliteit waarvoor Eurojust overeenkomstig artikel 3, lid 1, bevoegd is:

terrorisme,

georganiseerde misdaad,

drugshandel,

witwasactiviteiten,

criminaliteit in verband met nucleaire en radioactieve stoffen,

migrantensmokkel,

mensenhandel,

criminaliteit in verband met motorvoertuigen,

moord en zware mishandeling,

illegale handel in menselijke organen en weefsels,

ontvoering, wederrechtelijke vrijheidsberoving en gijzeling,

racisme en vreemdelingenhaat,

diefstal en gekwalificeerde diefstal,

illegale handel in cultuurgoederen, met inbegrip van antiquiteiten en kunstvoorwerpen,

oplichting en fraude,

misdrijven tegen de financiële belangen van de Unie,

handel met voorkennis en manipulatie van de financiële markten,

racketeering en afpersing,

namaak van producten en productpiraterij,

vervalsing van administratieve documenten en handel in valse documenten,

valsemunterij en vervalsing van betaalmiddelen,

computercriminaliteit,

corruptie,

illegale handel in wapens, munitie en explosieven,

illegale handel in bedreigde diersoorten,

illegale handel in bedreigde planten- en boomsoorten,

milieucriminaliteit, met inbegrip van verontreiniging vanaf schepen,

illegale handel in hormonale stoffen en andere groeibevorderaars,

seksueel misbruik en seksuele uitbuiting inclusief kinderpornografie en het benaderen van kinderen voor seksuele doeleinden,

genocide, misdaden tegen de menselijkheid en oorlogsmisdaden.


BIJLAGE II

IN ARTIKEL 27 BEDOELDE CATEGORIEËN PERSOONSGEGEVENS

1.

a)

naam, meisjesnaam, voornamen en eventuele aliassen of gebruikte namen;

b)

geboortedatum en geboorteplaats;

c)

nationaliteit;

d)

geslacht;

e)

woonplaats, beroep en verblijfplaats van de betrokkene;

f)

socialezekerheidsnummer of andere officiële nummers die in de lidstaat worden gebruikt voor het identificeren van personen, rijbewijzen, identificatiedocumenten en paspoortgegevens, douanenummers en fiscale identificatienummers;

g)

informatie betreffende rechtspersonen, indien deze informatie gegevens bevat betreffende geïdentificeerde of identificeerbare individuen tegen wie een gerechtelijk onderzoek of vervolging loopt;

h)

nadere gegevens van rekeningen bij banken of andere financiële instellingen;

i)

de beschrijving en de aard van de vermeende feiten, de datum waarop zij werden gepleegd, de strafrechtelijke kwalificatie en de stand van het onderzoek;

j)

de feitelijke elementen op grond waarvan kan worden aangenomen dat het geval een internationale dimensie heeft gekregen;

k)

nadere gegevens omtrent vermeend lidmaatschap van een criminele organisatie;

l)

telefoonnummers, e-mailadressen, verkeers- en locatiegegevens, en alle daarmee verband houdende gegevens die noodzakelijk zijn om de abonnee of gebruiker te identificeren;

m)

gegevens uit kentekenregisters;

n)

op basis van het niet-gecodeerde gedeelte van het DNA vastgestelde DNA-profielen, foto’s en vingerafdrukken.

2.

a)

naam, meisjesnaam, voornamen en eventuele aliassen of gebruikte namen;

b)

geboortedatum en geboorteplaats;

c)

nationaliteit;

d)

geslacht;

e)

woonplaats, beroep en verblijfplaats van de betrokkene;

f)

de beschrijving en de aard van de strafbare feiten van de betrokkene, de datum waarop de strafbare feiten werden gepleegd, de strafrechtelijke kwalificatie en de voortgang van het onderzoek;

g)

socialezekerheidsnummers of andere officiële nummers die de lidstaten gebruiken voor het identificeren van personen, rijbewijzen, identificatiedocumenten en paspoortgegevens, douanenummers en fiscale identificatienummers;

h)

nadere gegevens van rekeningen bij banken en andere financiële instellingen;

i)

telefoonnummers, e-mailadressen, verkeers- en locatiegegevens, en alle daarmee verband houdende gegevens die noodzakelijk zijn om de abonnee of gebruiker te identificeren;

j)

gegevens uit kentekenregisters.