ISSN 1977-0758

Publicatieblad

van de Europese Unie

L 295

European flag  

Uitgave in de Nederlandse taal

Wetgeving

61e jaargang
21 november 2018


Inhoud

 

I   Wetgevingshandelingen

Bladzijde

 

 

VERORDENINGEN

 

*

Verordening (EU) 2018/1724 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 ( 1 )

1

 

*

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG ( 1 )

39

 

*

Verordening (EU) 2018/1726 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011

99

 

*

Verordening (EU) 2018/1727 van het Europees Parlement en de Raad van 14 november 2018 betreffende het Agentschap van de Europese Unie voor justitiële samenwerking in strafzaken (Eurojust), en tot vervanging en intrekking van Besluit 2002/187/JBZ van de Raad

138

 


 

(1)   Voor de EER relevante tekst.

NL

Besluiten waarvan de titels mager zijn gedrukt, zijn besluiten van dagelijks beheer die in het kader van het landbouwbeleid zijn genomen en die in het algemeen een beperkte geldigheidsduur hebben.

Besluiten waarvan de titels vet zijn gedrukt en die worden voorafgegaan door een sterretje, zijn alle andere besluiten.


I Wetgevingshandelingen

VERORDENINGEN

21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/1


VERORDENING (EU) 2018/1724 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 2 oktober 2018

tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 21, lid 2, en artikel 114, lid 1,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

De interne markt is een van de meest tastbare verwezenlijkingen van de Unie. Door vrij verkeer van personen, goederen, diensten en kapitaal toe te staan, worden burgers en bedrijven nieuwe kansen geboden. Deze verordening is een belangrijk onderdeel van de strategie voor de eengemaakte markt die is vastgesteld in de mededeling van de Commissie van 28 oktober 2015 getiteld „De eengemaakte markt verbeteren: meer mogelijkheden voor mensen en ondernemingen”. Die strategie is bedoeld om het volledige potentieel van de interne markt te benutten door het voor burgers en bedrijven eenvoudiger te maken zich binnen de Unie te bewegen en grensoverschrijdend handel te drijven, zich in een andere lidstaat te vestigen en hun zakelijke activiteiten naar een andere lidstaat uit te breiden.

(2)

In de mededeling van de Commissie van 6 mei 2015 getiteld „Strategie voor een digitale eengemaakte markt voor Europa” is de rol erkend die internet en digitale technologieën spelen bij de verandering van ons leven en van de wijze waarop burgers en bedrijven informatie en kennis vergaren, goederen en diensten kopen, deelnemen aan de markt en werken, waardoor kansen worden geboden voor innovatie, groei en werkgelegenheid. In die mededeling en in diverse resoluties van het Europees Parlement is erop gewezen dat beter kan worden voldaan aan de behoeften die burgers en bedrijven in eigen land en bij hun grensoverschrijdende activiteiten ondervinden als de bestaande Europese portalen, websites, netwerken, diensten en systemen worden uitgebreid en geïntegreerd en worden gekoppeld aan verschillende nationale oplossingen, om zo „één digitale toegangspoort” te creëren die als enig Europees toegangspunt dient („de toegangspoort”). In de mededeling van de Commissie van 19 april 2016 getiteld „EU-actieplan inzake e-overheid 2016-2020 — Voor een snellere digitalisering van overheidsdiensten” werd de toegangspoort opgenomen als een van de maatregelen voor 2017. In het verslag van de Commissie van 24 januari 2017 getiteld „Versterking van de rechten van de burgers in een Unie van democratische verandering — Verslag over het EU-burgerschap 2017” werd aangegeven dat de toegangspoort een prioriteit is voor de rechten van burgers van de Unie.

(3)

Het Europees Parlement en de Raad hebben herhaaldelijk gevraagd om een vollediger en gebruikersvriendelijker informatie- en ondersteuningspakket om burgers en bedrijven wegwijs te maken op de interne markt, en de hulpmiddelen van de interne markt te versterken en stroomlijnen om beter te voldoen aan de behoeften die burgers en bedrijven bij hun grensoverschrijdende activiteiten ondervinden.

(4)

Deze verordening geeft gehoor aan die verzoeken door burgers en bedrijven eenvoudig toegang te geven tot de informatie, procedures en diensten voor ondersteuning en probleemoplossing die zij nodig hebben om hun rechten op de interne markt uit te oefenen. De toegangspoort zou kunnen bijdragen tot meer transparantie van regels en voorschriften voor verschillende zakelijke en levensgebeurtenissen op gebieden zoals reizen, pensioen, onderwijs, werkgelegenheid, gezondheidszorg, consumentenrechten en rechten van het gezin. Bovendien kan de toegangspoort bijdragen aan het versterken van het consumentenvertrouwen, het aanpakken van het gebrek aan kennis over consumentenbeschermings- en internemarktregels en het verminderen van de nalevingskosten voor bedrijven. Bij deze verordening wordt een toegangspoort opgericht die gebruikersvriendelijk en interactief is en die de gebruikers, op basis van hun behoeften, naar de meest geschikte diensten moet leiden. In die context is voor de Commissie en de lidstaten een belangrijke rol weggelegd om deze doelstellingen te verwezenlijken.

(5)

De toegangspoort moet de interactie tussen burgers en bedrijven, enerzijds, en bevoegde instanties, anderzijds, vergemakkelijken door toegang te verlenen tot onlineoplossingen die de dagelijkse activiteiten van burgers en bedrijven vergemakkelijken en de op de interne markt ondervonden belemmeringen tot een minimum beperken. Het bestaan van één digitale toegangspoort die onlinetoegang biedt tot nauwkeurige en actuele informatie, tot procedures en tot diensten voor ondersteuning en probleemoplossing kan ertoe bijdragen dat gebruikers zich meer bewust worden van de verschillende bestaande onlinediensten en kan hun tijd en geld besparen.

(6)

Deze verordening heeft drie doelstellingen, te weten administratieve belasting beperken voor burgers en bedrijven die geheel overeenkomstig de nationale voorschriften en procedures hun rechten met betrekking tot de interne markt, waaronder het vrije verkeer van burgers, uitoefenen of willen uitoefenen, discriminatie wegnemen en de werking van de interne markt verzekeren ten aanzien van de verstrekking van informatie, procedures en diensten voor ondersteuning en probleemoplossing. Aangezien deze verordening betrekking heeft op het vrije verkeer van burgers, wat niet als slechts bijkomstig kan worden beschouwd, moet zij op artikel 21, lid 2, en artikel 114, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) worden gebaseerd.

(7)

Om burgers en bedrijven van de Unie in staat te stellen hun recht op vrij verkeer binnen de interne markt uit te oefenen, moet de Unie specifieke, niet-discriminerende maatregelen vaststellen om hun eenvoudig toegang te bieden tot voldoende uitvoerige en betrouwbare informatie over hun rechten krachtens het Unierecht, alsmede tot informatie over de toepasselijke nationale voorschriften en procedures die zij moeten volgen wanneer zij naar een andere dan hun eigen lidstaat verhuizen of daar wonen of studeren of wanneer zij daar een bedrijf vestigen of uitoefenen. Informatie moet voldoende uitvoerig worden geacht indien zij alle inlichtingen bevat die noodzakelijk zijn opdat de gebruikers begrijpen wat hun rechten en plichten zijn en aangeeft welke regels op hen van toepassing zijn in verband met de activiteiten die zij als grensoverschrijdende gebruikers willen ondernemen. De informatie moet worden aangeboden op een duidelijke, beknopte en begrijpelijke wijze en moet operationeel en aangepast aan de doelgroep. Informatie over procedures moet alle te verwachten procedurele stappen bestrijken die voor de gebruiker relevant zijn. Het is voor burgers en bedrijven die te maken hebben met een complex regelgevingskader, zoals die welke die actief zijn in elektronische handel en de deeleconomie, van belang dat zij gemakkelijk kunnen uitvinden welke de toepasselijke regels zijn en hoe die van toepassing zijn op hun activiteiten. Onder eenvoudige en gebruikersvriendelijke toegang tot informatie wordt verstaan dat de gebruikers in staat worden gesteld op eenvoudige wijze de informatie terug te vinden, op eenvoudige wijze te bepalen welke informatie-elementen relevant zijn voor hun specifieke situatie en de relevante informatie vlot te begrijpen. De informatie die op nationaal niveau verstrekt moet worden, dient niet alleen betrekking te hebben op de nationale voorschriften tot uitvoering van het recht van de Unie, maar ook op andere nationale voorschriften die zowel van toepassing zijn op niet-grensoverschrijdende als op grensoverschrijdende gebruikers.

(8)

De regels over de verstrekking van informatie in deze verordening mogen niet van toepassing zijn op nationale rechterlijke organisaties, aangezien informatie op dat gebied die van belang is voor grensoverschrijdende gebruikers al op het e-justitieportaal te vinden is. In sommige situaties waarop deze verordening betrekking heeft, moeten rechtbanken worden geacht bevoegde instanties zijn, bijvoorbeeld wanneer rechtbanken bedrijfsregisters beheren. Het beginsel van non-discriminatie moet bovendien ook van toepassing zijn op onlineprocedures die toegang geven tot gerechtelijke procedures.

(9)

Het is duidelijk dat burgers en bedrijven uit andere lidstaten nadeel kunnen ondervinden doordat zij niet goed op de hoogte zijn van de nationale voorschriften en overheidssystemen, door verschillen in de gebruikte talen en doordat zij zich niet in de nabijheid bevinden van de bevoegde instanties in een andere dan hun eigen lidstaat. De hieruit voortvloeiende belemmeringen voor de interne markt kunnen het meest efficiënt worden aangepakt door grensoverschrijdende en niet-grensoverschrijdende gebruikers onlinetoegang tot informatie te geven in een taal die zij begrijpen, teneinde hun de mogelijkheid te bieden procedures voor de naleving van nationale voorschriften volledig online af te handelen en ondersteuning te bieden wanneer de voorschriften en procedures niet duidelijk genoeg zijn of wanneer zij stuiten op belemmeringen voor de uitoefening van hun rechten.

(10)

Een aantal handelingen van de Unie had tot doel oplossingen aan te reiken in de vorm van sectorgebonden één-loketsystemen, zoals de één-loketten die bij Richtlijn 2006/123/EG van het Europees Parlement en de Raad (3) zijn opgericht, die online informatie, ondersteunende diensten en toegang tot procedures in verband met de verlening van diensten aanbieden, de productcontactpunten die bij Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad (4) zijn ingesteld, de productcontactpunten voor de bouw die zijn ingesteld bij Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad (5) en die toegang verlenen tot productspecifieke technische voorschriften, en de nationale assistentiecentra voor beroepskwalificaties die zijn opgericht bij Richtlijn 2005/36/EG van het Europees Parlement en de Raad (6), die beroepsbeoefenaren helpen bij grensoverschrijdende mobiliteit. Daarnaast zijn er netwerken zoals het netwerk van Europese consumentencentra opgericht om het inzicht in de consumentenrechten binnen de Unie te vergroten en te helpen bij de afhandeling van klachten in verband met aankopen die tijdens reizen of online in andere lidstaten van het netwerk zijn gedaan. Voorts beoogt het in aanbeveling 2013/461/EU van de Commissie (7) bedoelde Solvitnetwerk snelle, effectieve en informele oplossingen te vinden voor problemen die burgers en ondernemingen ondervinden wanneer overheidsinstanties hun hun rechten ontzeggen die zij uit hoofde van de interne markt genieten. Ten slotte zijn verscheidene informatieportalen in verband met de interne markt, zoals Uw Europa, en het Europees e-justitieportaal, op het gebied van justitie, opgericht om gebruikers over Unie- en nationale voorschriften te informeren.

(11)

Door de sectorgebonden aard van deze handelingen van de Unie blijven de online beschikbare informatie, de diensten voor ondersteuning en probleemoplossing en de bijbehorende onlineprocedures voor burgers en bedrijven sterk versnipperd. Er zijn discrepanties in de onlinebeschikbaarheid van informatie en procedures, de kwaliteit van de diensten laat te wensen over, en de informatie en de diensten voor ondersteuning en probleemoplossing genieten onvoldoende bekendheid. Bovendien ondervinden grensoverschrijdende gebruikers problemen om deze diensten te vinden en er toegang toe te krijgen.

(12)

Bij deze verordening moet één digitale toegangspoort worden opgericht die fungeert als het enkele toegangspunt waar burgers en bedrijven terechtkunnen voor informatie over de voorschriften en vereisten waaraan zij uit hoofde van het Unierecht of het nationale recht moeten voldoen. Door die toegangspoort moet het voor burgers en bedrijven eenvoudiger worden contact op te nemen met op het niveau van de Unie of de lidstaten opgerichte diensten voor ondersteuning en probleemoplossing en moet dat contact doeltreffender worden. De toegangspoort moet bovendien de toegang tot onlineprocedures en de afhandeling daarvan vergemakkelijken. Daarom mag deze verordening op generlei wijze raken aan de bestaande rechten en plichten uit hoofde van het Unie- of nationale recht op deze beleidsterreinen. Voor de in bijlage II bij deze verordening opgesomde procedures en de in de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU (8) en 2014/25/EU (9) van het Europees Parlement en de Raad genoemde procedures moet deze verordening de toepassing van het eenmaligheidsbeginsel voor de uitwisseling van bewijs tussen de bevoegde instanties in verschillende lidstaten ondersteunen en het grondrecht op bescherming van persoonsgegevens in dat kader ten volle eerbiedigen.

(13)

De toegangspoort en de inhoud ervan moeten gebruikersgericht en gebruikersvriendelijk zijn. De toegangspoort moet gericht zijn op het vermijden van overlappingen en moet links aanbieden naar bestaande diensten. Zij moet burgers en bedrijven de mogelijkheid geven te interageren met overheidsinstanties op nationaal en Unieniveau, door hen in de gelegenheid te stellen feedback te geven over de via de toegangspoort verleende diensten en de door hen ervaren werking van de interne markt. Het hulpmiddel voor gebruikersreacties moet de gebruiker de mogelijkheid bieden om — op een wijze die de gebruiker in staat stelt anoniem te blijven — ondervonden problemen, tekortkomingen en behoeften te melden om te bevorderen dat de kwaliteit van de diensten voortdurend wordt verbeterd.

(14)

Het succes van de toegangspoort zal afhangen van de gezamenlijke inspanning van de Commissie en de lidstaten. De toegangspoort moet een gemeenschappelijke gebruikersinterface omvatten die wordt geïntegreerd in het bestaande portaal Uw Europa, dat door de Commissie moet worden beheerd. In de gemeenschappelijke gebruikersinterface moeten links worden opgenomen naar informatie, procedures en diensten voor ondersteuning of probleemoplossing die beschikbaar zijn op door de bevoegde instanties in de lidstaten en door de Commissie beheerde portalen. Om het gebruik van de toegangspoort te vergemakkelijken, moet de gemeenschappelijke gebruikersinterface in alle officiële talen van de instellingen van de Unie („officiële talen van de Unie”) beschikbaar zijn. Het bestaande portaal Uw Europa en de voornaamste toegangspagina daartoe moeten, aangepast aan de vereisten van de toegangspoort, deze meertalige benadering van de verstrekte informatie behouden. De werking van de toegangspoort moet worden ondersteund met technische hulpmiddelen die de Commissie in nauwe samenwerking met de lidstaten ontwikkelt.

(15)

In het „Charter for the electronic Points of Single Contact under Directive 2006/123/EC” (Handvest voor de elektronische één-loketten in het kader van Richtlijn 2006/123/EG), dat in 2013 door de Raad werd goedgekeurd, hebben de lidstaten de vrijwillige toezegging gedaan bij de verstrekking van informatie via de één-loketten een gebruikersgerichte aanpak te zullen volgen, zodat gebieden worden bestreken die van bijzonder belang zijn voor bedrijven, waaronder btw, inkomstenbelastingen, sociale zekerheid en arbeidswetgeving. Op basis van dat handvest en gelet op de ervaring met het portaal Uw Europa, moet in die informatie ook een beschrijving worden opgenomen van de diensten voor ondersteuning en probleemoplossing. Burgers en bedrijven moeten zich tot die diensten kunnen wenden wanneer zij de informatie niet goed begrijpen, niet weten hoe de informatie op hun situatie van toepassing is of problemen ondervinden bij de afhandeling van een procedure.

(16)

In deze verordening moeten de informatiegebieden worden vermeld die voor burgers en bedrijven van belang zijn bij de uitoefening van hun rechten en de naleving van hun verplichtingen binnen de interne markt. Op die gebieden moet voldoende uitgebreide informatie worden verstrekt op het nationale niveau, met inbegrip van het regionale en het lokale niveau, alsook op Unieniveau, waarbij toelichting wordt gegeven over de toepasselijke regels en geldende verplichtingen en over de procedures die burgers en bedrijven moeten volgen om daaraan te voldoen. Om de kwaliteit van de geboden diensten te waarborgen, moet de via de toegangspoort verstrekte informatie duidelijk, juist en actueel zijn, moet er zo weinig mogelijk gebruik worden gemaakt van ingewikkelde terminologie en mogen acroniemen alleen worden gebruikt als het om vereenvoudigde en gemakkelijk te begrijpen termen gaat waarvoor geen voorafgaande kennis van het thema of het rechtsgebied vereist is. Die informatie moet op een zodanige wijze worden verstrekt dat de gebruikers de basisregels en -vereisten die op die gebieden op hun situatie van toepassing zijn, gemakkelijk kunnen begrijpen. De gebruikers moeten ook worden geïnformeerd over het feit dat er in sommige lidstaten geen nationale regels zijn op de in bijlage I opgesomde informatiegebieden, vooral wanneer er in andere lidstaten op die gebieden wel nationale regels gelden. Dergelijke informatie over het ontbreken van nationale regels zou in het portaal Uw Europa kunnen worden opgenomen.

(17)

Informatie die de Commissie al bij de lidstaten heeft ingewonnen op grond van bestaande Uniewetgeving of van vrijwillige regelingen — zoals informatie die is verzameld voor het Eures-portaal, ingesteld bij Verordening (EU) 2016/589 van het Europees Parlement en de Raad (10), het e-justitieportaal, ingesteld bij Beschikking 2001/470/EG van de Raad (11) of de Gegevensbank gereglementeerde beroepen, ingesteld bij Richtlijn 2005/36/EG — moet telkens wanneer dat mogelijk is worden gebruikt om een deel van de informatie te bestrijken die overeenkomstig deze verordening aan burgers en bedrijven op Unie- en nationaal niveau moet worden verstrekt. Van de lidstaten mag niet worden verlangd dat zij op hun nationale websites informatie verstrekken die al in de desbetreffende door de Commissie beheerde gegevensbanken beschikbaar is. Wanneer lidstaten al online-informatie moeten verstrekken krachtens andere Uniehandelingen, zoals Richtlijn 2014/67/EU van het Europees Parlement en de Raad (12), moet het voldoende zijn dat de lidstaten links aanbieden naar de bestaande online-informatie. Wanneer bepaalde beleidsterreinen al volledig geharmoniseerd zijn via Uniewetgeving, bijvoorbeeld consumentenrechten, moet op het niveau van de Unie verstrekte informatie in het algemeen volstaan opdat de gebruikers kunnen begrijpen wat hun relevante rechten of plichten zijn. In dergelijke gevallen hoeven de lidstaten alleen maar aanvullende informatie te verstrekken over hun nationale administratieve procedures en diensten voor ondersteuning of andere nationale administratieve voorschriften indien deze voor de gebruikers relevant is. Zo mag informatie over consumentenrechten bijvoorbeeld niet raken aan het overeenkomstenrecht, maar dient zij de gebruikers enkel te informeren over hun rechten op grond van het Unie- of nationale recht in het kader van commerciële transacties.

(18)

Deze verordening moet de internemarktdimensie van onlineprocedures vergroten en aldus bijdragen aan de digitalisering van de interne markt, door onder meer in verband met de toegang van burgers of bedrijven tot onlineprocedures die reeds op basis van Unie- of nationaal recht op nationaal niveau zijn vastgesteld en in verband met de procedures die overeenkomstig deze verordening volledig online beschikbaar moeten worden gemaakt, aan het algemene non-discriminatiebeginsel vast te houden. Indien een gebruiker die zich in een situatie bevindt die uitsluitend onder één lidstaat ressorteert, in die lidstaat online toegang kan hebben tot een onder deze verordening vallende procedure en deze kan doorlopen, dan moet een grensoverschrijdende gebruiker ook online toegang kunnen hebben tot dezelfde procedure en deze kunnen doorlopen, via dezelfde technische oplossing dan wel via een andere, technisch onderscheiden oplossing die tot hetzelfde resultaat leidt, zonder discriminerende belemmeringen. Dergelijke belemmeringen kunnen bestaan uit op nationaal niveau ontworpen oplossingen, zoals velden van formulieren waarin alleen nationale telefoonnummers, nationale voorvoegsels voor telefoonnummers of nationale postcodes kunnen worden ingevuld, vergoedingen die alleen met systemen zonder grensoverschrijdende betaalmogelijkheden kunnen worden betaald, het ontbreken van uitvoerige toelichtingen in een taal die door grensoverschrijdende gebruikers wordt begrepen, het ontbreken van mogelijkheden om elektronische bewijzen van instanties uit een andere lidstaat in te dienen en het niet-aanvaarden van elektronische identificatiemiddelen die in andere lidstaten zijn afgegeven. De lidstaten moeten oplossingen voor die belemmeringen bieden.

(19)

Wanneer gebruikers onlineprocedures in een grensoverschrijdende context doorlopen, moeten zij alle relevante toelichting kunnen verkrijgen in een officiële taal van de Unie die door zo veel mogelijk grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat betekent niet dat de lidstaten hun administratieve formulieren in verband met de procedure of het resultaat van de procedure in die taal moeten vertalen. De lidstaten worden echter wel aangemoedigd om technische oplossingen te gebruiken die de gebruikers in staat stellen om de procedures in zo veel mogelijk gevallen in die taal te doorlopen, met inachtneming van de regels van de lidstaten inzake het gebruik van talen.

(20)

Het antwoord op de vraag welke nationale onlineprocedures voor grensoverschrijdende gebruikers relevant zijn met het oog op de uitoefening van hun rechten uit hoofde van de interne markt, is afhankelijk van het antwoord op de vraag of die gebruikers ingezetene zijn van dan wel gevestigd zijn in de betrokken lidstaat dan wel of zij toegang tot de procedures van die lidstaat willen terwijl zij ingezetene zijn van dan wel gevestigd zijn in een andere lidstaat. Deze verordening mag de lidstaten niet verhinderen van grensoverschrijdende gebruikers die ingezetene zijn van of gevestigd zijn op hun grondgebied, te verlangen dat zij een nationaal identificatienummer verkrijgen met het oog op toegang tot de nationale onlineprocedures, voor zover dit voor die gebruikers geen ongerechtvaardigde extra belasting of kosten met zich brengt. Voor grensoverschrijdende gebruikers die geen ingezetene zijn van of niet gevestigd zijn in de desbetreffende lidstaat, hoeven nationale onlineprocedures die niet relevant zijn voor de uitoefening van hun rechten uit hoofde van de interne markt, bijvoorbeeld inschrijving om lokale dienstverlening zoals afvalophaling en parkeervergunningen te genieten, niet volledig online toegankelijk te zijn.

(21)

Deze verordening moet voortbouwen op Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad (13), waarin voorwaarden zijn vastgesteld waaronder lidstaten bepaalde elektronische identificatiemiddelen van natuurlijke personen en rechtspersonen erkennen die onderworpen zijn aan een aangemeld stelsel voor elektronische identificatie van een andere lidstaat. In Verordening (EU) nr. 910/2014 zijn de voorwaarden neergelegd waaronder gebruikers gebruik mogen maken van hun elektronische identificatie- en authenticatiemiddelen om toegang te verkrijgen tot online publieke diensten in grensoverschrijdende situaties. De instellingen, organen, instanties en agentschappen van de Unie worden aangespoord om elektronische identificatie- en authenticatiemiddelen te accepteren voor de procedures waarvoor zij verantwoordelijk zijn.

(22)

In een aantal sectorale handelingen van de Unie, zoals de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU, is voorgeschreven dat de procedures volledig online beschikbaar moeten zijn. Deze verordening moet voorschrijven dat een aantal andere procedures die van wezenlijk belang zijn voor de meeste burgers en bedrijven die hun rechten uitoefenen en verplichtingen naleven in een grensoverschrijdende context, volledig online beschikbaar zijn.

(23)

Om burgers en bedrijven in staat te stellen rechtstreeks te profiteren van de voordelen van de interne markt zonder onnodige extra administratieve belasting, moet deze verordening voorschrijven dat de gebruikersinterface van bepaalde, in bijlage II bij deze verordening vermelde belangrijke procedures voor grensoverschrijdende gebruikers volledig gedigitaliseerd worden. In deze verordening moeten ook criteria worden gegeven om te bepalen hoe die procedures als volledig online kunnen worden aangemerkt. De verplichting om een dergelijke procedure volledig online beschikbaar te maken dient enkel te gelden indien de procedure in de betrokken lidstaten is vastgesteld. Deze verordening moet niet van toepassing zijn op de initiële inschrijving van een bedrijfsactiviteit, op de procedures die leiden tot de oprichting van een vennootschap als rechtspersoon of op latere indieningen door die vennootschappen, aangezien dergelijke procedures een alomvattende benadering vereisen om digitale oplossingen in de gehele levenscyclus van een onderneming te vergemakkelijken. Wanneer bedrijven zich in een andere lidstaat vestigen, moeten zij zich bij een socialezekerheidsregeling en een verzekeringsregeling inschrijven om hun werknemers daarbij aan te melden en bijdragen aan beide regelingen te betalen. Het is mogelijk dat zij hun bedrijfsactiviteiten moeten melden, vergunningen moeten verkrijgen of veranderingen in hun bedrijfsactiviteiten moeten registreren. Deze registratieprocedures gelden voor bedrijven in talrijke sectoren van de economie en het is bijgevolg passend te verlangen dat zij online beschikbaar worden gesteld.

(24)

Deze verordening moet verduidelijken wat het volledig online aanbieden van een procedure inhoudt. Een procedure moet als volledig online worden beschouwd wanneer de gebruiker alle stappen vanaf de toegang tot de voltooiing van de procedure, waarbij interactie plaatsvindt tussen hem en de bevoegde instantie (het „frontoffice”), elektronisch, op afstand en via een onlinedienst kan doorlopen. Deze onlinedienst moet de gebruiker wegwijs maken in een lijst van alle te vervullen voorwaarden en van alle aan te leveren ondersteunende bewijsstukken, moet de gebruiker in staat stellen de informatie en het bewijs van naleving van al die voorwaarden te verstrekken en moet de gebruiker een automatische ontvangstbevestiging sturen, tenzij de output van de procedure onmiddellijk wordt geleverd. Dit mag de bevoegde instanties niet beletten om rechtstreeks contact op te nemen met de gebruikers wanneer dat nodig is om voor de procedure benodigde nadere toelichting te verkrijgen. De bevoegde instanties dienen de output van de procedure, als bepaald in deze verordening, eveneens langs elektronische weg aan de gebruiker te sturen, waar mogelijk op grond van geldende Unie- en nationale wetgeving.

(25)

Deze verordening mag geen afbreuk doen aan de essentie van de in bijlage II opgesomde procedures die op nationaal, regionaal of lokaal niveau zijn vastgesteld, en mag geen materiële op procedurele regels vastleggen op de onder bijlage II vallende gebieden, met inbegrip van belastingen. Het doel van deze verordening moet zijn de technische vereisten vast te stellen om ervoor te zorgen dat dergelijke procedures, wanneer die in de betrokken lidstaat zijn vastgesteld, volledig online beschikbaar worden gemaakt.

(26)

Deze verordening mag geen afbreuk doen aan de bevoegdheden van nationale instanties in een procedure, waaronder de verificatie van de juistheid en geldigheid van verstrekte informatie of vertrekt bewijs en de verificatie van de authenticiteit wanneer het bewijs op een andere wijze wordt ingediend dan via het op het eenmaligheidsbeginsel gebaseerde technische systeem. Evenmin mag deze verordening raken aan de — al dan niet gedigitaliseerde — procedurele werkstromen binnen en tussen de bevoegde instanties (het „backoffice”). Wanneer zulks noodzakelijk is in het kader van sommige van de procedures voor het registreren van bedrijfsactiviteiten, moeten de lidstaten kunnen blijven vereisen dat er een notaris of jurist wordt ingeschakeld die gebruik zou kunnen willen maken van verificatiemiddelen, zoals videoconferenties of andere onlinemiddelen die een audiovisuele realtimeverbinding mogelijk maken. Het inschakelen van een notaris of jurist mag echter niet beletten dat procedures voor het registreren van zulke veranderingen volledig online worden afgehandeld.

(27)

In sommige gevallen kan van de gebruikers worden verlangd dat zij bewijs overleggen ter staving van feiten die niet online kunnen worden vastgesteld. Dat bewijs kan bijvoorbeeld een medische verklaring, een bewijs van in leven zijn, een keuringsbewijs voor motorvoertuigen of de bevestiging van de chassisnummers ervan zijn. Als zulk bewijs via elektronische weg kan worden verstrekt, zou dit geen uitzondering mogen vormen op het beginsel dat een procedure volledig online moet worden aangeboden. In andere gevallen kan het nog nodig zijn dat gebruikers in het kader van een onlineprocedure in persoon bij een bevoegde instantie verschijnen. Dergelijke uitzonderingen moeten, als zij niet voortvloeien uit Uniewetgeving, worden beperkt tot situaties die gerechtvaardigd worden door een dwingende reden van algemeen belang op het gebied van openbare veiligheid, volksgezondheid of fraudebestrijding. Ter waarborging van de transparantie moeten de lidstaten met de Commissie en de andere lidstaten informatie delen over zulke uitzonderingen en de redenen waarom en de omstandigheden waarin die kunnen worden toegepast. Van de lidstaten mag niet worden verlangd dat zij verslag uitbrengen over elk afzonderlijk geval waarin bij wijze van uitzondering fysieke aanwezigheid werd vereist, maar zij moeten wel meedelen welke nationale bepalingen er ter zake bestaan. Beste praktijken op nationaal niveau en technische ontwikkelingen die verdere digitalisering op dit gebied mogelijk maken, moeten regelmatig in een toegangspoortcoördinatiegroep worden besproken.

(28)

In grensoverschrijdende situaties kan de procedure voor het registreren van een adreswijziging bestaan uit twee afzonderlijke procedures: een procedure in de lidstaat van herkomst om de uitschrijving voor het oude adres te vragen en een procedure in de lidstaat van bestemming om de inschrijving op het nieuwe adres te vragen. Beide procedures moeten onder deze verordening vallen.

(29)

Aangezien de digitalisering van de verplichtingen, procedures en formaliteiten voor de erkenning van beroepskwalificaties reeds onder Richtlijn 2005/36/EG valt, dient deze verordening uitsluitend betrekking te hebben op de digitalisering van de procedure waarbij om academische erkenning van diploma’s, certificaten of andere bewijzen van voltooide opleidingen wordt verzocht met betrekking tot een persoon die een studie wenst te beginnen of voort te zetten of die een academische titel wenst te voeren, die niet de formaliteiten inzake de erkenning van beroepskwalificaties betreffen.

(30)

Deze verordening moet de bepalingen betreffende de coördinatie van de socialezekerheidsstelsels van de Verordeningen (EG) nr. 883/2004 (14) en (EG) nr. 987/2009 van het Europees Parlement en de Raad (15), waarin de rechten en verplichtingen van verzekerden en socialezekerheidsinstellingen en de toepasselijke procedures op het gebied van de coördinatie van de sociale zekerheid vastgesteld zijn, onverlet laten.

(31)

Op Unie- en nationaal niveau zijn verscheidene netwerken en diensten opgericht om burgers en bedrijven te ondersteunen bij hun grensoverschrijdende activiteiten. Het is belangrijk dat die diensten, waaronder bestaande diensten voor ondersteuning of probleemoplossing die op Unieniveau zijn opgezet, zoals de Europese consumentencentra, Uw Europa — Advies, Solvit, de helpdesk intellectuele-eigendomsrechten, Europe Direct en het Enterprise Europe Network, in de toegangspoort worden opgenomen, om ervoor te zorgen dat alle potentiële gebruikers ze kunnen vinden. De in bijlage III vermelde diensten zijn opgericht bij bindende handelingen van de Unie, terwijl andere diensten op vrijwillige basis functioneren. De diensten die bij bindende handelingen van de Unie zijn opgericht moeten gebonden zijn aan de in deze verordening vastgestelde kwaliteitseisen, terwijl de op vrijwillige basis functionerende diensten aan die kwaliteitseisen moeten voldoen als de bedoeling is om ze via de toegangspoort toegankelijk te maken. De reikwijdte en de aard van die diensten, hun governanceregelingen, de bestaande termijnen en de vrijwillige, contractuele of andere grondslag waarop zij opereren, mogen niet door deze verordening worden gewijzigd. Wanneer bijvoorbeeld de ondersteuning die zij bieden een informeel karakter heeft, mag deze verordening er niet toe leiden dat die ondersteuning wordt veranderd in juridisch advies met een bindend karakter.

(32)

Bovendien moeten de lidstaten en de Commissie, onder de in deze verordening vastgestelde voorwaarden, in staat zijn om andere nationale diensten voor ondersteuning of probleemoplossing in de toegangspoort op te nemen die verleend worden door bevoegde instanties of particuliere of semi-particuliere instanties dan wel door openbare instanties zoals handelskamers of niet-gouvernementele ondersteuningsdiensten voor burgers. In beginsel moeten de bevoegde instanties verantwoordelijk zijn voor de ondersteuning van burgers en bedrijven die vragen over de toepasselijke voorschriften en procedures hebben die door de onlinediensten niet volledig kunnen worden beantwoord. Als het echter zeer specialistische gebieden betreft en een door een particulier of semi-particulier orgaan verleende dienst aan de behoeften van de gebruikers voldoet, kunnen de lidstaten aan de Commissie voorstellen een dergelijke dienst in de toegangspoort op te nemen, mits die diensten aan alle voorwaarden van deze verordening voldoet en hierdoor geen doublure ontstaat met reeds opgenomen diensten voor ondersteuning of probleemoplossing.

(33)

Om gebruikers de juiste dienst te helpen vinden, moet deze verordening een hulpmiddel zoekfunctie voor ondersteunende diensten bieden dat de gebruikers automatisch naar de juiste dienst leidt.

(34)

Voor het succes van de toegangspoort is het cruciaal dat een minimumreeks kwaliteitseisen wordt nageleefd om te waarborgen dat de verstrekte informatie en diensten betrouwbaar zijn, aangezien de geloofwaardigheid van de toegangspoort als geheel anders ernstig zou worden ondermijnd. De overkoepelende doelstelling van die naleving is ervoor te zorgen dat de informatie of dienst wordt aangeboden op een duidelijke en gebruiksvriendelijke manier. Het is de verantwoordelijkheid van de lidstaten om te bepalen hoe de informatie met dat doel tijdens het gebruikerstraject wordt gepresenteerd. Zo is het bijvoorbeeld voor gebruikers nuttig om, voordat zij een procedure starten, geïnformeerd te worden over de algemeen beschikbare verhaalmiddelen wanneer de procedure tot een negatief resultaat leidt, maar is het veel gebruiksvriendelijker om specifieke informatie te verstrekken over de mogelijke stappen die in dat geval aan het einde van de procedure moeten worden ondernomen.

(35)

De toegankelijkheid van informatie voor grensoverschrijdende gebruikers kan aanzienlijk worden verbeterd wanneer die informatie beschikbaar wordt gesteld in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen. Dat kan in de meeste gevallen de vreemde taal zijn die het meest wordt gestudeerd door gebruikers in de gehele Unie, maar in sommige specifieke gevallen, meer bepaald wanneer informatie op plaatselijk niveau moet worden verstrekt door kleine gemeenten in de nabijheid van de grens van een lidstaat, kan de meest geschikte taal de taal zijn die als eerste taal wordt gesproken door de grensoverschrijdende gebruikers in de buurlidstaat. De vertaling van de officiële taal of talen van de lidstaat in kwestie in die andere officiële taal van de Unie moet de inhoud van de in de oorspronkelijke taal of talen verstrekte informatie accuraat weergeven. De vertaling kan beperkt worden tot de informatie die gebruikers nodig hebben om de basisregels en -vereisten te begrijpen die op hun situatie van toepassing zijn. De lidstaten moeten worden aangemoedigd om zo veel mogelijk informatie te vertalen in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, maar de hoeveelheid informatie die krachtens deze verordening moet worden vertaald zal afhangen van de financiële middelen die voor dat doel beschikbaar zijn, in het bijzonder binnen de begroting van de Unie. De Commissie moet de nodige regelingen treffen om te zorgen voor een efficiënte levering van vertalingen aan de lidstaten indien zij daarom verzoeken. De toegangspoortcoördinatiegroep moet bespreken in welke taal of talen van de Unie die informatie moet worden vertaald en moet daar richtsnoeren voor aanreiken.

(36)

In overeenstemming met Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad (16) moeten de lidstaten erop toezien dat de websites van hun overheidsinstanties toegankelijk zijn in overeenstemming met de beginselen van waarneembaarheid, bedienbaarheid, begrijpelijkheid en robuustheid en dat zij voldoen aan de vereisten van die richtlijn. De Commissie en de lidstaten moeten zorgen voor naleving van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap, met name de artikelen 9 en 21 daarvan, en om personen met een verstandelijke handicap betere toegang te bieden tot informatie moeten er zo veel mogelijk alternatieven in gemakkelijk leesbare taal worden aangeboden, overeenkomstig het evenredigheidsbeginsel. De lidstaten en de Unie hebben, door dit Verdrag te ratificeren respectievelijk te sluiten (17), zich ertoe verbonden passende maatregelen te nemen om personen met een handicap op voet van gelijkheid met anderen de toegang te garanderen tot nieuwe informatie- en communicatietechnologieën en -systemen, met inbegrip van het internet, door de toegang tot informatie voor personen met een verstandelijke handicap te vergemakkelijken door, binnen de grenzen van het redelijke, zo veel mogelijk alternatieven in gemakkelijk leesbare taal aan te bieden.

(37)

Richtlijn (EU) 2016/2102 is niet van toepassing op websites en mobiele toepassingen van instellingen, organen, instanties en agentschappen van de Unie, maar de Commissie moet ervoor zorgen dat de onder haar verantwoordelijkheid vallende gemeenschappelijke gebruikersinterface en websites die in de toegangspoort moeten worden opgenomen, toegankelijk zijn voor personen met een handicap, wat betekent dat zij waarneembaar, bedienbaar, begrijpelijk en robuust moeten zijn. Onder waarneembaarheid wordt verstaan dat de informatie en de componenten van de gemeenschappelijke gebruikersinterface zodanig aan gebruikers moeten kunnen worden gepresenteerd dat zij kunnen worden waargenomen, onder bedienbaarheid wordt verstaan dat de componenten van de gemeenschappelijke gebruikersinterface en de navigatie bedienbaar moeten zijn, onder begrijpelijkheid wordt verstaan dat de informatie en de werking van de gemeenschappelijke gebruikersinterface begrijpelijk moeten zijn, en onder robuustheid wordt verstaan dat content voldoende robuust moet zijn opdat hij op betrouwbare wijze wordt geïnterpreteerd door uiteenlopende useragents, waaronder hulptechnologieën. Met betrekking tot de termen waarneembaar, bedienbaar, begrijpelijk en robuust wordt de Commissie aangespoord om aan de desbetreffende geharmoniseerde normen te voldoen.

(38)

Om de betaling van vergoedingen die worden verlangd als onderdeel van onlineprocedures of voor het verlenen van diensten voor ondersteuning of probleemoplossing te vergemakkelijken, moeten grensoverschrijdende gebruikers overmakingen of automatische afschrijvingen overeenkomstig Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad (18) of andere algemeen gebruikte grensoverschrijdende betaalmiddelen, waaronder debet- of kredietkaarten, kunnen gebruiken.

(39)

Het is nuttig om gebruikers in te lichten over de verwachte duur van een procedure. Aldus moeten gebruikers worden geïnformeerd over de geldende termijnen of de regelingen „stilzwijgende goedkeuring” of „administratieve stilte” of, indien deze niet van toepassing zijn, ten minste over de gemiddelde, geraamde of indicatieve termijn die de betrokken procedure gewoonlijk vereist. Die ramingen of indicaties mogen gebruikers alleen helpen bij het plannen van hun activiteiten of eventuele administratieve vervolgstappen en mogen geen rechtsgevolgen hebben.

(40)

Deze verordening moet ook de verificatie van door gebruikers in elektronische vorm verstrekt bewijs toestaan wanneer dat bewijs zonder elektronisch zegel of certificatie van de uitgevende bevoegde instantie wordt verstrekt of wanneer het bij deze verordening ingestelde technische hulpmiddel of een ander systeem voor rechtstreekse uitwisseling of verificatie van bewijs tussen de bevoegde instanties van verschillende lidstaten niet beschikbaar is. Voor die gevallen moet deze verordening voorzien in een doeltreffend mechanisme voor de administratieve samenwerking tussen de bevoegde instanties van de lidstaten op basis van het bij Verordening (EU) nr. 1024/2012 van het Europees Parlement en de Raad (19) ingestelde Informatiesysteem interne markt (IMI). In dergelijke gevallen moet het besluit van een bevoegde instantie om het IMI te gebruiken vrijwillig zijn, maar zodra die instantie een verzoek om informatie of samenwerking via het IMI heeft ingediend, dient de aangezochte bevoegde instantie verplicht te zijn samen te werken en te antwoorden. Het verzoek kan via het IMI worden toegezonden aan de bevoegde instantie die het bewijs afgeeft, of aan de centrale instantie die door de lidstaten moet worden aangewezen overeenkomstig hun eigen administratieve voorschriften. Om onnodige doublures te voorkomen en aangezien Verordening (EU) 2016/1191 van het Europees Parlement en de Raad (20) van toepassing is op een deel van de bewijzen die relevant zijn voor de onder deze verordening vallende procedures, kunnen de in Verordening (EU) 2016/1191 vastgestelde samenwerkingsregelingen voor het IMI ook worden gebruikt voor andere bewijzen die nodig zijn voor onder deze verordening vallende procedures. Verordening (EU) nr. 1024/2012 moet worden gewijzigd om toe te staan dat organen, instanties of agentschappen van de Unie actoren binnen het IMI worden.

(41)

Om de kwaliteit en veiligheid van de dienstverlening aan burgers en bedrijven te verbeteren, zijn onlinediensten van de bevoegde instanties cruciaal. Overheidsdiensten binnen de lidstaten streven steeds meer naar het hergebruik van gegevens en verlangen steeds minder vaak van burgers en bedrijven dat zij dezelfde informatie meerdere keren verstrekken. Het hergebruiken van gegevens moet worden bevorderd voor grensoverschrijdende gebruikers om extra lasten te beperken.

(42)

Om rechtmatige grensoverschrijdende uitwisseling van bewijs en informatie middels Uniebrede toepassing van het eenmaligheidsbeginsel mogelijk te maken, moet de toepassing van deze verordening en van het eenmaligheidsbeginsel voldoen aan alle toepasselijke gegevensbeschermingsregels, waaronder de beginselen van minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, noodzakelijkheid, evenredigheid en doelbinding. Bij de tenuitvoerlegging ervan moeten ook de beginselen van ingebouwde veiligheid en ingebouwde privacy ten volle worden nageleefd en moeten de grondrechten van personen, waaronder die inzake billijkheid en de transparantie, worden geëerbiedigd.

(43)

De lidstaten moeten ervoor zorgen dat de gebruikers van procedures duidelijke informatie krijgen over de wijze waarop op hen betrekking hebbende persoonsgegevens zullen worden verwerkt overeenkomstig de artikelen 13 en 14 van Verordening (EU) 2016/679 van het Europees Parlement en de Raad (21) en de artikelen 15 en 16 van Verordening (EU) 2018/1725 (22).

(44)

Om het gebruik van onlineprocedures verder te vergemakkelijken, moet deze verordening overeenkomstig het eenmaligheidsbeginsel de grondslag leggen voor het opzetten en gebruiken van een volledig operationeel, veilig en beveiligd technisch systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs tussen de bij de procedure betrokken actoren, wanneer burgers en bedrijven daarom uitdrukkelijk verzoeken. Wanneer de uitwisseling van bewijs ook persoonsgegevens betreft, dient het verzoek als uitdrukkelijk te worden beschouwd indien het een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie geeft omtrent de wens van het individu om de desbetreffende persoonsgegevens te laten uitwisselen, hetzij door een verklaring, hetzij door een actieve handeling. Indien de gebruiker niet de persoon is op wie de gegevens betrekking hebben, mag de onlineprocedure geen afbreuk doen aan diens rechten uit hoofde van Verordening (EU) 2016/679. De grensoverschrijdende toepassing van het eenmaligheidsbeginsel moet ertoe leiden dat burgers en bedrijven dezelfde gegevens slechts één keer aan overheidsinstanties hoeven te verstrekken en dat die gegevens op verzoek van de gebruiker ook kunnen worden gebruikt om grensoverschrijdende onlineprocedures waarbij grensoverschrijdende gebruikers betrokken zijn, te voltooien. Voor de uitgevende bevoegde instantie moet de verplichting om het technische systeem te gebruiken voor de geautomatiseerde uitwisseling van bewijzen tussen verschillende lidstaten alleen gelden indien instanties in hun eigen lidstaat op rechtmatige wijze bewijs uitgeven in een elektronische vorm die die geautomatiseerde uitwisseling mogelijk maakt.

(45)

Voor de grensoverschrijdende uitwisseling van bewijzen moet er een passende rechtsgrond zijn, zoals Richtlijn 2005/36/EG, 2006/123/EG, 2014/24/EU of 2014/25/EU, of — voor de in bijlage II vermelde procedures — andere Unie- of nationale wetgeving.

(46)

Het is passend dat in deze verordening, als algemene regel, wordt bepaald dat de grensoverschrijdende geautomatiseerde uitwisseling van bewijs plaatsvindt op uitdrukkelijk verzoek van de gebruiker. Dit vereiste mag evenwel niet gelden indien het toepasselijke Unierecht of nationale recht voorziet in een geautomatiseerde grensoverschrijdende uitwisseling zonder uitdrukkelijk verzoek van de gebruiker.

(47)

Het gebruik van het bij deze verordening ingestelde technische systeem moet vrijwillig blijven en de gebruiker moet de mogelijkheid behouden om bewijs over te leggen op andere manieren dan via dit technische systeem. De gebruiker moet de mogelijkheid hebben om het bewijs vooraf in te zien en het recht om ervoor te kiezen om niet over te gaan tot de uitwisseling van bewijs indien hij bij inzage van het uit te wisselen bewijs ontdekt dat de informatie niet accuraat of verouderd is of verder gaat dan wat nodig is voor de desbetreffende procedure. De gegevens voor inzage mogen niet langer worden opgeslagen dan technisch gezien noodzakelijk is.

(48)

Het beveiligde technische systeem dat voor de uitwisseling van bewijs in het kader van deze verordening moet worden ingesteld, moet bevoegde instanties die een verzoek indienen zekerheid bieden dat het bewijs door de juiste uitgevende instantie is verstrekt. Alvorens de door een gebruiker in het kader van een procedure verstrekte informatie te aanvaarden, moet de bevoegde instantie de informatie kunnen verifiëren indien deze twijfel doet rijzen en moet zij kunnen concluderen dat deze juist is.

(49)

Er bestaan een aantal bouwstenen die basismogelijkheden bieden, welke kunnen worden gebruikt om het technische systeem op te zetten, zoals de financieringsfaciliteit voor Europese verbindingen, welke is vastgesteld bij Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad (23), en de bouwstenen voor e-levering en elektronische identiteitskaarten die daarvan deel uitmaken. Die bouwstenen bestaan uit technische specificaties, voorbeeldsoftware en ondersteunende diensten en hebben tot doel te zorgen voor interoperabiliteit tussen de bestaande informatie- en communicatietechnologiesystemen (ICT-systemen) in verschillende lidstaten, zodat burgers, bedrijven en overheden, op om het even welke plaats in de Unie, kunnen profiteren van naadloos aansluitende digitale overheidsdiensten.

(50)

Het bij deze verordening ingestelde technische systeem moet beschikbaar zijn naast andere systemen die mechanismen voor samenwerking tussen instanties bieden, zoals het IMI, en het mag niet van invloed zijn op andere systemen, waaronder het bij Verordening (EG) nr. 987/2009 ingestelde systeem, het Uniform Europees Aanbestedingsdocument uit hoofde van Richtlijn 2014/24/EU, de elektronische uitwisseling van gegevens betreffende sociale zekerheid uit hoofde van Verordening (EG) nr. 987/2009, de Europese beroepskaart krachtens Richtlijn 2005/36/EG, de koppeling van nationale registers en de koppeling van centrale, handels- en vennootschapsregisters in het kader van Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad (24) en de koppeling van insolventieregisters in het kader van Verordening (EU) 2015/848 van het Europees Parlement en de Raad (25).

(51)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van een technisch systeem voor de geautomatiseerde uitwisseling van bewijzen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om met name de technische en operationele specificaties vast te stellen van een systeem voor de verwerking van een verzoek van een gebruiker om uitwisseling van bewijs en voor de overdracht van dergelijk bewijs, alsook om de regels vast te stellen die nodig zijn teneinde de integriteit en vertrouwelijkheid van de overdracht te waarborgen. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (26).

(52)

Om te verzekeren dat het technische systeem een hoog niveau van beveiliging biedt voor de grensoverschrijdende toepassing van het eenmaligheidsbeginsel, dient de Commissie bij de vaststelling van uitvoeringshandelingen waarin de specificaties voor een dergelijk technisch systeem worden vastgelegd terdege rekening te houden met de normen en technische kenmerken die zijn opgesteld door Europese en internationale organisaties en organen voor normalisatie, in het bijzonder het Europees Comité voor Normalisatie (CEN), het Europees Instituut voor telecommunicatienormen (ETSI), de Internationale Organisatie voor normalisatie (ISO), en de Internationale Telecommunicatie-unie (ITU), alsook de in artikel 32 van Verordening (EU) 2016/679 en artikel 22 van Verordening (EU) 2018/1725 bedoelde veiligheidsnormen.

(53)

Wanneer zulks nodig is om de ontwikkeling, de beschikbaarheid, het onderhoud, de supervisie, de monitoring en het beveiligingsbeheer van de onderdelen van het technische systeem waarvoor de Commissie verantwoordelijk is te waarborgen, moet de Commissie het advies inwinnen van de Europese Toezichthouder voor gegevensbescherming.

(54)

De bevoegde instanties en de Commissie moeten waarborgen dat de informatie, procedures en diensten waarvoor zij verantwoordelijk zijn, aan de kwaliteitscriteria voldoen. De krachtens deze verordening aangewezen nationale coördinatoren en de Commissie moeten met regelmatige tussenpozen toezien op de naleving van de kwaliteits- en veiligheidscriteria op het niveau van de lidstaten, respectievelijk het niveau van de Unie, en eventuele problemen oplossen. Voorts moeten de nationale coördinatoren de Commissie bijstaan bij het toezicht op de werking van het technisch systeem dat de grensoverschrijdende uitwisseling van bewijzen mogelijk maakt. Deze verordening moet de Commissie een reeks middelen verschaffen om elke verslechtering van de kwaliteit van de via de toegangspoort aangeboden diensten, rekening houdend met de ernst en het voortduren van de verslechtering, aan te pakken, waarbij — indien nodig — de toegangspoortcoördinatiegroep wordt betrokken. Dit mag geen afbreuk doen aan de algemene verantwoordelijkheid van de Commissie voor het toezicht op de naleving van deze verordening.

(55)

Bij deze verordening moeten de belangrijkste functies worden gespecificeerd van de technische hulpmiddelen die het functioneren van de toegangspoort ondersteunen, en in het bijzonder de gemeenschappelijke gebruikersinterface, het register voor links en de gemeenschappelijke zoekfunctie voor ondersteunende diensten. De gemeenschappelijke gebruikersinterface moet ervoor zorgen dat de gebruikers op websites op nationaal en Unieniveau gemakkelijk informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden. De lidstaten en de Commissie moeten ernaar streven om te voorzien in links naar één enkele bron met de informatie die vereist is voor de toegangspoort, teneinde verwarring bij gebruikers als gevolg van verschillende, geheel of gedeeltelijk duplicerende informatiebronnen te voorkomen. Dit mag niet de mogelijkheid uitsluiten om te voorzien in links naar dezelfde informatie die door lokale of regionale bevoegde instanties over verschillende geografische gebieden wordt verstrekt. Het mag ook niet beletten dat informatie wordt gedupliceerd wanneer dit onvermijdelijk of wenselijk is, bijvoorbeeld wanneer op nationale webpagina’s bepaalde Unierechten, -verplichtingen en -regels worden herhaald of beschreven om de gebruikersvriendelijkheid te verbeteren. Om de rol van personen bij het actualiseren van de links in de gemeenschappelijke gebruikersinterface tot een minimum te beperken, moet, waar technisch mogelijk, een directe verbinding tussen de relevante technische systemen van de lidstaten en het register voor links tot stand worden gebracht. De gemeenschappelijke ICT-ondersteunende instrumenten kunnen eventueel gebruikmaken van de Core Public Services Vocabulary (CPSV) om de interoperabiliteit met nationale dienstencatalogi en de semantiek te vergemakkelijken. De lidstaten dienen te worden aangespoord de CPSV te gebruiken, maar kunnen besluiten nationale oplossingen aan te wenden. Om hergebruik mogelijk te maken moet de informatie in het register voor links in een open, algemeen gebruikte en machineleesbare vorm publiek toegankelijk worden gemaakt, bijvoorbeeld door applicatieprogramma-interfaces (API’s).

(56)

De zoekfunctie in de gemeenschappelijke gebruikersinterface moet de gebruikers leiden naar de informatie die zij nodig hebben, ongeacht of die zich op webpagina’s van de Unie of nationale webpagina’s bevindt. Als alternatieve wijze om de gebruikers naar nuttige informatie te leiden zal de zoekfunctie behulpzaam blijven bij het maken van links tussen bestaande en aanvullende websites of webpagina’s door die zo veel mogelijk te stroomlijnen en te groeperen, en bij het maken van links tussen webpagina’s en websites op Unie- en nationaal niveau die toegang verlenen tot onlinediensten en -informatie.

(57)

In deze verordening dienen ook de kwaliteitseisen voor de gemeenschappelijke gebruikersinterface te worden gespecificeerd. De Commissie moet erop toezien dat de gemeenschappelijke gebruikersinterface voldoet aan deze eisen en met name online beschikbaar en toegankelijk is via diverse kanalen en eenvoudig te gebruiken is.

(58)

Om eenvormige voorwaarden te waarborgen voor de toepassing van de technische oplossingen die de toegangspoort ondersteunen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om, waar nodig, de toepasselijke normen en interoperabiliteitseisen vast te stellen om het gemakkelijker te maken informatie te vinden over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing waarvoor de lidstaten en de Commissie verantwoordelijk zijn. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(59)

Bij deze verordening moet de verantwoordelijkheid voor de ontwikkeling, de beschikbaarheid, het onderhoud en de beveiliging van de ICT-toepassingen die de toegangspoort ondersteunen, bovendien duidelijk worden verdeeld tussen de Commissie en de lidstaten. In het kader van hun taken op het gebied van het onderhoud moeten de Commissie en de lidstaten regelmatig controleren of die ICT-toepassingen goed functioneren.

(60)

Om het volledige potentieel van de in de toegangspoort op te nemen informatiegebieden, procedures en diensten voor ondersteuning en probleemoplossing te ontwikkelen, moet bij de doelgroepen aanzienlijk meer bekendheid worden gegeven aan het bestaan en de werking ervan. Door de opname ervan in de toegangspoort moeten gebruikers veel gemakkelijker de nodige informatie, procedures en diensten voor ondersteuning en probleemoplossing kunnen vinden, zelfs als zij met geen van deze elementen vertrouwd zijn. Voorts zullen gecoördineerde promotiecampagnes nodig zijn om ervoor te zorgen dat burgers en bedrijven in de hele Unie zich bewust worden van het bestaan van de toegangspoort en de voordelen ervan. Dergelijke promotieactiviteiten moeten onder meer bestaan uit zoekmachineoptimalisatie en andere digitale bewustmakingsacties, aangezien deze het meest kosteneffectief zijn en de grootst mogelijke doelgroep kunnen bereiken. Voor maximale efficiëntie moeten die promotieactiviteiten gecoördineerd worden door de toegangspoortcoördinatiegroep en moeten de lidstaten hun promotiecampagnes zodanig vormgeven dat er in elke situatie naar een gemeenschappelijk merk wordt verwezen, met de mogelijkheid om het merk van de toegangspoort aan dat van nationale initiatieven te koppelen.

(61)

Alle instellingen, organen en instanties van de Unie moeten worden aangespoord de toegangspoort te promoten door het logo van die toegangspoort en links naar die toegangspoort op te nemen op alle onder hun verantwoordelijkheid vallende webpagina’s.

(62)

De naam waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot, moet „Your Europe” zijn. De gemeenschappelijke gebruikersinterface dient nadrukkelijk aanwezig te zijn en gemakkelijk te vinden zijn, in het bijzonder op relevante webpagina’s van de Unie en de lidstaten. Het logo van de toegangspoort moet te zien zijn op relevante websites van de Unie en de lidstaten.

(63)

Om voldoende informatie te vergaren aan de hand waarvan de prestaties van de toegangspoort kunnen worden gemeten en verbeterd, dienen de bevoegde instanties en de Commissie bij deze verordening ertoe te worden verplicht om de gegevens over het gebruik van de via de toegangspoort aangeboden informatiegebieden, procedures en diensten te verzamelen en te analyseren. Het verzamelen van statistische gebruikersgegevens, zoals gegevens inzake het aantal bezoeken aan specifieke webpagina’s, het aantal gebruikers uit een lidstaat in vergelijking met het aantal gebruikers uit andere lidstaten, de gebruikte zoektermen, de meest bezochte webpagina’s, de doorverwijssites of het aantal, de oorsprong en het onderwerp van ondersteuningsverzoeken, moet de toegangspoort beter doen functioneren, omdat die gegevens het mogelijk maken de doelgroep af te bakenen, promotieactiviteiten te ontwikkelen en de kwaliteit van de aangeboden diensten te verbeteren. Bij het verzamelen van dergelijke gegevens moet rekening worden gehouden met de jaarlijkse benchmarking van e-overheid door de Commissie, teneinde overlappingen te vermijden.

(64)

Om eenvormige voorschriften voor de uitvoering van deze verordening te waarborgen, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend om eenvormige regels vast te stellen betreffende de methode voor het verzamelen en uitwisselen van gebruikersstatistieken. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011.

(65)

De kwaliteit van de toegangspoort hangt af van de kwaliteit van de diensten van de Unie en de lidstaten die via de toegangspoort worden verleend. Met het oog daarop moet de kwaliteit van de via de toegangspoort ter beschikking gestelde informatie, procedures en diensten voor ondersteuning en probleemoplossing ook regelmatig worden bewaakt met een hulpmiddel voor gebruikersreacties dat de gebruikers vraagt om een beoordeling van en reacties op de volledigheid en kwaliteit van de door hen gebruikte informatie, procedure of dienst voor ondersteuning en probleemoplossing. Deze reacties moeten worden verzameld met een gemeenschappelijk hulpmiddel waartoe de Commissie, de bevoegde instanties en de nationale coördinatoren toegang moeten hebben. Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening ten aanzien van de algemene functies van hulpmiddelen voor gebruikersreacties en de gedetailleerde regelingen voor het verzamelen en delen van de gebruikersreacties, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011. De Commissie moet in geanonimiseerde vorm beknopte online-overzichten publiceren van de problemen die blijken uit de informatie, de voornaamste gebruikersstatistieken en de voornaamste gebruikersreacties die overeenkomstig deze verordening zijn verzameld.

(66)

Daarnaast moet de toegangspoort een hulpmiddel voor gebruikersreacties bevatten dat de gebruikers de mogelijkheid biedt om op vrijwillige en anonieme basis problemen en moeilijkheden te melden die zij bij de uitoefening van hun rechten uit hoofde van de interne markt hebben ondervonden. Dat hulpmiddel moet slechts beschouwd worden als aanvulling op de mechanismen voor de behandeling van klachten, aangezien het niet voorziet in de mogelijkheid gebruikers een persoonlijk antwoord te geven. De ontvangen informatie moet worden gecombineerd met samengevoegde informatie van diensten voor ondersteuning en probleemoplossing over door hen behandelde zaken, met het oog op het opstellen van een overzicht van de perceptie van de interne markt door de gebruikers en het vaststellen van knelpunten met betrekking waartoe in de toekomst mogelijk maatregelen ter verbetering van de werking van de interne markt kunnen worden genomen. Dat overzicht moet worden gekoppeld aan bestaande rapportage-instrumenten zoals het scorebord van de interne markt.

(67)

Het recht van de lidstaten om te beslissen wie de rol van nationale coördinator moet vervullen, moet door deze verordening onverlet worden gelaten. De lidstaten moeten de mogelijkheid hebben om de functies en verantwoordelijkheden van hun nationale coördinatoren met betrekking tot de toegangspoort aan hun interne administratieve structuren aan te passen. De lidstaten moeten de mogelijkheid hebben aanvullende nationale coördinatoren aan te wijzen om de taken in het kader van deze verordening alleen of samen met anderen uit te voeren, met verantwoordelijkheid voor een administratieve afdeling, een geografische regio of volgens andere criteria. De lidstaten moeten de Commissie in kennis stellen van de identiteit van de enkele nationale coördinator die zij hebben aangewezen voor het onderhouden van contacten met de Commissie.

(68)

Om de toepassing van deze verordening te vergemakkelijken, met name door uitwisseling van beste praktijken en samenwerking om de informatie op consistentere wijze te presenteren, zoals vereist bij deze verordening, moet een toegangspoortcoördinatiegroep worden opgericht, die uit de nationale coördinatoren bestaat en door een vertegenwoordiger van de Commissie wordt voorgezeten. Bij de werkzaamheden van de toegangspoortcoördinatiegroep moet rekening worden gehouden met de doelstellingen in het jaarlijkse werkprogramma, dat de Commissie ter overweging aan deze groep moet voorleggen. Het jaarlijkse werkprogramma moet bestaan uit richtsnoeren of aanbevelingen, die niet bindend zijn voor de lidstaten. Op verzoek van het Europees Parlement kan de Commissie besluiten om het Parlement te verzoeken deskundigen te sturen om de vergaderingen van de toegangspoortcoördinatiegroep bij te wonen.

(69)

In deze verordening moet worden aangegeven welke delen van de toegangspoort uit de begroting van de Unie worden gefinancierd en welke delen onder de verantwoordelijkheid van de lidstaten vallen. De Commissie dient de lidstaten bij te staan bij het vinden van herbruikbare ICT-bouwstenen en financiering die via diverse fondsen en programma’s op Unieniveau beschikbaar is en die kan bijdragen in de kosten van ICT-aanpassingen en -ontwikkelingen die op nationaal niveau nodig zijn om aan deze verordening te voldoen. De begrotingsmiddelen die nodig zijn voor de tenuitvoerlegging van deze verordening moeten verenigbaar zijn met het toepasselijke meerjarig financieel kader.

(70)

De lidstaten worden aangemoedigd meer met elkaar te coördineren, uit te wisselen en samen te werken teneinde hun strategische, operationele, onderzoeks- en ontwikkelingscapaciteiten op het gebied van cyberveiligheid te vergroten, met name door de uitvoering van de netwerk- en informatiebeveiliging als bedoeld in Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (27), om de beveiliging en de veerkracht van hun overheidsadministratie en diensten te versterken. De lidstaten worden aangemoedigd om de veiligheid van transacties te vergroten en te zorgen voor een voldoende mate van vertrouwen in elektronische middelen door gebruikmaking van het in Verordening (EU) nr. 910/2014 vastgestelde eIDAS-kader en met name adequate veiligheidsniveaus. De lidstaten kunnen maatregelen nemen overeenkomstig het Unierecht om de cyberveiligheid te waarborgen en identiteitsfraude of andere vormen van fraude te voorkomen.

(71)

Wanneer de toepassing van deze verordening de verwerking van persoonsgegevens vergt, dient deze verwerking te geschieden overeenkomstig het recht van de Unie inzake de bescherming van persoonsgegevens, en met name Verordening (EU) 2016/679 en Verordening (EU) 2018/1725. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (28) moet ook van toepassing zijn in het kader van deze verordening. Zoals bepaald in Verordening (EU) 2016/679 kunnen de lidstaten andere voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van gegevens over gezondheid handhaven of invoeren, en kunnen zij ook meer specifieke regels vaststellen voor de verwerking van persoonsgegevens van werknemers in het kader van de arbeidsverhouding.

(72)

Deze verordening moet het stroomlijnen van de governanceregelingen voor de onder de toegangspoort vallende diensten bevorderen en vergemakkelijken. Daartoe dient de Commissie, in nauwe samenwerking met de lidstaten, de bestaande governanceregelingen te evalueren en waar nodig aan te passen om doublures en inefficiëntie te voorkomen.

(73)

Deze verordening heeft tot doel ervoor te zorgen dat gebruikers die in andere lidstaten actief zijn, onlinetoegang hebben tot volledige, betrouwbare, toegankelijke en begrijpelijke informatie van de Unie en de lidstaten over rechten, voorschriften en verplichtingen, tot onlineprocedures die volledig grensoverschrijdend afgehandeld kunnen worden en tot diensten voor ondersteuning en probleemoplossing. Daar die doelstelling niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang en de gevolgen van deze verordening beter door de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan nodig is om die doelstelling te verwezenlijken.

(74)

Om de lidstaten en de Commissie de gelegenheid te geven de nodige hulpmiddelen voor de tenuitvoerlegging van deze verordening te ontwikkelen en in gebruik te nemen, moet een aantal bepalingen van deze verordening van toepassing zijn vanaf twee jaar na de inwerkingtreding van deze verordening. De gemeentelijke instanties moeten tot vier jaar na de inwerkingtreding van deze verordening de tijd krijgen uitvoering te geven aan het vereiste om informatie te verstrekken over de regels, procedures en diensten voor ondersteuning en probleemoplossing die onder hun verantwoordelijkheid vallen. De bepalingen van deze verordening inzake procedures die volledig online moeten worden aangeboden, de grensoverschrijdende toegang tot onlineprocedures en het technische systeem voor de geautomatiseerde grensoverschrijdende uitwisseling van bewijs overeenkomstig het eenmaligheidsbeginsel moeten uiterlijk vijf jaar na de inwerkingtreding van deze verordening uitgevoerd zijn.

(75)

Deze verordening eerbiedigt de grondrechten en de beginselen die met name zijn vastgelegd in het Handvest van de grondrechten van de Europese Unie, en moet worden uitgevoerd overeenkomstig die rechten en beginselen.

(76)

Overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (29) is de Europese Toezichthouder voor gegevensbescherming geraadpleegd, en op 1 augustus 2017 heeft hij een advies uitgebracht (30),

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp

1.   Bij deze verordening worden voorschriften vastgesteld voor:

a)

de oprichting en werking van één digitale toegangspoort om burgers en bedrijven eenvoudig toegang te verlenen tot informatie van goede kwaliteit, efficiënte procedures en doeltreffende diensten voor ondersteuning en probleemoplossing met betrekking tot regels van de Unie en van de lidstaten die van toepassing zijn op burgers en bedrijven die hun op de rechtsorde van de Unie gebaseerde rechten op het gebied van de in artikel 26, lid 2, VWEU, bedoelde interne markt uitoefenen of wensen uit te oefenen;

b)

het gebruik van procedures door grensoverschrijdende gebruikers en de toepassing van het eenmaligheidsbeginsel in verband met de in bijlage II bij deze verordening en in de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU vermelde procedures;

c)

de rapportage over belemmeringen op de interne markt op basis van het verzamelen van gebruikersreacties en -statistieken betreffende de in de toegangspoort opgenomen diensten.

2.   Indien deze verordening strijdig is met een bepaling van een andere handeling van de Unie betreffende specifieke aspecten van het onder deze verordening vallende onderwerp, heeft de bepaling van die andere handeling van de Unie voorrang.

3.   Deze verordening doet geen afbreuk aan de inhoud van of de rechten die verleend zijn door procedures die op de onder deze verordening vallende terreinen op het niveau van de Unie of de lidstaten zijn vastgesteld. Voorts doet deze verordening geen afbreuk aan overeenkomstig het Unierecht genomen maatregelen om de cyberbeveiliging te waarborgen en fraude te voorkomen.

Artikel 2

Oprichting van één digitale toegangspoort

1.   De Commissie en de lidstaten richten overeenkomstig deze verordening één digitale toegangspoort op („de toegangspoort”). De toegangspoort bestaat uit een door de Commissie beheerde gemeenschappelijke gebruikersinterface („de gemeenschappelijke gebruikersinterface”), die geïntegreerd is in het portaal Uw Europa en toegang biedt tot relevante webpagina’s van de Unie en de lidstaten.

2.   De toegangspoort biedt toegang tot:

a)

informatie over de in het recht van de Unie en de lidstaten vastgestelde rechten, verplichtingen en regels die van toepassing zijn op gebruikers die hun op de rechtsorde van de Unie gebaseerde rechten op het gebied van de interne markt op de in bijlage I vermelde terreinen uitoefenen of wensen uit te oefenen;

b)

informatie over online- en offlineprocedures en links naar onlineprocedures, met inbegrip van onder bijlage II vallende procedures, die op het niveau van de Unie of de lidstaten zijn vastgesteld om de gebruikers in staat te stellen hun rechten uit te oefenen en de verplichtingen en regels op het gebied van de interne markt op de in bijlage I vermelde terreinen na te leven;

c)

informatie over en links naar de in bijlage III vermelde of in artikel 7 bedoelde diensten voor ondersteuning en probleemoplossing waartoe burgers en bedrijven zich kunnen richten als zij vragen of problemen hebben in verband met de onder a) en b) van dit lid bedoelde rechten, verplichtingen, regels of procedures.

3.   De gemeenschappelijke gebruikersinterface is beschikbaar in alle officiële talen van de Unie.

Artikel 3

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

1.

„gebruiker”: een burger van de Unie, een natuurlijke persoon met verblijfplaats in een lidstaat of een rechtspersoon met statutaire zetel in een lidstaat, die via de toegangspoort toegang krijgt tot de in artikel 2, lid 2, bedoelde informatie, procedures of diensten voor ondersteuning of probleemoplossing;

2.

„grensoverschrijdende gebruiker”: een gebruiker in een situatie die niet in alle opzichten tot één lidstaat is beperkt;

3.

„procedure”: reeks handelingen die gebruikers moeten verrichten om aan de voorschriften te voldoen of een bevoegde instantie een beslissing te laten nemen om hun in artikel 2, lid 2, onder a), bedoelde rechten te kunnen uitoefenen;

4.

„bevoegde instantie”: een instantie of orgaan van een lidstaat waaraan op nationaal, regionaal of lokaal niveau specifieke verantwoordelijkheden zijn toegewezen in verband met de onder deze verordening vallende informatie, procedures of diensten voor ondersteuning en probleemoplossing;

5.

„bewijs”: documenten of gegevens, met inbegrip van teksten en geluids- en/of beeldopnamen, ongeacht de gebruikte drager, die door een bevoegde instantie worden verlangd ter staving van feiten of van de naleving van in artikel 2, lid 2, onder b), bedoelde procedurele vereisten.

HOOFDSTUK II

DIENSTEN VAN DE TOEGANGSPOORT

Artikel 4

Toegang tot informatie

1.   De lidstaten bieden de gebruikers op hun nationale webpagina’s gemakkelijk onlinetoegang tot:

a)

informatie over de in artikel 2, lid 2, onder a), bedoelde rechten, verplichtingen en regels die ontleend zijn aan het nationale recht;

b)

informatie over de in artikel 2, lid 2, onder b), bedoelde procedures die op nationaal niveau zijn vastgesteld;

c)

informatie over de in artikel 2, lid 2, onder c), bedoelde informatie betreffende diensten voor ondersteuning en probleemoplossing die op nationaal niveau worden verleend.

2.   De Commissie biedt de gebruikers via het portaal Uw Europa gemakkelijk onlinetoegang tot:

a)

informatie over de in artikel 2, lid 2, onder a), bedoelde rechten, verplichtingen en regels die ontleend zijn aan het Unierecht;

b)

informatie over de in artikel 2, lid 2, onder b), bedoelde procedures die op het niveau van de Unie zijn vastgesteld;

c)

informatie over de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing die op het niveau van de Unie worden verleend.

Artikel 5

Toegang tot niet in bijlage I opgenomen informatie

1.   De lidstaten en de Commissie kunnen links aanbieden naar informatie op niet in bijlage I opgenomen gebieden die door bevoegde instanties, de Commissie of organen, instanties en agentschappen van de Unie wordt aangeboden, mits die informatie onder het toepassingsgebied van de toegangspoort valt zoals gedefinieerd in artikel 1, lid 1, onder a), en voldoet aan de kwaliteitseisen van artikel 9.

2.   De links naar de in lid 1 van dit artikel bedoelde informatie worden verstrekt in overeenstemming met artikel 19, leden 2 en 3.

3.   Voordat zij een link activeert, vergewist de Commissie zich ervan dat aan de voorwaarden van lid 1 is voldaan en raadpleegt zij de toegangspoortcoördinatiegroep.

Artikel 6

Procedures die volledig online moeten worden aangeboden

1.   Elke lidstaat zorgt ervoor dat gebruikers volledig online toegang hebben tot de in bijlage II vermelde procedures en deze volledig online kunnen afhandelen, mits de betreffende procedure in de lidstaat in kwestie is vastgesteld.

2.   De in lid 1 bedoelde procedures worden als volledig online beschouwd wanneer:

a)

de identificatie van gebruikers, de verstrekking van informatie en ondersteunend bewijs, de ondertekening en de definitieve indiening allemaal elektronisch op afstand kunnen worden verricht, via een dienstverleningskanaal dat gebruikers op gebruiksvriendelijke en gestructureerde wijze in staat stelt de procedurele vereisten na te leven;

b)

de gebruikers een automatische ontvangstbevestiging krijgen, tenzij het resultaat van de procedure onmiddellijk wordt geleverd;

c)

het resultaat van de procedure elektronisch wordt geleverd of — indien nodig om te voldoen aan toepasselijke Unie- of nationale wetgeving — fysiek wordt geleverd; en

d)

de gebruikers een elektronische kennisgeving van de afronding van de procedure ontvangen.

3.   Als, in uitzonderlijke gevallen die gerechtvaardigd worden door dwingende redenen van algemeen belang op het gebied van openbare veiligheid, volksgezondheid of fraudebestrijding, het nagestreefde doel niet volledig online kan worden bereikt, kunnen de lidstaten als procedurestap vereisen dat de gebruiker in persoon bij de bevoegde instantie verschijnt. In dergelijke uitzonderlijke gevallen beperken de lidstaten die fysieke aanwezigheid tot hetgeen strikt noodzakelijk is en objectief gezien gerechtvaardigd is, en zorgen zij ervoor dat de overige stappen van de procedure volledig online kunnen worden afgehandeld. De lidstaten zorgen er ook voor dat de vereisten inzake fysieke aanwezigheid niet tot discriminatie van grensoverschrijdende gebruikers leiden.

4.   De lidstaten melden via een gemeenschappelijk register dat toegankelijk is voor de Commissie en de andere lidstaten de redenen waarom en de omstandigheden waarin fysieke aanwezigheid kan worden vereist voor de in lid 3 bedoelde procedurestappen, en lichten die redenen en omstandigheden toe; zij melden tevens de redenen waarom en de omstandigheden waarin de fysieke levering noodzakelijk is, als bedoeld in lid 2, onder c), en lichten ook die redenen en omstandigheden toe.

5.   Dit artikel staat er niet aan in de weg dat lidstaten gebruikers de aanvullende mogelijkheid geven om op een andere wijze dan via een onlinekanaal toegang te krijgen tot de in artikel 2, lid 2, onder b), bedoelde procedures en die op een andere wijze af te handelen, of dat lidstaten rechtstreeks contact opnemen met gebruikers.

Artikel 7

Toegang tot diensten voor ondersteuning en probleemoplossing

1.   De lidstaten en de Commissie bieden de gebruikers, met inbegrip van grensoverschrijdende gebruikers, via verschillende kanalen gemakkelijk onlinetoegang tot de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing.

2.   De in artikel 28 bedoelde nationale coördinatoren en de Commissie kunnen overeenkomstig artikel 19, leden 2 en 3, links opnemen naar andere dan de in bijlage III vermelde diensten voor ondersteuning en probleemoplossing die door de bevoegde instanties, de Commissie of de organen, instanties en agentschappen van de Unie worden verleend, mits die diensten aan de kwaliteitseisen in de artikelen 11 en 16 voldoen.

3.   De nationale coördinator kan, indien dat nodig is om in de behoeften van de gebruikers te voorzien, de Commissie voorstellen in de toegangspoort links op te nemen naar diensten voor ondersteuning of probleemoplossing die door particuliere of semi-particuliere entiteiten worden verleend, mits die diensten aan de volgende voorwaarden voldoen:

a)

zij bieden informatie of ondersteuning op de terreinen en voor de doeleinden die onder deze verordening vallen en vormen een aanvulling op diensten die al in de toegangspoort zijn opgenomen;

b)

zij worden kosteloos of tegen een voor micro-ondernemingen, organisaties zonder winstoogmerk en burgers betaalbare prijs aangeboden, en

c)

zij voldoen aan de voorschriften in de artikelen 8, 11 en 16.

4.   Als de nationale coördinator overeenkomstig lid 3 van dit artikel heeft voorgesteld een link op te nemen en die link overeenkomstig artikel 19, lid 3, verstrekt, beoordeelt de Commissie of de via de link op te nemen dienst aan de voorwaarden van lid 3 van dit artikel voldoet en activeert zij de link indien dat het geval is.

Als de Commissie tot de bevinding komt dat de op te nemen dienst niet aan de voorwaarden van lid 3 voldoet, deelt zij de nationale coördinator mee waarom zij de link niet activeert.

Artikel 8

Kwaliteitseisen inzake webtoegankelijkheid

De Commissie maakt de websites en webpagina’s waarop zij toegang biedt tot de in artikel 4, lid 2, bedoelde informatie en tot de in artikel 7 bedoelde diensten voor ondersteuning en probleemoplossing toegankelijker door ze waarneembaar, bedienbaar, begrijpelijk en robuust te maken.

HOOFDSTUK III

KWALITEITSEISEN

DEEL 1

Kwaliteitseisen voor informatie over rechten, verplichtingen en regels, over procedures en over diensten voor ondersteuning en probleemoplossing

Artikel 9

Kwaliteit van informatie over rechten, verplichtingen en regels

1.   Wanneer de lidstaten en de Commissie overeenkomstig artikel 4 verantwoordelijk zijn voor het waarborgen van de toegang tot de in artikel 2, lid 2, onder a), bedoelde informatie, vergewissen zij zich ervan dat die informatie:

a)

gebruiksvriendelijk is, zodat de gebruiker de informatie gemakkelijk kan vinden en begrijpen en gemakkelijk kan bepalen welke informatie-elementen relevant zijn voor zijn specifieke situatie;

b)

accuraat en volledig genoeg is om de informatie te bevatten die gebruikers nodig hebben om hun rechten geheel overeenkomstig de toepasselijke regels en verplichtingen uit te oefenen;

c)

zo nodig verwijzingen en links naar rechtshandelingen, technische specificaties en richtsnoeren omvat;

d)

de naam omvat van de bevoegde instantie of entiteit die verantwoordelijk is voor de inhoud van de informatie;

e)

de contactgegevens omvat van eventuele relevante diensten voor ondersteuning of probleemoplossing, zoals een telefoonnummer, een e-mailadres, een onlineformulier of een ander gangbaar elektronisch communicatiemiddel dat het meest geschikt is voor de aangeboden soort dienst en voor het doelpubliek van die dienst;

f)

in voorkomend geval de datum vermeldt waarop de informatie voor het laatst is geactualiseerd of als de informatie niet is geactualiseerd, de datum waarop de datum is gepubliceerd;

g)

een duidelijke structuur en presentatie heeft, zodat gebruikers snel de informatie vinden die zij nodig hebben;

h)

voortdurend actueel is; en

i)

is geschreven in duidelijke en begrijpelijke taal, die op de behoeften van de beoogde gebruikers is afgestemd.

2.   De lidstaten maken de in lid 1 van dit artikel bedoelde informatie toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 10

Kwaliteit van informatie over procedures

1.   Om aan artikel 4 te voldoen, zorgen de lidstaten en de Commissie ervoor dat de gebruikers, voordat zij zich moeten identificeren alvorens aan een procedure te beginnen, toegang hebben tot een voldoende volledige, duidelijke en gebruikersvriendelijke uitleg van de hieronder vermelde elementen van de procedures als bedoeld in artikel 2, lid 2, onder b), indien van toepassing:

a)

de relevante stappen van de procedure die de gebruiker moet volgen, met inbegrip van eventuele uitzonderingen uit hoofde van artikel 6, lid 3, op de verplichting van de lidstaten om de procedure volledig online aan te bieden;

b)

de naam van de bevoegde instantie die verantwoordelijk is voor de procedure, met inbegrip van haar contactgegevens;

c)

de voor de procedure geaccepteerde wijzen van authenticatie, identificatie en ondertekening;

d)

de aard en vorm van de te verstrekken bewijzen;

e)

de rechtsmiddelen en beroepsmogelijkheden die algemeen beschikbaar zijn bij geschillen met de bevoegde instanties;

f)

de verschuldigde vergoedingen en de onlinebetaalmethode;

g)

de eventuele uiterste termijnen die de gebruiker of de bevoegde instantie moet aanhouden en — wanneer er geen uiterste termijnen zijn — de gemiddelde, geraamde of indicatieve tijd die de bevoegde instantie nodig heeft om de procedure af te ronden;

h)

eventuele regels inzake het uitblijven van een antwoord van de bevoegde instantie en de rechtsgevolgen daarvan voor de gebruikers, met inbegrip van regelingen inzake stilzwijgende goedkeuring of administratieve stilte;

i)

eventuele aanvullende talen waarin de procedure kan worden uitgevoerd.

2.   Als er geen regelingen inzake stilzwijgende goedkeuring of administratieve stilte of soortgelijke regelingen bestaan, stellen de bevoegde instanties, in voorkomend geval, de gebruikers op de hoogte van de eventuele uiterste termijnen en de eventuele verlenging van termijnen of de eventuele gevolgen daarvan.

3.   Als de in lid 1 bedoelde uitleg al beschikbaar is gesteld aan niet-grensoverschrijdende gebruikers, kan voor de doeleinden van deze verordening dezelfde uitleg worden gebruikt of hergebruikt, mits die uitleg, in voorkomend geval, tevens van toepassing is op de situatie van grensoverschrijdende gebruikers.

4.   De lidstaten maken de in lid 1 van dit artikel bedoelde uitleg toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 11

Kwaliteit van informatie over diensten voor ondersteuning en probleemoplossing

1.   Om aan artikel 4 te voldoen, zorgen de lidstaten en de Commissie ervoor dat de gebruikers, alvorens zij een verzoek indienen voor een dienst als bedoeld in artikel 2, lid 2, onder c), toegang hebben tot een duidelijke en gebruikersvriendelijke uitleg van:

a)

de aard, het doel en de verwachte resultaten van de geboden dienst;

b)

de contactgegevens van de entiteiten die verantwoordelijk zijn voor de dienst, zoals een telefoonnummer, een e-mailadres, een onlineformulier of een ander gangbaar elektronisch communicatiemiddel dat het meest geschikt is voor de aangeboden soort dienst en voor het doelpubliek van die dienst;

c)

de eventueel verschuldigde vergoedingen en de onlinebetaalmethode;

d)

eventuele uiterste termijnen die moeten worden aangehouden en — als er geen uiterste termijnen zijn — de gemiddelde of geschatte tijd die nodig is om de dienst te verlenen;

e)

eventuele aanvullende talen waarin het verzoek kan worden ingediend en die in latere contacten kunnen worden gebruikt.

2.   De lidstaten maken de in lid 1 bedoelde uitleg toegankelijk in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12.

Artikel 12

Vertaling van informatie

1.   Als een lidstaat de informatie, uitleg en instructies als bedoeld in de artikelen 9, 10 en 11 en artikel 13, lid 2, onder a), niet verstrekt in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, verzoekt hij de Commissie om vertalingen in die taal, binnen de grenzen van het beschikbare Uniebudget als bedoeld in artikel 32, lid 1, onder c).

2.   De lidstaten zorgen ervoor dat de op grond van lid 1 van dit artikel ter vertaling aangeboden teksten ten minste de essentiële informatie op alle in bijlage I genoemde gebieden omvatten en — indien er voldoende Uniebudget beschikbaar is — alle verdere informatie, uitleg en instructies als bedoeld in de artikelen 9, 10 en 11 en artikel 13, lid 2, onder a), gelet op de belangrijkste behoeften van grensoverschrijdende gebruikers. De lidstaten verstrekken de links naar deze vertaalde informatie aan het in artikel 19 bedoelde register voor links.

3.   De in lid 1 bedoelde taal is de officiële taal van de Unie die het meest als vreemde taal wordt gestudeerd door gebruikers in de hele Unie. Wanneer kan worden verondersteld dat de te vertalen informatie, uitleg of instructies vooral van belang zijn voor grensoverschrijdende gebruikers die uit één andere lidstaat afkomstig zijn, kan de in lid 1 bedoelde taal — bij wijze van uitzondering — de officiële taal van de Unie zijn die deze grensoverschrijdende gebruikers als eerste taal gebruiken.

4.   Als een lidstaat verzoekt om vertaling in een andere officiële taal van de Unie dan die welke het meest als vreemde taal wordt gestudeerd door gebruikers in de hele Unie, motiveert hij dat verzoek. Zo de Commissie van oordeel is dat er niet is voldaan aan de voorwaarden van lid 3 om voor een dergelijke andere taal te kiezen, kan zij het verzoek afwijzen en stelt zij de lidstaat in kennis van de redenen voor die afwijzing.

DEEL 2

Vereisten voor onlineprocedures

Artikel 13

Grensoverschrijdende toegang tot onlineprocedures

1.   De lidstaten zorgen ervoor dat elke in artikel 2, lid 2, onder b), bedoelde procedure die op nationaal niveau is vastgesteld en online toegankelijk en af te handelen is voor niet-grensoverschrijdende gebruikers, op niet-discriminerende wijze door middel van dezelfde of een alternatieve technische oplossing ook online toegankelijk en af te handelen is voor grensoverschrijdende gebruikers.

2.   De lidstaten zorgen ervoor dat wat de in lid 1 van dit artikel bedoelde procedures betreft, ten minste aan de volgende vereisten wordt voldaan:

a)

de gebruikers krijgen toegang tot de instructies voor de afhandeling van de procedure in een officiële taal van de Unie die door een zo groot mogelijk aantal grensoverschrijdende gebruikers grotendeels wordt begrepen, overeenkomstig artikel 12;

b)

grensoverschrijdende gebruikers kunnen de vereiste informatie verstrekken, ook als de structuur van deze informatie verschilt van soortgelijke informatie in de betrokken lidstaat;

c)

in alle gevallen waarin dit ook voor niet-grensoverschrijdende gebruikers mogelijk is, kunnen grensoverschrijdende gebruikers zich elektronisch identificeren en authenticeren en documenten elektronisch ondertekenen of verzegelen als bepaald in Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad;

d)

in alle gevallen waarin dit ook voor niet-grensoverschrijdende gebruikers mogelijk is, kunnen grensoverschrijdende gebruikers in elektronische vorm bewijzen verstrekken waaruit blijkt dat de toepasselijke vereisten zijn nageleefd en kunnen zij het resultaat van de procedures ontvangen;

e)

indien een betaling vereist is om de procedure af te ronden, kunnen de gebruikers de verschuldigde vergoeding online betalen met behulp van algemeen beschikbare grensoverschrijdende betaaldiensten, zonder discriminatie op grond van de plaats binnen de Unie waar de betalingsdienstaanbieder is gevestigd, waar het betaalinstrument is afgegeven of waar de betaalrekening zich bevindt.

3.   Als de procedure geen elektronische identificatie of authenticatie in de zin van lid 2, onder c), vereist en als de bevoegde instanties volgens de toepasselijke nationale wetgeving of administratieve praktijk gemachtigd zijn gedigitaliseerde kopieën van niet-elektronische identiteitsbewijzen, zoals identiteitskaarten of paspoorten, van niet-grensoverschrijdende gebruikers te aanvaarden, aanvaarden die instanties dergelijke gedigitaliseerde kopieën ook van grensoverschrijdende gebruikers.

Artikel 14

Technisch systeem voor de grensoverschrijdende geautomatiseerde uitwisseling van bewijs en de toepassing van het „eenmaligheidsbeginsel”

1.   De Commissie stelt in samenwerking met de lidstaten een technisch systeem in voor de geautomatiseerde uitwisseling van bewijs tussen de bevoegde instanties in verschillende lidstaten („het technische systeem”) met het oog op de uitwisseling van bewijs voor de in bijlage II bij deze verordening vermelde onlineprocedures en de bij de Richtlijnen 2005/36/EG, 2006/123/EG, 2014/24/EU en 2014/25/EU vastgestelde procedures.

2.   Als de bevoegde instanties op wettige wijze in hun eigen lidstaat en in een elektronische vorm die geautomatiseerde uitwisseling mogelijk maakt, bewijs verstrekken dat relevant is voor de in lid 1 bedoelde onlineprocedures, stellen zij dergelijk bewijs ook ter beschikking van de verzoekende bevoegde instanties van andere lidstaten in een elektronische vorm die geautomatiseerde uitwisseling mogelijk maakt.

3.   Het technische systeem zorgt met name voor het volgende:

a)

het maakt het mogelijk verzoeken om bewijzen op uitdrukkelijk verzoek van de gebruiker te verwerken;

b)

het biedt toegangs- en uitwisselingsmogelijkheden voor de verwerking van verzoeken om bewijzen;

c)

het biedt bevoegde instanties de mogelijkheid bewijzen naar elkaar te verzenden;

d)

het biedt de verzoekende bevoegde instantie de mogelijkheid het bewijs te verwerken;

e)

het waarborgt de vertrouwelijkheid en integriteit van het bewijs;

f)

het biedt de gebruiker de mogelijkheid het door de verzoekende bevoegde instantie te gebruiken bewijs vooraf te bekijken en te kiezen of hij al dan niet wil doorgaan met de uitwisseling van bewijs;

g)

het waarborgt een passende mate van interoperabiliteit met andere relevante systemen;

h)

het waarborgt een hoog beveiligingsniveau voor het toezenden en verwerken van bewijs;

i)

het verwerkt geen andere gegevens dan die welke strikt noodzakelijk zijn om bewijs te kunnen uitwisselen, en uitsluitend gedurende de tijd die daartoe nodig is.

4.   Het gebruik van het technische systeem is niet verplicht voor gebruikers en is alleen op hun uitdrukkelijk verzoek toegestaan, tenzij krachtens Unie- of nationaal recht anders is bepaald. De gebruikers wordt toegestaan om bewijs op een andere manier dan via het technische systeem rechtstreeks aan de verzoekende bevoegde instantie over te leggen.

5.   De in lid 3, onder f), van dit artikel bedoelde mogelijkheid om het bewijs vooraf te bekijken, wordt niet vereist voor procedures waarbij geautomatiseerde grensoverschrijdende gegevensuitwisseling zonder die mogelijkheid is toegestaan krachtens het toepasselijke Unie- of nationale recht. Die mogelijkheid om het bewijs vooraf te bekijken laat de verplichting om de in de artikelen 13 en 14 van Verordening (EU) 2016/679 bedoelde informatie te verstrekken onverlet.

6.   De lidstaten integreren het volledig operationele technische systeem in de in lid 1 bedoelde procedures.

7.   Op uitdrukkelijk, vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig verzoek van de betrokken gebruiker dienen de bevoegde instanties die verantwoordelijk zijn voor de in lid 1 bedoelde onlineprocedures, via het technische systeem rechtstreeks een verzoek om een bewijs in bij bevoegde instanties die bewijzen verstrekken in andere lidstaten. De in lid 2 bedoelde bevoegde instanties die bewijzen verstrekken, stellen die bewijzen, overeenkomstig lid 3, onder e), via hetzelfde systeem ter beschikking.

8.   Het aan de verzoekende bevoegde instantie ter beschikking gestelde bewijs is beperkt tot hetgeen gevraagd is en die instantie gebruikt het uitsluitend voor het doeleinde van de procedure waarvoor het bewijs is uitgewisseld. De via het technische systeem uitgewisselde bewijzen worden voor de doeleinden van de verzoekende bevoegde instantie geacht authentiek te zijn.

9.   Uiterlijk op 12 juni 2021 stelt de Commissie uitvoeringshandelingen vast waarin de voor de uitvoering van dit artikel benodigde technische en operationele specificaties van het technische systeem worden bepaald. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

10.   De leden 1 tot en met 8 zijn niet van toepassing op procedures die op het niveau van de Unie zijn vastgesteld en die voorzien in andere mechanismen voor de uitwisseling van bewijs, tenzij het voor de toepassing van dit artikel benodigde technische systeem in die procedures is geïntegreerd overeenkomstig de regels van de Unie waarbij die procedures zijn vastgesteld.

11.   De Commissie en elk van de lidstaten zijn verantwoordelijk voor de ontwikkeling, de beschikbaarheid, het onderhoud, de supervisie, de monitoring en het beveiligingsbeheer van hun respectieve onderdelen van het technische systeem.

Artikel 15

Verificatie van bewijs tussen de lidstaten

Als het technische systeem of andere systemen voor het uitwisselen of verifiëren van bewijs tussen de lidstaten niet beschikbaar of niet van toepassing zijn, of als de gebruiker niet verzoekt om het technische systeem te gebruiken, werken de bevoegde instanties samen via het Informatiesysteem interne markt (IMI) als dat nodig is om de authenticiteit te controleren van bewijs dat gebruikers in elektronische vorm bij één van hen hebben ingediend voor een onlineprocedure.

DEEL 3

Kwaliteitseisen voor diensten voor ondersteuning en probleemoplossing

Artikel 16

Kwaliteitseisen voor diensten voor ondersteuning en probleemoplossing

De bevoegde instanties en de Commissie zorgen er binnen hun respectieve bevoegdheden voor dat de in bijlage III vermelde diensten voor ondersteuning en probleemoplossing, alsook de diensten die overeenkomstig artikel 7, leden 2, 3 en 4, in de toegangspoort zijn opgenomen, aan de volgende kwaliteitseisen voldoen:

a)

zij worden binnen een redelijke termijn uitgevoerd, rekening houdend met de complexiteit van het verzoek;

b)

als de uiterste termijnen worden verlengd, worden de gebruikers vooraf geïnformeerd over de redenen daarvoor en in kennis gesteld van de nieuwe uiterste termijn;

c)

indien een betaling vereist is om de procedure af te ronden, kunnen de gebruikers de verschuldigde vergoeding online betalen met behulp van algemeen beschikbare grensoverschrijdende betaaldiensten, zonder discriminatie op grond van de plaats binnen de Unie waar de betalingsdienstaanbieder is gevestigd, waar het betaalinstrument is afgegeven of waar de betaalrekening zich bevindt.

DEEL 4

Kwaliteitsbewaking

Artikel 17

Kwaliteitsbewaking

1.   De in artikel 28 bedoelde nationale coördinatoren en de Commissie controleren binnen hun respectieve bevoegdheden regelmatig of de via de toegangspoort ter beschikking gestelde informatie, procedures en diensten voor ondersteuning en probleemoplossing voldoen aan de kwaliteitseisen in de artikelen 8 tot en met 13, en 16. Zij doen dit aan de hand van de overeenkomstig de artikelen 24 en 25 verzamelde gegevens.

2.   Als de kwaliteit verslechtert van de in lid 1 bedoelde informatie, procedures en diensten voor ondersteuning of probleemoplossing die door de bevoegde instanties worden verstrekt, treft de Commissie een of meer van de volgende maatregelen, rekening houdend met de ernst en het voortduren van de verslechtering:

a)

de betrokken nationale coördinator informeren en om corrigerende maatregelen vragen;

b)

aanbevolen maatregelen om de kwaliteitseisen beter te doen naleven, in de toegangspoortcoördinatiegroep laten bespreken;

c)

een brief met aanbevelingen aan de betrokken lidstaat sturen;

d)

de verbinding van de informatie, de procedure of de dienst voor ondersteuning of probleemoplossing met de toegangspoort tijdelijk verbreken.

3.   Als een dienst voor ondersteuning of probleemoplossing waarnaar overeenkomstig artikel 7, lid 3, links zijn opgenomen, consequent niet aan de vereisten van de artikelen 11 en 16 beantwoordt of blijkens de overeenkomstig de artikelen 24 en 25 verzamelde gegevens niet meer aan de behoeften van de gebruikers voldoet, kan de Commissie de verbinding met de toegangspoort verbreken na overleg met de bevoegde nationale coördinator en zo nodig met de toegangspoortcoördinatiegroep.

HOOFDSTUK IV

TECHNISCHE OPLOSSINGEN

Artikel 18

Gemeenschappelijke gebruikersinterface

1.   De Commissie verstrekt in nauwe samenwerking met de lidstaten een gemeenschappelijke, in het portaal Uw Europa geïntegreerde, gebruikersinterface om de toegangspoort naar behoren te doen functioneren.

2.   De gemeenschappelijke gebruikersinterface biedt door middel van links naar de desbetreffende websites of webpagina’s op het niveau van de Unie en de lidstaten die in het in artikel 19 bedoelde register voor links zijn opgenomen, toegang tot de informatie, procedures en diensten voor ondersteuning of probleemoplossing.

3.   De lidstaten en de Commissie zorgen er bij het vervullen van hun in artikel 4 vastgelegde taken en verantwoordelijkheden voor dat de informatie over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing op zodanige wijze wordt geordend en aangeduid dat zij gemakkelijker via de gemeenschappelijke gebruikersinterface te vinden is.

4.   De Commissie zorgt ervoor dat de gemeenschappelijke gebruikersinterface aan de volgende kwaliteitseisen voldoet:

a)

hij is gebruiksvriendelijk;

b)

hij is online toegankelijk via diverse elektronische apparaten;

c)

hij is voor verschillende webbrowsers ontwikkeld en geoptimaliseerd;

d)

hij voldoet aan de volgende eisen voor webtoegankelijkheid: waarneembaarheid, bedienbaarheid, begrijpelijkheid en robuustheid.

5.   De Commissie kan uitvoeringshandelingen aannemen waarin interoperabiliteitseisen worden vastgelegd om ervoor te zorgen dat de informatie over regels en verplichtingen, over procedures en over diensten voor ondersteuning en probleemoplossing gemakkelijker kan worden gevonden via de gemeenschappelijke gebruikersinterface. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 19

Register voor links

1.   In nauwe samenwerking met de lidstaten wordt door de Commissie een elektronisch register opgesteld en bijgehouden voor links naar de in artikel 2, lid 2, bedoelde informatie, procedures en diensten voor ondersteuning en probleemoplossing, waardoor die diensten verbonden kunnen worden met de gemeenschappelijke gebruikersinterface.

2.   De Commissie voorziet dit register van links naar de informatie, procedures en diensten voor ondersteuning en probleemoplossing die toegankelijk zijn via de webpagina’s die op het niveau van de Unie worden beheerd, en zorgt ervoor dat die links juist en actueel blijven.

3.   De nationale coördinatoren voorzien dit register van links naar de informatie, procedures en diensten voor ondersteuning en probleemoplossing die toegankelijk zijn via de webpagina’s die door de bevoegde instanties of door de in artikel 7, lid 3, bedoelde particuliere of semi-particuliere entiteiten worden beheerd, en zorgen ervoor dat die links juist en actueel blijven.

4.   Indien technisch mogelijk, kan het in lid 3 bedoelde aanmaken van de links tussen de relevante systemen van de lidstaten en het register voor links worden geautomatiseerd.

5.   De Commissie maakt de in het register voor links opgenomen informatie openbaar in een open en machineleesbare vorm.

6.   De Commissie en de nationale coördinatoren zorgen ervoor dat de via de toegangspoort geboden links naar informatie, procedures en diensten voor ondersteuning of probleemoplossing geen onnodige volledige of gedeeltelijke doublures en overlappingen bevatten waardoor gebruikers in verwarring kunnen raken.

7.   Als de in artikel 4 bedoelde informatie uit hoofde van andere bepalingen van Unierecht beschikbaar moet worden gesteld, kunnen de Commissie en de nationale coördinatoren aan de voorschriften van dat artikel voldoen door te voorzien in links naar die informatie.

Artikel 20

Gemeenschappelijke zoekfunctie voor ondersteunende diensten

1.   Om de toegang tot de in bijlage III vermelde of in artikel 7, leden 2 en 3, bedoelde diensten voor ondersteuning en probleemoplossing te vergemakkelijken, zorgen de bevoegde instanties en de Commissie ervoor dat de gebruikers toegang tot deze diensten hebben via een gemeenschappelijke zoekfunctie voor diensten voor ondersteuning en probleemoplossing („de gemeenschappelijke zoekfunctie voor ondersteunende diensten”) die beschikbaar is via de toegangspoort.

2.   De Commissie ontwikkelt en beheert de gemeenschappelijke zoekfunctie voor ondersteunende diensten en beslist over de structuur en de vorm waarin de beschrijvingen en contactgegevens van de diensten voor ondersteuning en probleemoplossing moeten worden verstrekt, om te waarborgen dat de gemeenschappelijke zoekfunctie voor ondersteunende diensten naar behoren functioneert.

3.   De nationale coördinatoren verstrekken de in lid 2 bedoelde beschrijvingen en contactgegevens aan de Commissie.

Artikel 21

Verantwoordelijkheid voor de ICT-toepassingen die de toegangspoort ondersteunen

1.   De Commissie is verantwoordelijk voor de ontwikkeling, de beschikbaarheid, de monitoring, het actualiseren, het onderhoud, de beveiliging en de hosting van de volgende ICT-toepassingen en webpagina’s:

a)

het in artikel 2, lid 1, bedoelde portaal Uw Europa;

b)

de in artikel 18, lid 1, bedoelde gemeenschappelijke gebruikersinterface, met inbegrip van de zoekmachine of een ander ICT-hulpmiddel waarmee naar informatie of diensten op internet kan worden gezocht;

c)

het in artikel 19, lid 1, bedoelde register voor links;

d)

de in artikel 20, lid 1, bedoelde gemeenschappelijke zoekfunctie voor ondersteunende diensten;

e)

de in artikel 25, lid 1, en artikel 26, lid 1, onder a), bedoelde hulpmiddelen voor gebruikersreacties.

De Commissie werkt nauw samen met de lidstaten om de ICT-toepassingen te ontwikkelen.

2.   De lidstaten zijn verantwoordelijk voor de ontwikkeling, de beschikbaarheid, de monitoring, het actualiseren, het onderhoud en de beveiliging van ICT-toepassingen in verband met hun nationale websites en webpagina’s die zij beheren en die gelinkt zijn aan de gemeenschappelijke gebruikersinterface.

HOOFDSTUK V

PROMOTIE

Artikel 22

Naam, logo en kwaliteitslabel

1.   De naam waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot, is „Your Europe”.

De Commissie beslist uiterlijk op 12 juni 2019, in nauwe samenwerking met de toegangspoortcoördinatiegroep, over het logo waaronder de toegangspoort bij het grote publiek bekend moet worden en moet worden gepromoot.

Het logo van de toegangspoort en een link naar de toegangspoort zijn zichtbaar en beschikbaar op de met de toegangspoort verbonden relevante websites op het niveau van de Unie en de lidstaten.

2.   De naam en het logo van de toegangspoort fungeren ook als een kwaliteitslabel, dat aantoont dat aan de in de artikelen 9, 10 en 11 bedoelde kwaliteitseisen is voldaan. Het logo van de toegangspoort wordt echter enkel als een kwaliteitslabel gebruikt door webpagina’s en websites die zijn opgenomen in het in artikel 19 bedoelde register voor links.

Artikel 23

Promotie

1.   De lidstaten en de Commissie bevorderen de bekendheid en het gebruik van de toegangspoort onder burgers en bedrijven en zorgen ervoor dat de toegangspoort en de informatie, procedures en diensten voor ondersteuning en probleemoplossing ervan zichtbaar zijn voor het publiek en gemakkelijk kunnen worden gevonden door voor het publiek beschikbare zoekmachines.

2.   De lidstaten en de Commissie coördineren hun in lid 1 bedoelde promotieactiviteiten, en verwijzen daarbij naar de toegangspoort en gebruiken het logo, eventueel in combinatie met andere merknamen.

3.   De lidstaten en de Commissie zorgen ervoor dat de toegangspoort gemakkelijk gevonden kan worden via de verwante websites waarvoor zij verantwoordelijk zijn, en dat op alle relevante websites op het niveau van de Unie en de lidstaten duidelijke links naar de gemeenschappelijke gebruikersinterface beschikbaar zijn.

4.   De nationale coördinatoren promoten de toegangspoort bij de bevoegde nationale instanties.

HOOFDSTUK VI

VERZAMELEN VAN GEBRUIKERSREACTIES EN -STATISTIEKEN

Artikel 24

Gebruikersstatistieken

1.   De bevoegde instanties en de Commissie zorgen ervoor dat er, op een wijze die de anonimiteit van de gebruikers garandeert, statistische gegevens worden verzameld betreffende de bezoekersaantallen van de toegangspoort en van de aan de toegangspoort gekoppelde webpagina’s teneinde de doelmatigheid van de toegangspoort te verbeteren.

2.   De bevoegde instanties, de verleners van diensten voor ondersteuning of probleemoplossing als bedoeld in artikel 7, lid 3, en de Commissie verzamelen het aantal, de herkomst en het onderwerp van de verzoeken om diensten voor ondersteuning en probleemoplossing, alsook de reactietijden, en wisselen deze gegevens in geaggregeerde vorm uit.

3.   De overeenkomstig de leden 1 en 2 verzamelde statistieken met betrekking tot de informatie, procedures en diensten voor ondersteuning en probleemoplossing waarnaar de toegangspoort verwijst, omvatten de volgende gegevenscategorieën:

a)

gegevens met betrekking tot het aantal, de herkomst en het type gebruikers van de toegangspoort;

b)

gegevens met betrekking tot gebruikersvoorkeuren en gebruikersreizen;

c)

gegevens met betrekking tot de bruikbaarheid, vindbaarheid en kwaliteit van de informatie, procedures en diensten voor ondersteuning en probleemoplossing.

Die gegevens worden in een open, gangbaar en machineleesbare vorm publiek toegankelijk gemaakt.

4.   De Commissie stelt uitvoeringshandelingen vast waarin de methode voor het verzamelen en uitwisselen van de in de leden 1, 2 en 3 van dit artikel bedoelde gebruikersstatistieken wordt vastgelegd. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 25

Gebruikersreacties betreffende de diensten van de toegangspoort

1.   Om rechtstreeks informatie van gebruikers over hun tevredenheid met de via de toegangspoort verleende diensten en de daarin verstrekte informatie te verzamelen, biedt de Commissie de gebruikers via de toegangspoort een gebruikersvriendelijk hulpmiddel voor gebruikersreacties waarmee zij onmiddellijk na gebruik van de in artikel 2, lid 2, bedoelde diensten anoniem opmerkingen kunnen maken over de kwaliteit en de beschikbaarheid van de via de toegangspoort verleende diensten en de daarin verstrekte informatie alsook van de gemeenschappelijke gebruikersinterface.

2.   De bevoegde instanties en de Commissie waarborgen dat gebruikers op alle webpagina’s die deel uitmaken van de toegangspoort, toegang hebben tot het in lid 1 bedoelde hulpmiddel.

3.   De Commissie, de bevoegde instanties en de nationale coördinatoren hebben rechtstreeks toegang tot de via het in lid 1 bedoelde hulpmiddel verzamelde gebruikersreacties zodat zij gemelde problemen kunnen oplossen.

4.   De bevoegde instanties zijn niet verplicht om gebruikers op hun webpagina’s die deel uitmaken van de toegangspoort, toegang te verlenen tot het in lid 1 bedoelde hulpmiddel voor gebruikersreacties indien op hun webpagina’s reeds een ander hulpmiddel voor gebruikersreacties met soortgelijke functionaliteit als het in lid 1 bedoelde hulpmiddel beschikbaar is om de kwaliteit van de dienstverlening te bewaken. De bevoegde instanties verzamelen de via hun eigen hulpmiddel voor gebruikersreacties ontvangen gebruikersreacties en delen die met de Commissie en de nationale coördinatoren van de andere lidstaten.

5.   De Commissie stelt uitvoeringshandelingen vast waarin voorschriften voor het verzamelen en delen van de gebruikersreacties worden bepaald. Die uitvoeringshandelingen worden volgens de in artikel 37, lid 2, bedoelde onderzoeksprocedure vastgesteld.

Artikel 26

Rapportage over de werking van de interne markt

1.   De Commissie:

a)

biedt de gebruikers van de toegangspoort een gebruikersvriendelijk hulpmiddel waarmee zij anoniem melding kunnen maken van en feedback kunnen geven over eventuele belemmeringen die zij bij de uitoefening van hun rechten uit hoofde van de interne markt ondervinden;

b)

verzamelt geaggregeerde informatie over de diensten voor ondersteuning en probleemoplossing die deel uitmaken van de toegangspoort, betreffende het onderwerp van verzoeken en antwoorden.

2.   De Commissie, de bevoegde instanties en de nationale coördinatoren hebben rechtstreeks toegang tot de overeenkomstig lid 1, onder a), verzamelde reacties.

3.   De lidstaten en de Commissie analyseren en onderzoeken de krachtens dit artikel door de gebruikers gemelde problemen en lossen die zo mogelijk op passende wijze op.

Artikel 27

Beknopte online-overzichten

De Commissie publiceert in geanonimiseerde vorm beknopte online-overzichten van de problemen die in de overeenkomstig artikel 26, lid 1, verzamelde informatie gesignaleerd worden, de voornaamste in artikel 24 bedoelde gebruikersstatistieken en de voornaamste in artikel 25 bedoelde reacties van de gebruikers.

HOOFDSTUK VII

BEHEER VAN DE TOEGANGSPOORT

Artikel 28

Nationale coördinatoren

1.   Elke lidstaat benoemt een nationale coördinator. Naast het vervullen van hun verplichtingen uit hoofde van de artikelen 7, 17, 19, 20, 23 en 25 doen de nationale coördinatoren het volgende:

a)

zij fungeren binnen hun respectieve overheidsapparaten als contactpunt voor alle aangelegenheden met betrekking tot de toegangspoort;

b)

zij bevorderen de uniforme toepassing van de artikelen 9 tot en met 16 door hun respectieve bevoegde instanties;

c)

zij zorgen ervoor dat de in artikel 17, lid 2, onder c), bedoelde aanbevelingen naar behoren worden uitgevoerd.

2.   Elke lidstaat kan, overeenkomstig zijn interne administratieve structuur, een of meer coördinatoren benoemen om de in lid 1 vermelde taken uit te voeren. Voor elke lidstaat is één nationale coördinator verantwoordelijk voor de contacten met de Commissie voor alle aangelegenheden die met de toegangspoort verband houden.

3.   Elke lidstaat deelt de naam en de contactgegevens van zijn nationale coördinator mee aan de andere lidstaten en de Commissie.

Artikel 29

Coördinatiegroep

Er wordt een coördinatiegroep opgericht („toegangspoortcoördinatiegroep”). Deze groep bestaat uit één nationale coördinator per lidstaat en wordt voorgezeten door een vertegenwoordiger van de Commissie. De toegangspoortcoördinatiegroep stelt haar reglement van orde vast. Het secretariaat wordt door de Commissie verzorgd.

Artikel 30

Taken van de toegangspoortcoördinatiegroep

1.   De toegangspoortcoördinatiegroep ondersteunt de uitvoering van deze verordening. De groep doet met name het volgende:

a)

zij vergemakkelijkt de uitwisseling en de regelmatige aanpassing van beste praktijken;

b)

zij moedigt het gebruik aan van volledig online uitgevoerde procedures, ook als die niet in bijlage II bij deze verordening vermeld zijn, alsook van onlinemiddelen voor authenticatie, identificatie en ondertekening, in het bijzonder als bedoeld in Verordening (EU) 910/2014;

c)

zij bespreekt verbeteringen voor de gebruikersvriendelijke presentatie van informatie op de in bijlage I vermelde gebieden, met name op basis van de overeenkomstig de artikelen 24 en 25 verzamelde gegevens;

d)

zij helpt de Commissie bij het ontwikkelen van de gemeenschappelijke ICT-oplossingen ter ondersteuning van de toegangspoort;

e)

zij bespreekt het ontwerp van het jaarlijkse werkprogramma;

f)

zij ondersteunt de Commissie bij het toezicht op de uitvoering van het jaarlijkse werkprogramma;

g)

zij bespreekt overeenkomstig artikel 5 verstrekte aanvullende informatie teneinde andere lidstaten aan te moedigen om soortgelijke informatie te verstrekken als dat relevant is voor de gebruikers;

h)

zij ondersteunt de Commissie bij het toezicht op de naleving van de voorschriften in de artikelen 8 tot en met 16, in overeenstemming met artikel 17;

i)

zij informeert over de uitvoering van artikel 6, lid 1;

j)

zij bespreekt en doet aanbevelingen voor maatregelen aan de bevoegde instanties en de Commissie om onnodige doublures van de via de toegangspoort beschikbare diensten te vermijden of weg te nemen;

k)

zij geeft adviezen over procedures of maatregelen om door de gebruikers gemelde problemen betreffende de kwaliteit van de diensten doeltreffend aan te pakken of suggesties voor kwaliteitsverbetering te doen;

l)

zij bespreekt de toepassing van de beginselen van ingebouwde privacy („privacy by design”) en ingebouwde veiligheid („security by design”) in de context van deze verordening;

m)

zij bespreekt problemen met betrekking tot het verzamelen van de in de artikelen 24 en 25 bedoelde gebruikersreacties en -statistieken, opdat de op het niveau van de Unie en op het nationale niveau aangeboden diensten voortdurend worden verbeterd;

n)

zij bespreekt vraagstukken in verband met de kwaliteitseisen voor de via de toegangspoort verleende diensten;

o)

zij wisselt beste praktijken uit en ondersteunt de Commissie op het gebied van de ordening, de structuur en de presentatie van de in artikel 2, lid 2, bedoelde diensten teneinde de gemeenschappelijke gebruikersinterface goed te laten functioneren;

p)

zij bevordert de ontwikkeling en uitvoering van de gecoördineerde promotie;

q)

zij werkt samen met de beheersorganen of -netwerken van informatiediensten en diensten voor ondersteuning of probleemoplossing;

r)

zij verstrekt richtsnoeren met betrekking tot de aanvullende officiële taal of talen van de Unie die de bevoegde instanties moeten gebruiken overeenkomstig artikel 9, lid 2, artikel 10, lid 4, artikel 11, lid 2 en artikel 13, lid 2, onder a).

2.   De Commissie kan de toegangspoortcoördinatiegroep raadplegen over elke aangelegenheid betreffende de toepassing van deze verordening.

Artikel 31

Jaarlijks werkprogramma

1.   De Commissie stelt het jaarlijkse werkprogramma vast, waarin in het bijzonder het volgende wordt gespecificeerd:

a)

maatregelen ter verbetering van de presentatie van specifieke informatie op de in bijlage I vermelde gebieden en maatregelen om de tijdige uitvoering van de verplichte informatieverstrekking door de bevoegde instanties op alle niveaus, ook op gemeentelijk niveau, te vergemakkelijken;

b)

maatregelen om de naleving van de artikelen 6 en 13 te vergemakkelijken;

c)

de vereiste maatregelen om te waarborgen dat de artikelen 9 tot en met 12 consequent worden nageleefd;

d)

activiteiten betreffende de promotie van de toegangspoort overeenkomstig artikel 23.

2.   Bij het opstellen van het ontwerp van het jaarlijkse werkprogramma houdt de Commissie rekening met de overeenkomstig artikelen 24 en 25 verzamelde gebruikersstatistieken en -reacties, evenals met mogelijke suggesties van de lidstaten. Vóór goedkeuring legt de Commissie het ontwerp van het jaarlijkse werkprogramma ter bespreking voor aan de toegangspoortcoördinatiegroep.

HOOFDSTUK VIII

SLOTBEPALINGEN

Artikel 32

Kosten

1.   De algemene begroting van de Europese Unie dekt de kosten van:

a)

de ontwikkeling en het onderhoud van de ICT-hulpmiddelen voor de uitvoering van deze verordening op het niveau van de Unie;

b)

de promotie van de toegangspoort op het niveau van de Unie;

c)

de vertaling van informatie, uitleg en instructies overeenkomstig artikel 12, binnen een maximale jaarlijkse hoeveelheid per lidstaat, met de mogelijkheid die hoeveelheid zo nodig te herverdelen om het beschikbare budget volledig te benutten.

2.   De kosten in verband met nationale webportalen, informatieplatforms, ondersteuningsdiensten en procedures die op het niveau van de lidstaten worden opgericht, worden betaald uit de begrotingen van de respectieve lidstaten, tenzij in de wetgeving van de Unie anders is bepaald.

Artikel 33

Bescherming van persoonsgegevens

De verwerking van persoonsgegevens in het kader van deze verordening door de bevoegde instanties geschiedt overeenkomstig Verordening (EU) 2016/679. De verwerking van persoonsgegevens in het kader van deze verordening door de Commissie geschiedt overeenkomstig Verordening (EU) 2018/1725.

Artikel 34

Samenwerking met andere informatie- en ondersteuningsnetwerken

1.   Na raadpleging van de lidstaten besluit de Commissie welke bestaande informele bestuursregelingen voor de in bijlage III vermelde diensten voor ondersteuning of probleemoplossing of voor de onder bijlage I vallende informatiegebieden onder de verantwoordelijkheid van de toegangspoortcoördinatiegroep worden gebracht.

2.   Indien de informatiediensten of -netwerken of de ondersteunende diensten of netwerken voor onder bijlage I vallende informatiegebieden zijn ingevoerd bij een wettelijk bindende handeling van de Unie, coördineert de Commissie de werkzaamheden van de toegangspoortcoördinatiegroep en de bestuursorganen van die diensten of netwerken teneinde synergieën te creëren en dubbel werk te voorkomen.

Artikel 35

Informatiesysteem interne markt

1.   Het bij Verordening (EU) nr. 1024/2012 ingestelde Informatiesysteem interne markt (IMI) wordt gebruikt ten behoeve van en in overeenstemming met artikel 6, lid 4, en artikel 15.

2.   De Commissie kan besluiten het IMI te gebruiken als het in artikel 19, lid 1, bedoelde elektronisch register voor links.

Artikel 36

Rapportage en toetsing

Uiterlijk op 12 december 2022, en vervolgens elke twee jaar, verricht de Commissie op basis van de overeenkomstig de artikelen 24, 25 en 26 verzamelde statistische gegevens en reacties een evaluatie van de toepassing van deze verordening en stuurt zij een beoordelingsverslag over het functioneren van de toegangspoort en de werking van de interne markt naar het Europees Parlement en de Raad. Bij de evaluatie wordt met name gekeken naar de reikwijdte van artikel 14 in het licht van de ontwikkeling van de technologie, de markt en het recht ten aanzien van de uitwisseling van bewijs tussen bevoegde instanties.

Artikel 37

Comitéprocedure

1.   De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

Artikel 38

Wijziging in Verordening (EU) nr. 1024/2012

Verordening (EU) nr. 1024/2012 wordt als volgt gewijzigd:

1)

Artikel 1 wordt vervangen door:

„Artikel 1

Onderwerp

Deze verordening bepaalt de regels voor het gebruik van het Informatiesysteem interne markt („IMI”) ten behoeve van de administratieve samenwerking tussen de IMI-actoren, met inbegrip van de verwerking van persoonsgegevens.”.

2)

In artikel 3 wordt lid 1 vervangen door:

„1.   IMI wordt gebruikt voor de uitwisseling tussen de IMI-actoren van informatie, met inbegrip van persoonsgegevens, en voor de verwerking van die informatie voor een van de volgende doeleinden:

a)

administratieve samenwerking die ingevolge de in de bijlage vermelde handelingen vereist is;

b)

administratieve samenwerking die is opgenomen in een overeenkomstig artikel 4 uitgevoerd proefproject.”.

3)

In artikel 5 wordt de tweede alinea als volgt gewijzigd:

a)

punt a) wordt vervangen door:

„a)

„IMI”: het elektronische instrument dat door de Commissie ter beschikking wordt gesteld ter bevordering van de administratieve samenwerking tussen de IMI-actoren;”;

b)

punt b) wordt vervangen door:

„b)

„administratieve samenwerking”: de samenwerking tussen de IMI-actoren door het uitwisselen en verwerken van informatie met het oog op een betere toepassing van het recht van de Unie;”;

c)

punt g) wordt vervangen door:

„g)

„IMI-actoren”: de bevoegde instanties, de IMI-coördinatoren, de Commissie en de organen en instanties van de Unie;”.

4)

Aan artikel 8, lid 1, wordt het volgende punt toegevoegd:

„f)

de coördinatie met en toegang tot IMI voor de organen en instanties van de Unie verzekeren.”.

5)

In artikel 9 wordt lid 4 vervangen door:

„4.   De lidstaten, de Commissie en de organen en instanties van de Unie dienen adequate middelen te verschaffen om te waarborgen dat IMI-gebruikers uitsluitend op een „need-to-know”-basis en uitsluitend op het/de internemarktgebied(en) waarvoor zij overeenkomstig lid 3 over toegangsrechten beschikken, toegang hebben tot persoonsgegevens die in IMI worden verwerkt.”.

6)

Artikel 21 wordt als volgt gewijzigd:

a)

lid 2 wordt vervangen door:

„2.   De Europese Toezichthouder voor gegevensbescherming is verantwoordelijk voor het toezicht op en zorgt voor de toepassing van deze verordening wanneer de Commissie of de organen en instanties van de Unie, in hun rol als IMI-actoren, persoonsgegevens verwerken. De in de artikelen 57 en 58 van Verordening (EU) 2018/1725 (*1) bedoelde taken en bevoegdheden zijn van overeenkomstige toepassing.

(*1)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39).”;"

b)

lid 3 wordt vervangen door:

„3.   De nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming werken, handelend binnen het bestek van hun eigen bevoegdheden, met elkaar samen om te zorgen voor het gecoördineerd toezicht op IMI en het gebruik ervan door de IMI-actoren, overeenkomstig artikel 62 van Verordening (EU) 2018/1725.”;

c)

lid 4 wordt geschrapt.

7)

In artikel 29 wordt lid 1 wordt geschrapt;

8)

Aan de bijlage worden de volgende punten toegevoegd:

„11.

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (*2): artikel 56, de artikelen 60 tot en met 66 en artikel 70, lid 1.

12.

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 2 oktober 2018 tot oprichting van één digitale toegangspoort voor informatie, procedures en diensten voor ondersteuning en probleemoplossing en houdende wijziging van Verordening (EU) nr. 1024/2012 (*3): artikel 6, lid 4, artikel 15 en artikel 19.

(*2)  PB L 119 van 4.5.2016, blz. 1."

(*3)  PB L 295 van 21.11.2018, blz. 39”."

Artikel 39

Inwerkingtreding

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 2, artikel 4, de artikelen 7 tot en met 12, artikel 16, artikel 17, artikel 18, leden 1 tot en met 4, artikel 19, artikel 20, artikel 24, leden 1, 2 en 3, artikel 25, leden 1 tot en met 4, artikel 26 en artikel 27 zijn van toepassing met ingang van 12 december 2020.

Artikel 6, artikel 13, artikel 14, leden 1 tot en met 8 en lid 10, en artikel 15 zijn van toepassing met ingang van 12 december 2023.

Niettegenstaande de toepassingsdatum van de artikelen 2, 9, 10 en 11, stellen de gemeentelijke instanties de informatie, uitleg en instructies als bedoeld in die artikelen uiterlijk op 12 december 2022 ter beschikking.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 2 oktober 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

J. BOGNER-STRAUSS


(1)  PB C 81 van 2.3.2018, blz. 88.

(2)  Standpunt van het Europees Parlement van 13 september 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 27 september 2018.

(3)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(4)  Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van procedures voor de toepassing van bepaalde nationale technische voorschriften op goederen die in een andere lidstaat rechtmatig in de handel zijn gebracht, en tot intrekking van Beschikking nr. 3052/95/EG (PB L 218 van 13.8.2008, blz. 21).

(5)  Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad van 9 maart 2011 tot vaststelling van geharmoniseerde voorwaarden voor het verhandelen van bouwproducten en tot intrekking van Richtlijn 89/106/EEG van de Raad (PB L 88 van 4.4.2011, blz. 5).

(6)  Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 betreffende de erkenning van beroepskwalificaties (PB L 255 van 30.9.2005, blz. 22).

(7)  Aanbeveling 2013/461/EU van de Commissie van 17 september 2013 inzake de beginselen voor de werking van Solvit (PB L 249 van 19.9.2013, blz. 10).

(8)  Richtlijn 2014/24/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van overheidsopdrachten en tot intrekking van Richtlijn 2004/18/EG (PB L 94 van 28.3.2014, blz. 65).

(9)  Richtlijn 2014/25/EU van het Europees Parlement en de Raad van 26 februari 2014 betreffende het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten en houdende intrekking van Richtlijn 2004/17/EG (PB L 94 van 28.3.2014, blz. 243).

(10)  Verordening (EU) 2016/589 van het Europees Parlement en de Raad van 13 april 2016 inzake een Europees netwerk van diensten voor arbeidsvoorziening (Eures), de toegang van werknemers tot mobiliteitsdiensten en de verdere integratie van de arbeidsmarkten en tot wijziging van Verordeningen (EU) nr. 492/2011 en (EU) nr. 1296/2013 (PB L 107 van 22.4.2016, blz. 1).

(11)  Beschikking 2001/470/EG van de Raad van 28 mei 2001 betreffende de oprichting van een Europees justitieel netwerk in burgerlijke en handelszaken (PB L 174 van 27.6.2001, blz. 25).

(12)  Richtlijn 2014/67/EU van het Europees Parlement en de Raad van 15 mei 2014 inzake de handhaving van Richtlijn 96/71/EG betreffende de terbeschikkingstelling van werknemers met het oog op het verrichten van diensten en tot wijziging van Verordening (EU) nr. 1024/2012 betreffende de administratieve samenwerking via het Informatiesysteem interne markt („de IMI-verordening”) (PB L 159 van 28.5.2014, blz. 11).

(13)  Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG (PB L 257 van 28.8.2014, blz. 73).

(14)  Verordening (EG) nr. 883/2004 van het Europees Parlement en de Raad van 29 april 2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 166 van 30.4.2004, blz. 1).

(15)  Verordening (EG) nr. 987/2009 van het Europees Parlement en de Raad van 16 september 2009 tot vaststelling van de wijze van toepassing van Verordening (EG) nr. 883/2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 284 van 30.10.2009, blz. 1).

(16)  Richtlijn (EU) 2016/2102 van het Europees Parlement en de Raad van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties (PB L 327 van 2.12.2016, blz. 1).

(17)  Besluit van de Raad 2010/48/EG van 26 november 2009 betreffende de sluiting door de Europese Gemeenschap van het Verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (PB L 23 van 27.1.2010, blz. 35).

(18)  Verordening (EU) nr. 260/2012 van het Europees Parlement en de Raad van 14 maart 2012 tot vaststelling van technische en bedrijfsmatige vereisten voor overmakingen en automatische afschrijvingen in euro en tot wijziging van Verordening (EG) nr. 924/2009 (PB L 94 van 30.3.2012, blz. 22).

(19)  Verordening (EU) nr. 1024/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende de administratieve samenwerking via het Informatiesysteem interne markt en tot intrekking van Beschikking 2008/49/EG van de Commissie („de IMI-verordening”) (PB L 316 van 14.11.2012, blz. 1).

(20)  Verordening (EU) 2016/1191 van het Europees Parlement en de Raad van 6 juli 2016 inzake de bevordering van het vrije verkeer van burgers door vereenvoudigde overlegging van bepaalde openbare documenten in de Europese Unie en tot wijziging van Verordening (EU) nr. 1024/2012 (PB L 200 van 26.7.2016, blz. 1).

(21)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(22)  Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (zie bladzijde 39 van dit Publicatieblad).

(23)  Verordening (EU) nr. 1316/2013 van het Europees Parlement en de Raad van 11 december 2013 tot vaststelling van de financieringsfaciliteit voor Europese verbindingen, tot wijziging van Verordening (EU) nr. 913/2010 en tot intrekking van Verordeningen (EG) nr. 680/2007 en (EG) nr. 67/2010 (PB L 348 van 20.12.2013, blz. 129).

(24)  Richtlijn (EU) 2017/1132 van het Europees Parlement en de Raad van 14 juni 2017 aangaande bepaalde aspecten van het vennootschapsrecht (PB L 169 van 30.6.2017, blz. 46).

(25)  Verordening (EU) 2015/848 van het Europees Parlement en de Raad van 20 mei 2015 betreffende insolventieprocedures (PB L 141 van 5.6.2015, blz. 19).

(26)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(27)  Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (PB L 194 van 19.7.2016, blz. 1).

(28)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(29)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(30)  PB C 340 van 11.10.2017, blz. 6.


BIJLAGE I

Lijst van informatiegebieden die voor burgers en bedrijven van belang zijn bij de uitoefening van hun in artikel 2, lid 2, onder a), bedoelde rechten uit hoofde van de interne markt

Informatiegebieden in verband met burgers:

Gebied

INFORMATIE OVER RECHTEN, VERPLICHTINGEN EN REGELS DIE VOORTVLOEIEN UIT HET UNIERECHT OF HET NATIONALE RECHT

A.

Reizen binnen de Unie:

1.

documenten die van EU-burgers, hun gezinsleden die geen EU-burgers zijn, alleenreizende minderjarigen en niet-EU-burgers verlangd worden wanneer zij EU-binnengrenzen overschrijden (identiteitsbewijs, visum, paspoort);

2.

rechten en verplichtingen van reizigers die per vliegtuig, trein, schip of bus in of vanuit de Unie reizen en van personen die pakketreizen of gekoppelde reisarrangementen kopen;

3.

ondersteuning in geval van beperkte mobiliteit bij reizen in of vanuit de Unie;

4.

vervoer van dieren, planten, alcohol, tabak, sigaretten en andere goederen bij reizen in de Unie;

5.

spraaktelefonie en verzending en ontvangst van elektronische berichten en elektronische gegevens binnen de Unie.

B.

Werk en pensionering binnen de Unie:

1.

werk zoeken in een andere lidstaat;

2.

gaan werken in een andere lidstaat;

3.

erkenning van kwalificaties met het oog op werk in een andere lidstaat;

4.

belastingheffing in een andere lidstaat;

5.

regels inzake aansprakelijkheid en verplichte verzekeringen in verband met verblijf of werk in een andere lidstaat;

6.

bij wet of wettelijk instrument vastgestelde arbeidsvoorwaarden en -omstandigheden, ook voor gedetacheerde werknemers (met inbegrip van informatie over werktijden, betaald verlof, vakantierechten, rechten en verplichtingen in verband met overuren, medisch onderzoek, beëindiging van contracten en ontslag);

7.

gelijke behandeling (regels die discriminatie op het werk verbieden, regels inzake gelijke betaling van mannen en vrouwen en inzake gelijke betaling van werknemers met contracten voor bepaalde of onbepaalde tijd);

8.

verplichtingen in verband met gezondheid en veiligheid voor verschillende soorten activiteiten;

9.

socialezekerheidsrechten en -verplichtingen in de Unie, onder meer in verband met pensioenen.

C.

Voertuigen in de Unie:

1.

tijdelijke of permanente verplaatsing van motorvoertuigen naar een andere lidstaat;

2.

verkrijging en verlenging van rijbewijzen;

3.

verplichte motorrijtuigenverzekering;

4.

koop en verkoop van motorvoertuigen in een andere lidstaat;

5.

nationale verkeersregels en voorschriften voor bestuurders, met inbegrip van algemene regels voor het gebruik van de nationale wegeninfrastructuur: tijdsgebonden heffingen (vignet), afstandsgebonden heffingen (tol), emissiestickers.

D.

Verblijf in een andere lidstaat:

1.

tijdelijke of permanente verhuizing naar een andere lidstaat;

2.

koop en verkoop van vastgoed, met inbegrip van voorwaarden en verplichtingen met betrekking tot belasting, eigendom of gebruik van dergelijk vastgoed, waaronder het gebruik ervan als tweede verblijf;

3.

deelname aan gemeentelijke verkiezingen en verkiezingen voor het Europees Parlement;

4.

voorschriften betreffende verblijfskaarten voor EU-burgers en hun gezinsleden, waaronder gezinsleden die geen EU-burgers zijn;

5.

voorwaarden voor de naturalisatie van onderdanen van een andere lidstaat;

6.

regels die gelden in geval van overlijden, met inbegrip van regels inzake de repatriëring van stoffelijke overschotten naar een andere lidstaat.

E.

Onderwijs of stage in een andere lidstaat:

1.

onderwijsstelsel in een andere lidstaat, met inbegrip van voor- en vroegschoolse educatie en opvang, basis- en secundair onderwijs, hoger onderwijs en volwassenenonderwijs;

2.

vrijwilligerswerk doen in een andere lidstaat;

3.

stage lopen in een andere lidstaat;

4.

onderzoek doen in een andere lidstaat in het kader van een onderwijsprogramma.

F.

Gezondheidszorg:

1.

een medische behandeling ondergaan in een andere lidstaat;

2.

online of in persoon geneesmiddelen kopen in een andere lidstaat dan die waar zij door een arts zijn voorgeschreven;

3.

regels inzake ziekteverzekering die van toepassing zijn tijdens een kort of langdurig verblijf in een andere lidstaat, met inbegrip van regels over de wijze waarop een Europese ziekteverzekeringskaart moet worden aangevraagd;

4.

algemene informatie over toegangsrechten en verplichtingen om deel te nemen aan beschikbare preventieve openbare gezondheidsmaatregelen;

5.

diensten die worden verstrekt via nationale noodnummers zoals „112” en „116”;

6.

rechten en voorwaarden om naar een woonzorgcentrum te verhuizen.

G.

Burger- en familierechten:

1.

geboorte, ouderlijk gezag over minderjarige kinderen, ouderlijke verantwoordelijkheden, regels inzake draagmoederschap en adoptie, met inbegrip van stiefouderadoptie, onderhoudsverplichtingen voor kinderen in een grensoverschrijdende gezinssituatie;

2.

samenleven van partners met verschillende nationaliteiten, met inbegrip van partners van hetzelfde geslacht (huwelijk, geregistreerd partnerschap, scheiding van tafel en bed, echtscheiding, huwelijksvermogensrechten, rechten van samenwonenden);

3.

regels inzake erkenning van de genderidentiteit;

4.

erfrechten en -plichten in een andere lidstaat, met inbegrip van belastingregels;

5.

rechten en regels die gelden bij grensoverschrijdende ontvoering van kinderen door een van de ouders.

H.

Consumentenrechten:

1.

online of in persoon goederen, digitale inhoud of diensten (waaronder financiële diensten) in een andere lidstaat kopen;

2.

een bankrekening hebben in een andere lidstaat;

3.

aansluiting op nutsvoorzieningen, zoals gas, elektriciteit, water, verwijdering van huishoudelijk afval, telecommunicatie en internet;

4.

betalingen, waaronder overmakingen, en termijnen voor grensoverschrijdende betalingen;

5.

consumentenrechten en -waarborgen bij aankoop van goederen en diensten, met inbegrip van procedures voor de beslechting van en vergoeding bij consumentengeschillen;

6.

veiligheid en beveiliging van consumentenproducten;

7.

huur van motorvoertuigen.

I.

Bescherming van persoonsgegevens:

1.

uitoefening van de rechten van de betrokkenen met betrekking tot de bescherming van persoonsgegevens.

Informatiegebieden in verband met bedrijven:

Gebied

INFORMATIE OVER RECHTEN, VERPLICHTINGEN EN REGELS

J.

Starten, exploiteren en sluiten van een bedrijf:

1.

registratie, wijziging van de rechtsvorm of sluiting van een bedrijf (registratieprocedures en rechtsvormen voor bedrijven);

2.

verplaatsing van een bedrijf naar een andere lidstaat;

3.

intellectuele-eigendomsrechten (octrooiaanvragen, registratie van handelsmerken, tekeningen of modellen, verwerving van licenties voor reproductie);

4.

billijkheid en transparantie bij handelspraktijken, met inbegrip van consumentenrechten en -waarborgen in verband met de verkoop van goederen en diensten;

5.

aanbieden van grensoverschrijdende onlinebetaalfuncties bij de onlineverkoop van goederen en diensten;

6.

rechten en verplichtingen uit hoofde van het overeenkomstenrecht, met inbegrip van verschuldigde rente wegens achterstallige betaling;

7.

insolventieprocedures en liquidatie van bedrijven;

8.

kredietverzekering;

9.

bedrijfsfusies of verkoop van een bedrijf;

10.

wettelijke aansprakelijkheid van bestuurders en commissarissen van een bedrijf;

11.

regels en verplichtingen met betrekking tot de verwerking van persoonsgegevens.

K.

Werknemers:

1.

bij wet of wettelijk instrument vastgestelde arbeidsvoorwaarden (met inbegrip van werktijden, betaald verlof, vakantierechten, rechten en verplichtingen in verband met overuren, medisch onderzoek, beëindiging van contracten en ontslag);

2.

socialezekerheidsrechten en -verplichtingen in de Unie (aanmelding als werkgever, aanmelding van werknemers, kennisgeving van beëindiging van een arbeidsovereenkomst, betaling van sociale bijdragen, rechten en verplichtingen in verband met pensioenen);

3.

tewerkstelling van werknemers in andere lidstaten (detachering, regels betreffende het vrij verrichten van diensten, woonplaatsvereisten voor werknemers);

4.

gelijke behandeling (regels die discriminatie op het werk verbieden, regels inzake gelijke betaling van mannen en vrouwen en inzake gelijke betaling van werknemers met contracten voor bepaalde of onbepaalde tijd);

5.

regels voor personeelsvertegenwoordiging.

L.

Belastingen:

1.

btw: informatie over de algemene regels, tarieven en vrijstellingen, registratie voor en betaling van btw, verkrijging van teruggave;

2.

accijnzen: informatie over de algemene regels, tarieven en vrijstellingen, registratie voor en betaling van accijnzen, verkrijging van teruggave;

3.

douanerechten en andere belastingen en rechten op ingevoerde producten;

4.

douaneprocedures voor invoer en uitvoer in het kader van het douanewetboek van de Unie;

5.

overige belastingen: betaling, tarieven, belastingaangiften.

M.

Goederen:

1.

verkrijging van CE-markering;

2.

voorschriften en vereisten voor producten;

3.

vaststelling van toepasselijke normen, technische specificaties en productcertificering;

4.

wederzijdse erkenning van producten waarvoor geen EU-specificaties gelden;

5.

voorschriften voor de indeling, etikettering en verpakking van gevaarlijke stoffen;

6.

verkoop op afstand en buiten verkoopruimten: informatie die vooraf aan klanten moet worden gegeven, schriftelijke bevestiging van overeenkomsten, herroeping van overeenkomsten, aflevering van goederen, andere specifieke verplichtingen;

7.

producten met gebreken: consumentenrechten en garantie, verantwoordelijkheid na verkoop, rechtsmiddelen voor benadeelde partij;

8.

certificering, keurmerken (EMAS, energielabels, ecodesign, EU-milieukeur);

9.

recyclage en afvalbeheer.

N.

Diensten:

1.

verkrijging van licenties, vergunningen en toestemming om een bedrijf te starten;

2.

kennisgeving van grensoverschrijdende activiteiten aan de autoriteiten;

3.

erkenning van beroepskwalificaties, met inbegrip van beroepsonderwijs en -opleiding.

O.

Bedrijfsfinanciering:

1.

verkrijging van toegang tot financiering op Unieniveau, met inbegrip van financieringsprogramma’s en bedrijfssubsidies van de Unie;

2.

verkrijging van toegang tot financiering op nationaal niveau;

3.

op ondernemers gerichte initiatieven (uitwisselingen voor nieuwe ondernemers, mentorprogramma’s enz.).

P.

Overheidsopdrachten:

1.

deelname aan openbare aanbestedingen: regels en procedures;

2.

online-inschrijving op openbare aanbestedingen;

3.

melding van onregelmatigheden in verband met aanbestedingsprocedures.

Q.

Gezondheid en veiligheid op het werk:

1.

verplichtingen in verband met gezondheid en veiligheid voor verschillende soorten activiteiten, waaronder risicopreventie, voorlichting en opleiding.


BIJLAGE II

In artikel 6, lid 1, bedoelde procedures

Gebeurtenis

Procedures

Verwacht resultaat, behoudens beoordeling van de aanvraag door de bevoegde instantie overeenkomstig de nationale wetgeving, indien van toepassing

Geboorte

Aanvraag van bewijs van registratie van een geboorte

Bewijs van registratie van een geboorte of geboorteakte

Verblijf

Aanvraag van bewijs van verblijf

Bevestiging van inschrijving op huidig adres

Studie

Aanvraag bij een overheidsorgaan of -instantie van studiefinanciering, zoals studiebeurzen en studieleningen, voor tertiair onderwijs

Besluit over de aanvraag van financiering of ontvangstbevestiging

Indiening van een initieel verzoek om toelating tot een openbare instelling voor tertiair onderwijs

Bevestiging van ontvangst van het verzoek

Verzoek om academische erkenning van diploma’s, getuigschriften of andere bewijzen van studies of opleidingen

Besluit over verzoek om erkenning

Werk

Verzoek tot bepaling van de toepasselijke wetgeving overeenkomstig titel II van Verordening (EU) nr. 883/2004 (1)

Besluit over de toepasselijke wetgeving

Kennisgeving van wijzigingen in de persoonlijke of beroepssituatie van de persoon die socialezekerheidsuitkeringen ontvangt, voor zover die wijzigingen voor die uitkeringen van belang zijn

Bevestiging van ontvangst van de kennisgeving van die wijzigingen

Aanvraag van een Europese ziekteverzekeringskaart (EHIC)

Europese ziekteverzekeringskaart (EHIC)

Indiening van een aangifte voor de inkomstenbelasting

Bevestiging van ontvangst van de aangifte

Verhuizing

Registratie van adreswijziging

Bevestiging van uitschrijving op het vorige adres en van inschrijving op het nieuwe adres

Inschrijving van een motorvoertuig dat van oorsprong is uit een lidstaat of daar al is ingeschreven, volgens de standaardprocedures (2)

Bewijs van inschrijving van een motorvoertuig

Verkrijging van stickers voor het gebruik van de nationale wegeninfrastructuur: door een overheidsinstantie of -orgaan opgelegde tijdsgebonden heffingen (vignet) of afstandsgebonden heffingen (tol)

Ontvangst van tolsticker of vignet of ander betalingsbewijs

Verkrijging van door een overheidsinstantie of -orgaan afgegeven emissiestickers

Ontvangst van emissiesticker of ander betalingsbewijs

Pensionering

Aanvraag (pre)pensioenuitkering van verplichte regelingen

Bevestiging van ontvangst van de aanvraag of besluit betreffende de aanvraag voor een (pre)pensioenuitkering

Verzoek om informatie over pensioengegevens van verplichte regelingen

Overzicht van persoonlijke pensioengegevens

Starten, exploiteren en sluiten van een bedrijf

Kennisgeving van bedrijfsactiviteit, vergunningen voor de uitoefening van een bedrijfsactiviteit, wijzigingen van bedrijfsactiviteit en beëindiging van een bedrijfsactiviteit zonder insolventie- of liquidatieprocedures, met uitzondering van de initiële inschrijving van een bedrijfsactiviteit in het bedrijfsregister en met uitzondering van procedures voor de oprichting van vennootschappen in de zin van artikel 54, tweede alinea, VWEU of bestanden die deze vennootschappen later indienen

Bevestiging van ontvangst van de kennisgeving of wijziging of van de aanvraag van een vergunning voor bedrijfsactiviteit

Aanmelding van een werkgever (een natuurlijke persoon) bij verplichte pensioen- en verzekeringsregelingen

Bevestiging van aanmelding of registratienummer sociale zekerheid

Aanmelding van werknemers bij verplichte pensioen- en verzekeringsregelingen

Bevestiging van aanmelding of registratienummer sociale zekerheid

Indiening van een aangifte voor de vennootschapsbelasting

Bevestiging van ontvangst van de aangifte

Kennisgeving van beëindiging van een arbeidsovereenkomst met een werknemer aan socialezekerheidsregelingen, met uitzondering van procedures voor de collectieve beëindiging van arbeidsovereenkomsten

Bevestiging van ontvangst van de kennisgeving

Betaling van sociale bijdragen voor werknemers

Kwitantie of andere betalingsbevestiging voor sociale bijdragen voor werknemers


(1)  Verordening (EG) nr. 883/2004 van het Europees Parlement en de Raad van 29 april 2004 betreffende de coördinatie van de socialezekerheidsstelsels (PB L 166 van 30.4.2004, blz. 1).

(2)  Dit betreft de volgende voertuigen: a) alle motorvoertuigen of aanhangwagens als bedoeld in artikel 3 van Richtlijn 2007/46/EG van het Europees Parlement en de Raad (PB L 263 van 9.10.2007, blz. 1) en b) alle twee- of driewielige motorvoertuigen, al dan niet met dubbellucht, die bestemd zijn om aan het wegverkeer deel te nemen, als bedoeld in artikel 1 van Verordening (EU) nr. 168/2013 van het Europees Parlement en de Raad (PB L 60 van 2.3.2013, blz. 52).


BIJLAGE III

Lijst van de in artikel 2, lid 2, onder c), bedoelde diensten voor ondersteuning en probleemoplossing

1.

Eén-loketten (1)

2.

Productcontactpunten (2)

3.

Productcontactpunten voor de bouw (3)

4.

Nationale assistentiecentra voor beroepskwalificaties (4)

5.

Nationale contactpunten voor grensoverschrijdende gezondheidszorg (5)

6.

EURES (6)

7.

Onlinegeschillenbeslechting (7)


(1)  Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006 betreffende diensten op de interne markt (PB L 376 van 27.12.2006, blz. 36).

(2)  Verordening (EG) nr. 764/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van procedures voor de toepassing van bepaalde nationale technische voorschriften op goederen die in een andere lidstaat rechtmatig in de handel zijn gebracht, en tot intrekking van Beschikking nr. 3052/95/EG (PB L 218 van 13.8.2008, blz. 21).

(3)  Verordening (EU) nr. 305/2011 van het Europees Parlement en de Raad van 9 maart 2011 tot vaststelling van geharmoniseerde voorwaarden voor het verhandelen van bouwproducten en tot intrekking van Richtlijn 89/106/EEG van de Raad (PB L 88 van 4.4.2011, blz. 5).

(4)  Richtlijn 2005/36/EG van het Europees Parlement en de Raad van 7 september 2005 betreffende de erkenning van beroepskwalificaties (PB L 255 van 30.9.2005, blz. 22).

(5)  Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

(6)  Verordening (EU) 2016/589 van het Europees Parlement en de Raad van 13 april 2016 inzake een Europees netwerk van diensten voor arbeidsvoorziening (EURES), de toegang van werknemers tot mobiliteitsdiensten en de verdere integratie van de arbeidsmarkten en tot wijziging van Verordeningen (EU) nr. 492/2011 en (EU) nr. 1296/2013 (PB L 107 van 22.4.2016, blz. 1).

(7)  Verordening (EU) nr. 524/2013 van het Europees Parlement en de Raad van 21 mei 2013 betreffende onlinebeslechting van consumentengeschillen en tot wijziging van Verordening (EG) nr. 2006/2004 en Richtlijn 2009/22/EG (verordening ODR consumenten) (PB L 165 van 18.6.2013, blz. 1).


21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/39


VERORDENING (EU) 2018/1725 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 23 oktober 2018

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité (1),

Handelend volgens de gewone wetgevingsprocedure (2),

Overwegende hetgeen volgt:

(1)

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het „Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Dit recht wordt ook gewaarborgd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(2)

Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (3) worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten.

(3)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4) en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(4)

Verordening (EU) 2016/679 schrijft de aanpassing van Verordening (EG) nr. 45/2001 voor om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en om het mogelijk te maken dat de aanpassing ervan gelijktijdig met Verordening (EU) 2016/679 kan worden toegepast.

(5)

In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van Verordening (EU) 2016/679, dienen beide bepalingen overeenkomstig de rechtspraak van het Hof van Justitie van de Europese Unie („het Hof van Justitie”) homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679.

(6)

Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

(7)

Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën.

(8)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door alle instellingen, organen en instanties van de Unie. Deze verordening dient van toepassing te zijn op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om daarin te worden opgenomen. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze verordening vallen.

(9)

In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Een afzonderlijk hoofdstuk van deze verordening met algemene regels dient derhalve van toepassing te zijn op de verwerking van operationele persoonsgegevens, zoals persoonsgegevens die worden verwerkt met het oog op strafrechtelijk onderzoek door instellingen, organen of instanties van de Unie wanneer zij activiteiten uitvoeren op het gebied van justitiële samenwerking in strafzaken en de politiële samenwerking.

(10)

Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde ervoor te zorgen, dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau geldt door middel van in rechte afdwingbare rechten, en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen instellingen, organen of instanties van de Unie wanneer die activiteiten uitoefenen die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, en bevoegde autoriteiten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke instellingen, organen of instanties van de Unie worden verwerkt, te stroken met Richtlijn (EU) 2016/680.

(11)

De in het afzonderlijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens opgenomen algemene regels dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke regels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Dergelijke specifieke regels moeten worden beschouwd als een „lex specialis” ten opzichte van de bepalingen in het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens (lex specialis derogat legi generali). Om juridische versnippering te verminderen dienen specifieke gegevensbeschermingsregels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, in overeenstemming te zijn met de beginselen die ten grondslag liggen aan het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens, alsook met de bepalingen van deze verordening met betrekking tot onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(12)

Het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens moet van toepassing zijn op instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, ongeacht of zij deze activiteiten als hun hoofd- of neventaken uitoefenen, met het oog op de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten. Het mag evenwel niet van toepassing zijn op Europol en het Europees Openbaar Ministerie voordat de rechtshandelingen tot oprichting van Europol en het Europees Openbaar Ministerie zijn gewijzigd, teneinde hierin het hierop toepasselijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, in zijn aangepaste vorm, op te nemen.

(13)

De Commissie moet deze verordening evalueren, met name het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens. De Commissie moet eveneens andere op basis van de Verdragen vastgestelde rechtshandelingen evalueren waarin de verwerking wordt geregeld van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Om een eenvormige en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet de Commissie na deze evaluatie passende wetgevingsvoorstellen kunnen indienen, waaronder nodige aanpassingen van het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, teneinde het toe te passen op Europol en op het Europees Openbaar Ministerie. Bij de aanpassingen moet rekening worden gehouden met bepalingen inzake onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

(14)

De verwerking van administratieve persoonsgegevens, zoals personeelsgegevens, door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, moeten door deze verordening worden bestreken.

(15)

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door instellingen, organen of instanties van de Unie die activiteiten verrichten die onder hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens door missies bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 van het VEU, waarbij het gemeenschappelijk veiligheids- en defensiebeleid ten uitvoer wordt gelegd. Waar passend moeten relevante voorstellen worden gedaan om de verwerking van persoonsgegevens op het gebied van het gemeenschappelijk veiligheids- en defensiebeleid verder te reguleren.

(16)

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

(17)

De toepassing van pseudonimisering op persoonsgegevens kan de risico’s voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van „pseudonimisering” in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

(18)

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren.

(19)

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. Tegelijkertijd moet de betrokkene het recht hebben de toestemming te allen tijde in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die gebaseerd werd op toestemming vóór de intrekking daarvan. Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er een duidelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. Op het moment van gegevensverzameling is het vaak niet mogelijk om het doel van de gegevensverwerking ten behoeve van wetenschappelijk onderzoek volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van wetenschappelijk onderzoek, mits erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten een mogelijkheid gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

(20)

Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico’s, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt en ter voorkoming van ongeoorloofde bekendmaking tijdens de doorzending van.

(21)

Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen dezelfde instelling of hetzelfde orgaan van de Unie en de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke, of naar andere instellingen of organen van de Unie, na te gaan of die persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is. De verwerkingsverantwoordelijke dient ook een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd.

(22)

De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag op grond van deze verordening bestaat, zoals de toestemming van de betrokkene, indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

(23)

De Unierechtelijke bepaling waarnaar in deze verordening wordt verwezen, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(24)

De in deze verordening bedoelde interne voorschriften moeten duidelijke en precieze handelingen van algemene strekking zijn, waarmee rechtsgevolgen jegens betrokkenen worden beoogd. Zij moeten zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie binnen hun bevoegdheidssfeer en in aangelegenheden die verband houden met hun werking. Zij moeten worden bekendgemaakt in het Publicatieblad van de Europese Unie. De toepassing van deze voorschriften moet voorspelbaar zijn voor degenen op wie zij van toepassing zijn, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Interne voorschriften kunnen de vorm aannemen van besluiten, met name wanneer zij zijn vastgesteld door instellingen van de Unie.

(25)

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met aanvankelijke doeleinden verenigbare rechtmatige verwerkingen worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

(26)

Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (6) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

(27)

Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico’s, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en de verwerking van persoonsgegevens op toestemming berust.

(28)

Wanneer in de Unie gevestigde ontvangers, die geen instellingen of organen van de Unie zijn, wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending van gegevens noodzakelijk is voor de uitvoering van hun taak die wordt verricht in het openbaar belang of bij de uitoefening van het hun verleende openbaar gezag. Een andere optie is dat de ontvangers moeten aantonen dat de doorzending noodzakelijk is voor een specifiek doel in het openbaar belang, terwijl de verwerkingsverantwoordelijke moet vaststellen of er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene zouden worden geschaad. In dit geval dient de verwerkingsverantwoordelijke de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar af te wegen om te beoordelen of de gevraagde doorzending van persoonsgegevens noodzakelijk en evenredig is. Het specifiek doel in het openbaar belang kan verband houden met de transparantie van de instellingen en organen van de Unie. Overeenkomstig het beginsel van transparantie en goed bestuur dienen instellingen of organen van de Unie die noodzaak voorts aan te tonen indien zijzelf het initiatief nemen voor de doorzending. De in deze verordening vastgestelde vereisten voor doorzendingen aan in de Unie gevestigde ontvangers die geen instellingen of organen van de Unie zijn, moeten worden begrepen als aanvulling op de voorwaarden voor rechtmatige verwerking.

(29)

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico’s voor de grondrechten en fundamentele vrijheden kan meebrengen. Dergelijke persoonsgegevens mogen niet verwerkt worden tenzij aan de in deze verordening vastgelegde specifieke voorwaarden is voldaan. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto’s mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto’s alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

(30)

Bijzondere categorieën persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht moet voorzien in specifieke en passende maatregelen voor de bescherming van grondrechten en de persoonsgegevens van natuurlijke personen.

(31)

Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient „volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (7) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt.

(32)

Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst.

(33)

De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen op grond van deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. instellingen en organen van de Unie dienen in het Unierecht passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, hetgeen door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking kan omvatten.

(34)

Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.

(35)

Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.

(36)

De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.

(37)

Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft.

(38)

Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een „recht op vergetelheid” wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

(39)

Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.

(40)

Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven.

(41)

Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden.

(42)

Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen.

(43)

Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit — dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat „profilering”, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.

Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico’s voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.

(44)

Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften die zijn vastgesteld door instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronischecommunicatiegegevens en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, en voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.

(45)

Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

(46)

Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt, of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

(47)

De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking van gegevens gepaard gaat met een risico of een hoog risico.

(48)

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

(49)

In Verordening (EU) 2016/679 is bepaald dat verwerkingsverantwoordelijken de naleving van die verordening moeten aantonen door zich aan te sluiten bij een goedgekeurde certificeringsregeling. Ook de instellingen en organen van de Unie moeten de naleving van deze verordening kunnen aantonen door certificering te verkrijgen overeenkomstig artikel 42 van Verordening (EU) 2016/679.

(50)

Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.

(51)

Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker die geen instelling of orgaan van de Unie is, dient te worden geregeld in een overeenkomst of, ingeval instellingen of organen van de Unie als verwerkers optreden, door een overeenkomst of andere rechtshandeling krachtens het Unierecht waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan.

(52)

Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op die verwerkingen. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Omwille van de transparantie moeten zij dit register openbaar kunnen maken.

(53)

Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen.

(54)

De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen. Zij dienen de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8). Zij dienen ook de persoonsgegevens te beschermen die in gebruikerslijsten zijn opgeslagen.

(55)

Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost.

(56)

De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico’s voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.

(57)

In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming. De verwerkingsverantwoordelijke houdt een register bij van de verwerkingen van persoonsgegevens waarvan kennisgeving is gedaan, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Naast deze algemene verplichting moeten doeltreffende procedures en mechanismen worden ingesteld voor het toezicht op de verwerkingen die vanwege hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico’s voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Dergelijke procedures moeten met name ook worden ingesteld wanneer de soorten verwerkingen van nieuwe technologieën gebruikmaken, of van een nieuw type zijn waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico’s te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico’s. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan.

(58)

Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.

(59)

De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en geraadpleegd over door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking, die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico’s daarvan voor betrokkenen te beperken.

(60)

Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient de Commissie bij het opstellen van voorstellen of aanbevelingen ernaar te streven de Europese Toezichthouder voor gegevensbescherming te raadplegen. Raadpleging door de Commissie dient verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen of in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.

(61)

In overeenstemming met artikel 75 van Verordening (EU) 2016/679 dient de Europese Toezichthouder voor gegevensbescherming het secretariaat van het Europees Comité voor gegevensbescherming te verzorgen.

(62)

Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de door de verwerkingsverantwoordelijke of de verwerker uitgevoerde gegevensverwerkingen en de bescherming die vereist is voor de betrokken gegevens. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren.

(63)

Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, moet het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, worden gewaarborgd. Dezelfde waarborgen moeten gelden bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening en met eerbied voor de in het Handvest verankerde grondrechten en fundamentele vrijheden. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft.

(64)

De Commissie kan vaststellen op grond van artikel 45 van Verordening (EU) 2016/679 of artikel 36 van Richtlijn (EU) 2016/680, dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is.

(65)

Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of -organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.

(66)

Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.

(67)

Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht.

(68)

Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.

(69)

Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.

(70)

Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.

(71)

Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien is het mogelijk dat nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming niet kunnen klachten behandelen of onderzoek verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en nationale toezichthoudende autoriteiten te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(72)

De instelling bij Verordening (EG) nr. 45/2001 van de Europese Toezichthouder voor gegevensbescherming, die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt. De Europese Toezichthouder voor gegevensbescherming moet een persoon zijn wiens onafhankelijkheid boven alle twijfel verheven is en die duidelijk over de ervaring en de bekwaamheid beschikt om de taken van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat hij heeft behoord tot een van de krachtens artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.

(73)

Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de nationale toezichthoudende autoriteiten, waaronder bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, bevoegdheden om inbreuken op deze verordening ter kennis van het Hof van Justitie te brengen en bevoegdheden om overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen.

(74)

De toezichtsbevoegdheid van de Europese Toezichthouder voor gegevensbescherming mag zich niet uitstrekken tot de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt, zulks teneinde de onafhankelijkheid van het Hof bij de uitoefening van zijn rechterlijke taken, waaronder besluitvorming, te waarborgen. Voor dergelijke verwerkingen moet het Hof overeenkomstig artikel 8, lid 3, van het Handvest onafhankelijk toezicht instellen, bijvoorbeeld door middel van een intern mechanisme.

(75)

Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen.

(76)

De Europese Toezichthouder voor gegevensbescherming dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (9) na te leven.

(77)

De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten.

(78)

Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is daarom een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.

(79)

Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

(80)

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

(81)

Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan van de Unie — in plaats van een natuurlijke persoon — wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen de inbreuken te worden benoemd waarvoor administratieve geldboetes gelden, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden geldboeten. De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk, de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een instelling of een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie.

(82)

Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen.

(83)

Een ambtenaar of een ander personeelslid van de Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Unie, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (10) („het Personeelsstatuut”).

(84)

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die persoonsgegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden.

(85)

De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (12) bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.

(86)

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie (13) moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten gelden als verwijzingen naar deze verordening.

(87)

Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn.

(88)

Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.

(89)

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 15 maart 2017 (14) advies uitgebracht,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.   Bij deze verordening worden voorschriften vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen en organen van de Unie en betreffende het vrije verkeer van persoonsgegevens tussen hen of naar andere in de Unie gevestigde ontvangers.

2.   Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens.

3.   De Europese Toezichthouder voor gegevensbescherming houdt toezicht op de toepassing van deze verordening op alle door een instelling of orgaan van de Unie verrichte verwerkingen.

Artikel 2

Toepassingsgebied

1.   Deze verordening is van toepassing op de verwerking van persoonsgegevens door alle instellingen en organen van de Unie.

2.   Uitsluitend artikel 3 en hoofdstuk IX van deze verordening zijn van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitoefening van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen.

3.   Deze verordening is niet van toepassing op de verwerking van operationele persoonsgegevens door Europol en het Europees Openbaar Ministerie tot Verordening (EU) 2016/794 van het Europees Parlement en de Raad (15) en Verordening (EU) 2017/1939 (16) zijn aangepast in overeenstemming met artikel 98 van deze verordening.

4.   Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door missies als bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 VEU.

5.   De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking, van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.

Artikel 3

Definities

Voor de toepassing van deze verordening gelden de volgende definities:

1.

„persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon („betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

2.

„operationele persoonsgegevens”: alle persoonsgegevens die worden verwerkt door organen of instanties van de Unie wanneer zij onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallende activiteiten uitoefenen om de in de handelingen tot oprichting van deze organen of instanties genoemde doelstellingen en taken te verwezenlijken;

3.

„verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

4.

„beperking van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

5.

„profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

6.

„pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

7.

„bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

8.

„verwerkingsverantwoordelijke”: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

9.

„andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie”: verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 en verwerkingsverantwoordelijken in de zin van artikel 3, punt 8, van Richtlijn (EU) 2016/680;

10.

„instellingen en organen van de Unie”: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het VEU, het VWEU of het Euratom-Verdrag;

11.

„bevoegde autoriteit”: een overheidsinstantie in een lidstaat die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

12.

„verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

13.

„ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers. De verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

14.

„derde”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

15.

„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

16.

„inbreuk in verband met persoonsgegevens”: inbreuk op de beveiliging die leidt tot de vernietiging, het verlies of de wijziging of de ongeoorloofde onthulling van, of de toegang tot, doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij onbedoeld, hetzij onrechtmatig;

17.

„genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

18.

„biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

19.

„gegevens over gezondheid”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

20.

„dienst van de informatiemaatschappij”: een dienst als gedefinieerd in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (17);

21.

„internationale organisatie”: een internationaalpubliekrechtelijke organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen, of enig ander orgaan dat is opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

22.

„nationale toezichthoudende autoriteit”: een door een lidstaat op grond van artikel 51 van Verordening (EU) 2016/679 of op grond van artikel 41 van Richtlijn (EU) 2016/680 ingestelde onafhankelijke overheidsinstantie;

23.

„gebruiker”: elke natuurlijke persoon die gebruikmaakt van een netwerk dat of eindapparatuur die onder de verantwoordelijkheid van een instelling of orgaan van de Unie wordt geëxploiteerd;

24.

„gebruikerslijst”: een publiek toegankelijke lijst van gebruikers of een interne lijst van gebruikers die binnen een instelling of orgaan van de Unie beschikbaar is of tussen instellingen en organen van de Unie wordt gedeeld, zowel in gedrukte als in elektronische vorm;

25.

„elektronischecommunicatienetwerk”: de transmissiesystemen, al dan niet gebaseerd op een permanente infrastructuur of gecentraliseerde beheercapaciteit, en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen, waaronder netwerkelementen die niet actief zijn, die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, elektriciteitsnetten, voor zover deze voor overdracht van signalen worden gebruikt, netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie;

26.

„eindapparatuur”: eindapparatuur zoals gedefinieerd in artikel 1, punt 1, van Richtlijn 2008/63/EG van de Commissie (18).

HOOFDSTUK II

ALGEMENE BEGINSELEN

Artikel 4

Beginselen inzake verwerking van persoonsgegevens

1.   Persoonsgegevens:

a)

worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);

b)

worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 13 niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

c)

zijn toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)

zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen worden getroffen om persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onnauwkeurig zijn, onverwijld te wissen of te rectificeren („juistheid”);

e)

worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, en zulks niet langer dan nodig is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 13, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);

f)

worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”).

2.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

Artikel 5

Rechtmatigheid van de verwerking

1.   De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:

a)

de verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de instelling of het orgaan van Unie is verleend;

b)

de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

c)

de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;

d)

de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

e)

de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.

2.   De rechtsgrond voor de in lid 1, onder a) en b), bedoelde verwerking wordt in het Unierecht vastgesteld.

Artikel 6

Verwerking voor een ander verenigbaar doel

Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 25, lid 1, bedoelde doelstellingen, houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met:

a)

ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking;

b)

het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft;

c)

de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, op grond van artikel 10, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, op grond van artikel 11;

d)

de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;

e)

het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Artikel 7

Voorwaarden voor toestemming

1.   Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.

2.   Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.

3.   De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.

4.   Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Artikel 8

Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij

1.   Wanneer artikel 5, lid 1, onder d), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 13 jaar is. Wanneer het kind jonger is dan 13 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

2.   Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.

3.   Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.

Artikel 9

Doorzending van persoonsgegevens aan ontvangers die in de Unie zijn gevestigd en die geen instelling of orgaan van de Unie zijn

1.   Onverminderd de artikelen 4 tot en met 6, en 10, worden persoonsgegevens uitsluitend doorgegeven aan ontvangers die in de Unie zijn gevestigd en die geen instellingen of organen van de Unie zijn, indien de ontvanger aantoont dat:

a)

de gegevens nodig zijn voor de uitvoering van een taak die wordt verricht in het algemeen belang of ter uitoefening van het door de ontvanger beklede openbaar gezag, of

b)

de doorzending van de gegevens noodzakelijk is voor een specifiek doel in het openbaar belang, en de verwerkingsverantwoordelijke, indien er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene kunnen worden geschaad, na de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar te hebben afgewogen, aantoont dat de doorzending van persoonsgegevens voor dit specifieke doel evenredig is.

2.   Indien de verwerkingsverantwoordelijke het initiatief tot doorzending krachtens dit artikel neemt, toont hij aan dat de doorzending van persoonsgegevens noodzakelijk is voor en evenredig is aan de doeleinden van de doorzending, door toepassing van de criteria van lid 1, onder a) of b).

3.   De instellingen en organen van de Unie brengen het recht op bescherming van persoonsgegevens in overeenstemming met het recht van toegang tot documenten overeenkomstig het recht van de Unie.

Artikel 10

Verwerking van bijzondere categorieën van persoonsgegevens

1.   Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

2.   Lid 1 is niet van toepassing wanneer aan een van de onderstaande voorwaarden is voldaan:

a)

de betrokkene heeft uitdrukkelijke toestemming gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden, behalve indien in het Unierecht is bepaald dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven;

b)

de verwerking is noodzakelijk met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de verwerkingsverantwoordelijke of de betrokkene op het gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht, voor zover zulks is toegestaan bij het Unierecht dat passende waarborgen voor de grondrechten en de fundamentele belangen van de betrokkene biedt;

c)

de verwerking is noodzakelijk ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is zijn toestemming te geven;

d)

de verwerking wordt verricht door een instantie zonder winstoogmerk die een entiteit vormt die geïntegreerd is in een instelling of orgaan van de Unie en die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van die instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;

e)

de verwerking heeft betrekking op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;

f)

de verwerking is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering of wanneer het Hof van Justitie handelt in zijn hoedanigheid van rechtsprekende instantie;

g)

de verwerking is noodzakelijk om redenen van zwaarwegend algemeen belang, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene;

h)

de verwerking is noodzakelijk voor doeleinden van preventieve of arbeidsgeneeskunde, voor de beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnosen, het verstrekken van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van gezondheidszorgstelsels en -diensten of sociale stelsels en diensten, op grond van het Unierecht of op grond van een overeenkomst met een gezondheidswerker en met inachtneming van de in lid 3 genoemde voorwaarden en waarborgen;

i)

de verwerking is noodzakelijk om redenen van algemeen belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende gevaren voor de gezondheid of het waarborgen van hoge normen inzake kwaliteit en veiligheid van de gezondheidszorg en van geneesmiddelen of medische hulpmiddelen, op grond van het Unierecht waarin passende en specifieke maatregelen zijn opgenomen ter bescherming van de rechten en vrijheden van de betrokkene, met name van het beroepsgeheim, of

j)

de verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, op grond van het Unierecht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.

3.   De in lid 1 bedoelde persoonsgegevens mogen worden verwerkt voor de in lid 2, onder h), genoemde doeleinden wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens het Unierecht of lidstatelijke recht of krachtens door nationale bevoegde autoriteiten vastgestelde regels tot geheimhouding is gehouden.

Artikel 11

Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 5, lid 1, alleen worden verwerkt onder toezicht van het openbaar gezag of indien de verwerking is toegestaan bij Unierechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.

Artikel 12

Verwerking waarvoor identificatie niet is vereist

1.   Indien de doeleinden waarvoor een verwerkingsverantwoordelijke persoonsgegevens verwerkt, niet of niet meer vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.

2.   Wanneer de verwerkingsverantwoordelijke in de in lid 1 van dit artikel bedoelde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt hij de betrokkene daarvan indien mogelijk in kennis. In dergelijke gevallen zijn de artikelen 17 tot en met 22 niet van toepassing, behalve wanneer de betrokkene, met het oog op de uitoefening van zijn rechten uit hoofde van die artikelen, aanvullende gegevens verstrekt die het mogelijk maken hem te identificeren.

Artikel 13

Waarborgen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

AFDELING 1

transparantie en regelingen

Artikel 14

Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1.   De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 15 en 16 bedoelde informatie en de in de artikelen 17 tot en met 24 en artikel 35 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.

2.   De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 17 tot en met 24. In de in artikel 12, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 17 tot en met 24 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.

3.   De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 17 tot en met 24 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene om een andere regeling verzoekt.

4.   Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en beroep bij de rechter in te stellen.

5.   Het verstrekken van de in de artikelen 15 en 16 bedoelde informatie, het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 17 tot en met 24 en artikel 35 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

6.   Onverminderd artikel 12 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 17 tot en met 23, om aanvullende gegevens vragen die nodig zijn ter bevestiging van de identiteit van de betrokkene.

7.   De op grond van de artikelen 15 en 16 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.

8.   Indien de Commissie op grond van artikel 12, lid 8, van Verordening (EU) 2016/679 gedelegeerde handelingen vaststelt om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen, verstrekken de instellingen en organen van de Unie, in voorkomend geval, de informatie op grond van de artikelen 15 en 16 van deze Verordening met gebruikmaking van dergelijke gestandaardiseerde iconen.

AFDELING 2

informatie en toegang tot persoonsgegevens

Artikel 15

Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld

1.   Wanneer persoonsgegevens betreffende een betrokkene bij die persoon worden verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie:

a)

de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d)

in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

e)

in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of aan een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd.

2.   Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens de volgende aanvullende informatie om een behoorlijke en transparante verwerking te waarborgen:

a)

de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

b)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;

c)

wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

d)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

e)

of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde om een overeenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;

f)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

3.   Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

4.   De leden 1, 2 en 3 zijn niet van toepassing wanneer en voor zover de betrokkene reeds over de informatie beschikt.

Artikel 16

Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen

1.   Wanneer persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende informatie:

a)

de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en de rechtsgrond voor de verwerking;

d)

de betrokken categorieën van persoonsgegevens;

e)

in voorkomend geval, de ontvangers of categorieën van ontvangers van de persoonsgegevens;

f)

in voorkomend geval, dat de verwerkingsverantwoordelijke het voornemen heeft de persoonsgegevens door te geven aan een ontvanger in een derde land of een internationale organisatie, of er al dan niet een adequaatheidsbesluit van de Commissie bestaat, of, in het geval van de in artikel 48 bedoelde doorgiften, welke de passende of geschikte waarborgen zijn, hoe er een kopie van kan worden verkregen of waar zij kunnen worden geraadpleegd.

2.   Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene de volgende aanvullende informatie om ten overstaan van de betrokkene een behoorlijke en transparante verwerking te waarborgen:

a)

de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

b)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage, rectificatie of wissing van de persoonsgegevens of om beperking van de hem betreffende verwerking, of, in voorkomend geval, het recht tegen de verwerking bezwaar te maken of het recht op gegevensoverdraagbaarheid;

c)

wanneer de verwerking op artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), is gebaseerd, dat de betrokkene het recht heeft de toestemming te allen tijde in te trekken, zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan;

d)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

e)

de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;

f)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

3.   De verwerkingsverantwoordelijke verstrekt de in de leden 1 en 2 bedoelde informatie:

a)

binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;

b)

indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene, of

c)

indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

4.   Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verkregen, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2.

5.   De leden 1 tot en met 4 zijn niet van toepassing wanneer en voor zover:

a)

de betrokkene reeds over de informatie beschikt;

b)

het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, of voor zover de in lid 1 van dit artikel bedoelde verplichting de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;

c)

het verkrijgen of verstrekken van de gegevens uitdrukkelijk is voorgeschreven bij het Unierecht, dat voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, of

d)

de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van het Unierecht, waaronder een statutaire geheimhoudingsplicht.

6.   In de in lid 5, onder b), bedoelde gevallen neemt de verwerkingsverantwoordelijke passende maatregelen om de rechten, de vrijheden en de legitieme belangen van de betrokkene te beschermen, ook door het openbaar maken van de informatie.

Artikel 17

Recht van inzage van de betrokkene

1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en de volgende informatie te ontvangen:

a)

de doeleinden van de verwerking;

b)

de betrokken categorieën van persoonsgegevens;

c)

de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;

d)

indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

e)

dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;

f)

het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming;

g)

wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;

h)

het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 24, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de achterliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

2.   Wanneer persoonsgegevens worden doorgegeven naar een derde land of aan een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen op grond van artikel 48 inzake de doorgifte.

3.   De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie in een gangbare elektronische vorm verstrekt, tenzij de betrokkene om een andere regeling verzoekt.

4.   Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

AFDELING 3

rectificatie en wissing van gegevens

Artikel 18

Recht op rectificatie

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Met inachtneming van de doeleinden van de verwerking heeft de betrokkene het recht vervollediging van onvolledige persoonsgegevens te verkrijgen, onder meer door een aanvullende verklaring te verstrekken.

Artikel 19

Recht op wissing van gegevens („recht om te worden vergeten”)

1.   De betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onredelijke vertraging wissing van hem betreffende persoonsgegevens te verkrijgen en de verwerkingsverantwoordelijke is verplicht persoonsgegevens zonder onredelijke vertraging te wissen wanneer een van de volgende gevallen van toepassing is:

a)

de persoonsgegevens zijn niet langer nodig voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

b)

de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), berust, in, en er is geen andere rechtsgrond voor de verwerking;

c)

de betrokkene maakt op grond van artikel 23, lid 1, bezwaar tegen de verwerking, en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor de verwerking;

d)

de persoonsgegevens zijn onrechtmatig verwerkt;

e)

de persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;

f)

de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.

2.   Wanneer de verwerkingsverantwoordelijke de persoonsgegevens openbaar heeft gemaakt en op grond van lid 1 verplicht is de persoonsgegevens te wissen, neemt hij, rekening houdend met de beschikbare technologie en de uitvoeringskosten, redelijke maatregelen, waaronder technische maatregelen, om verwerkingsverantwoordelijken, of andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, die de persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene de verwerkingsverantwoordelijken heeft verzocht om iedere koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen.

3.   De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:

a)

voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;

b)

voor het nakomen van een wettelijke verplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;

c)

om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 10, lid 2, onder h) en i), en artikel 10, lid 3;

d)

met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen, of

e)

voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Artikel 20

Recht op beperking van de verwerking

1.   De betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is:

a)

de juistheid van de persoonsgegevens wordt betwist door de betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid, met inbegrip van de volledigheid, van de persoonsgegevens te controleren;

b)

de verwerking is onrechtmatig en de betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan;

c)

de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar de betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

d)

de betrokkene heeft op grond van artikel 23, lid 1, bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene.

2.   Wanneer de verwerking op grond van lid 1 is beperkt, worden persoonsgegevens, met uitzondering van de opslag ervan, slechts verwerkt met toestemming van de betrokkene of voor de instelling, uitoefening of onderbouwing van een rechtsvordering of ter bescherming van de rechten van een andere natuurlijke persoon of rechtspersoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat.

3.   Een betrokkene die op grond van lid 1 een beperking van de verwerking heeft verkregen, wordt door de verwerkingsverantwoordelijke op de hoogte gebracht voordat de beperking van de verwerking wordt opgeheven.

4.   In geautomatiseerde bestanden wordt de beperking van de verwerking in beginsel met technische middelen tot stand gebracht. Het feit dat de verwerking van de persoonsgegevens wordt beperkt, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.

Artikel 21

Kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of beperking van de verwerking

De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 18, artikel 19, lid 1, en artikel 20, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt.

Artikel 22

Recht op overdraagbaarheid van gegevens

1.   De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt, indien:

a)

de verwerking berust op toestemming op grond van artikel 5, lid 1, onder d), of artikel 10, lid 2, onder a), of op een overeenkomst op grond van artikel 5, lid 1, onder c), en

b)

de verwerking via geautomatiseerde procedés wordt verricht.

2.   Bij de uitoefening van zijn recht op gegevensoverdraagbaarheid op grond van lid 1 heeft de betrokkene het recht om de persoonsgegevens, indien dit technisch mogelijk is, rechtstreeks van de ene verwerkingsverantwoordelijke naar de andere, of naar andere verwerkingsverantwoordelijken dan instellingen of organen van de Unie, te laten doorzenden.

3.   De uitoefening van het in lid 1 van dit artikel bedoelde recht laat artikel 19 onverlet. Dat recht geldt niet voor de verwerking die noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend.

4.   Het in lid 1 bedoelde recht doet geen afbreuk aan de rechten en vrijheden van anderen.

AFDELING 4

recht van bezwaar en geautomatiseerde individuele besluitvorming

Artikel 23

Recht van bezwaar

1.   De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 5, lid 1, onder a), met inbegrip van profilering op basis van die bepaling. De verwerkingsverantwoordelijke staakt de verwerking van de persoonsgegevens tenzij hij dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.

2.   Het in lid 1 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

3.   Onverminderd de artikelen 36 en 37 mag de betrokkene in het kader van het gebruik van diensten van de informatiemaatschappij zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.

4.   Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, heeft de betrokkene het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak van algemeen belang.

Artikel 24

Geautomatiseerde individuele besluitvorming, waaronder profilering

1.   De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

2.   Lid 1 geldt niet indien het besluit:

a)

noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke;

b)

is toegestaan door het Unierecht, dat ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, of

c)

berust op de uitdrukkelijke toestemming van de betrokkene.

3.   In de in lid 2, onder a) en c), bedoelde gevallen treft de verwerkingsverantwoordelijke passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke, het recht om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten.

4.   De in lid 2 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10, lid 1, bedoelde bijzondere categorieën van persoonsgegevens, tenzij artikel 10, lid 2, onder a) of g), van toepassing is en er passende maatregelen ter bescherming van de gerechtvaardigde belangen van de betrokkene zijn getroffen.

AFDELING 5

beperkingen

Artikel 25

Beperkingen

1.   De toepassing van de artikelen 14 tot en met 22, 35 en 36, en artikel 4 voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen waarin de artikelen 14 tot en met 22 voorzien, kan worden beperkt door middel van rechtshandelingen die zijn vastgesteld op grond van de Verdragen of, voor aangelegenheden betreffende de werking van de instellingen of organen van de Unie betreft, door interne voorschriften van deze instellingen of organen van de Unie, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)

de nationale veiligheid, de openbare veiligheid of de defensie van de lidstaten;

b)

de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

c)

andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;

d)

de interne veiligheid van de instellingen en organen van de Unie, met inbegrip van die van hun elektronischecommunicatienetwerken;

e)

de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;

f)

de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

g)

een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de gevallen als bedoeld onder a), b) en c);

h)

de bescherming van de betrokkene of van de rechten en vrijheden van anderen;

i)

de inning van civielrechtelijke vorderingen.

2.   De in lid 1 bedoelde rechtshandelingen of interne voorschriften bevatten met name specifieke bepalingen met betrekking tot, in voorkomend geval:

a)

de doeleinden van de verwerking of van de categorieën van verwerking;

b)

de categorieën van persoonsgegevens;

c)

het toepassingsgebied van de ingevoerde beperkingen;

d)

de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte;

e)

de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken;

f)

de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, en

g)

de risico’s voor de rechten en vrijheden van de betrokkenen.

3.   Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

4.   Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht, inclusief eventuele interne voorschriften van instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, worden voorzien in afwijkingen van de in de artikelen 17, 18, 20, 21, 22 en 23 genoemde rechten, met inachtneming van de in artikel 13 bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

5.   De in de leden 1, 3, en 4, bedoelde interne voorschriften zijn duidelijke en precieze handelingen van algemene strekking, waarmee rechtsgevolgen jegens betrokkenen worden beoogd, zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie en worden bekendgemaakt in het Publicatieblad van de Europese Unie.

6.   Wanneer op grond van lid 1 een beperking wordt opgelegd, wordt de betrokkene overeenkomstig het Unierecht in kennis gesteld van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn recht om bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen.

7.   Indien een beroep wordt gedaan op een op grond van lid 1 opgelegde beperking om de betrokkene toegang te weigeren, deelt de Europese Toezichthouder voor gegevensbescherming, wanneer hij de klacht bestudeert, de betrokkene uitsluitend mee of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.

8.   Het verstrekken van de informatie als bedoeld in de leden 6 en 7 van dit artikel en in artikel 45, lid 2, kan worden uitgesteld, achterwege gelaten of geweigerd indien het verstrekken van die informatie de gevolgen van de op grond van lid 1 van dit artikel opgelegde beperking teniet zou doen.

HOOFDSTUK IV

VERWERKINGSVERANTWOORDELIJKE EN VERWERKER

AFDELING 1

algemene verplichtingen

Artikel 26

Verantwoordelijkheid van de verwerkingsverantwoordelijke

1.   Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

2.   Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

3.   Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.

Artikel 27

Gegevensbescherming door ontwerp en door standaardinstellingen

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

3.   Een op grond van artikel 42 van Verordening (EU) 2016/679 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.

Artikel 28

Gezamenlijke verwerkingsverantwoordelijken

1.   Indien twee of meerdere verwerkingsverantwoordelijken of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 15 en 16 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

2.   Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkenen is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.

3.   Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

Artikel 29

Verwerker

1.   Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

2.   De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.

3.   De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

a)

de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;

b)

waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

c)

alle op grond van artikel 33 vereiste maatregelen neemt;

d)

aan de in de leden 2 en 4 bedoelde voorwaarden voor het in dienst nemen van een andere verwerker voldoet;

e)

rekening houdend met de aard van de verwerking, de verwerkingsverantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verleent bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III vastgestelde rechten van de betrokkene te beantwoorden;

f)

rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie de verwerkingsverantwoordelijke bijstand verleent bij het doen nakomen van de verplichtingen op grond van de artikelen 33 tot en met 40;

g)

na afloop van de verwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of deze aan hem terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht;

h)

de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de verwerkingsverantwoordelijke of een andere door de verwerkingsverantwoordelijke gemachtigde controleur mogelijk maakt en eraan bijdraagt.

Waar het gaat om de eerste alinea, onder h), stelt de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis indien naar zijn mening een instructie inbreuk oplevert op deze verordening of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

4.   Wanneer een verwerker een andere verwerker in dienst neemt om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst of een andere rechtshandeling krachtens Unierecht of lidstatelijke recht dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in de in lid 3 bedoelde overeenkomst of andere rechtshandeling tussen de verwerkingsverantwoordelijke en de verwerker zijn opgenomen, met name de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan het bepaalde in deze verordening voldoet. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de verplichtingen van die andere verwerker.

5.   Wanneer een verwerker geen instelling of orgaan van de Unie is, kan de aansluiting daarvan bij een goedgekeurde gedragscode als bedoeld in artikel 40, lid 5, van Verordening (EU) 2016/679 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 van Verordening (EU) 2016/679 worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de leden 1 en 4 van dit artikel worden geboden.

6.   Onverminderd enige individuele overeenkomst tussen de verwerkingsverantwoordelijke en de verwerker kan de in de leden 3 en 4 van dit artikel bedoelde overeenkomst of andere rechtshandeling geheel of ten dele gebaseerd zijn op de in de leden 7 en 8 van dit artikel bedoelde standaardcontractbepalingen, ook indien zij deel uitmaken van de certificering die een verwerker, niet zijnde een instelling of orgaan van de Unie, op grond van artikel 42 van Verordening (EU) 2016/679 is verleend.

7.   De Commissie kan voor de in de leden 3 en 4 van dit artikel genoemde aangelegenheden en volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure standaardcontractbepalingen vaststellen.

8.   De Europese Toezichthouder voor gegevensbescherming kan voor de in de leden 3 en 4 genoemde aangelegenheden standaardcontractbepalingen opstellen.

9.   De in de leden 3 en 4 bedoelde overeenkomst of andere rechtshandeling wordt in schriftelijke vorm, waaronder elektronische vorm, opgesteld.

10.   Indien een verwerker in strijd met deze verordening de doeleinden en middelen van een verwerking bepaalt, wordt die verwerker onverminderd de artikelen 65 en 66 met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 30

Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt deze uitsluitend in opdracht van de verwerkingsverantwoordelijke, tenzij hij Unierechtelijk of lidstaatrechtelijk tot de verwerking gehouden is.

Artikel 31

Register van verwerkingsactiviteiten

1.   Elke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a)

de naam en de contactgegevens van de verwerkingsverantwoordelijke, de functionaris voor gegevensbescherming, en, in voorkomend geval, de verwerker en de gezamenlijke verwerkingsverantwoordelijke;

b)

de doeleinden van de verwerking;

c)

een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d)

de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in lidstaten, derde landen of internationale organisaties;

e)

indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;

f)

indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g)

indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.

2.   Iedere verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verwerkingsverantwoordelijke heeft verricht, met daarin de volgende gegevens:

a)

de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt, en van de functionaris voor gegevensbescherming;

b)

de categorieën van verwerkingen die ten behoeve van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

c)

indien van toepassing, doorgiften van persoonsgegevens naar een derde land of aan een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;

d)

indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 33.

3.   Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.

4.   De instellingen en organen van de Unie verstrekken de Europese Toezichthouder voor gegevensbescherming desgevraagd hun register.

5.   Tenzij dat gezien de omvang van de instelling of het orgaan van de Unie niet noodzakelijk is, brengen de instellingen en organen van de Unie hun registers van verwerkingsactiviteiten in een centraal register onder. Zij maken het register openbaar toegankelijk.

Artikel 32

Samenwerking met de Europese Toezichthouder voor gegevensbescherming

De instellingen en organen van de Unie werken desgevraagd samen met de Europese Toezichthouder voor gegevensbescherming bij het vervullen van zijn taken.

AFDELING 2

persoonsgegevensbeveiliging

Artikel 33

Beveiliging van de verwerking

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:

a)

de pseudonimisering en versleuteling van persoonsgegevens;

b)

het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c)

het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

d)

een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.

2.   Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

3.   De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk is gehouden.

4.   Het aansluiten bij goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 van Verordening (EU) 2016/679 kan worden gebruikt als element om aan te tonen dat aan de vereisten van lid 1 van dit artikel is voldaan.

Artikel 34

Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming

1.   Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onnodige vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

2.   De verwerker informeert de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.

3.   In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

a)

de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

b)

de naam en de contactgegevens van de functionaris voor gegevensbescherming;

c)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d)

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

4.   Indien en voor zover het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.

5.   De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming in kennis van de inbreuk in verband met persoonsgegevens.

6.   De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.

Artikel 35

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.   Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 34, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.

3.   De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een of meer van de volgende voorwaarden is voldaan:

a)

de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

b)

de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;

c)

de mededeling zou onevenredige inspanningen vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

4.   Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.

AFDELING 3

vertrouwelijkheid van elektronische communicatie

Artikel 36

Vertrouwelijkheid van elektronische communicatie

De instellingen en organen van de Unie waarborgen de vertrouwelijkheid van de elektronische communicatie, met name door hun elektronische communicatienetwerken te beveiligen.

Artikel 37

Bescherming van gegevens die worden overgedragen naar, opgeslagen zijn op en verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers

De instellingen en organen van de Unie beschermen de gegevens die worden overgedragen naar, opgeslagen zijn op, verband houden met, worden verwerkt door en verzameld uit eindapparatuur van gebruikers die hun openbaar toegankelijke websites en mobiele toepassingen bezoeken, overeenkomstig artikel 5, lid 3, van Richtlijn 2002/58/EG.

Artikel 38

Gebruikerslijsten

1.   Persoonsgegevens die in gebruikerslijsten zijn opgenomen en de toegang tot dergelijke lijsten worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst strikt noodzakelijk is.

2.   De instellingen en organen van de Unie nemen alle nodige maatregelen om te voorkomen dat in die gebruikerslijsten opgenomen persoonsgegevens voor direct marketing worden gebruikt, ongeacht of die lijsten al dan niet publiek toegankelijk zijn.

AFDELING 4

gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

Artikel 39

Gegevensbeschermingseffectbeoordeling

1.   Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico’s inhouden.

2.   De verwerkingsverantwoordelijke wint bij het uitvoeren van een gegevensbeschermingseffectbeoordeling het advies van de functionaris voor gegevensbescherming in.

3.   Een gegevensbeschermingseffectbeoordeling als bedoeld in lid 1 is met name vereist in de volgende gevallen:

a)

een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen;

b)

grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 10, of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 11, of

c)

stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.

4.   De Europese Toezichthouder voor gegevensbescherming stelt een lijst op van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling op grond van lid 1 verplicht is, en maakt deze lijst openbaar.

5.   De Europese Toezichthouder voor gegevensbescherming kan ook een lijst opstellen en openbaar maken van het soort verwerkingen waarvoor geen gegevensbeschermingseffectbeoordeling is vereist.

6.   Alvorens hij de in de leden 4 en 5 van dit artikel bedoelde lijsten vaststelt, vraagt de Europese Toezichthouder voor gegevensbescherming aan het bij artikel 68 van Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming om die lijsten overeenkomstig artikel 70, lid 1, onder e), van die verordening te onderzoeken, met name wanneer zij betrekking hebben op verwerkingen door een verwerkingsverantwoordelijke die gezamenlijk optreedt met één of meer verwerkingsverantwoordelijken die geen instellingen of organen van de Unie zijn.

7.   De beoordeling bevat ten minste:

a)

een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden;

b)

een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;

c)

een beoordeling van de in lid 1 bedoelde risico’s voor de rechten en vrijheden van betrokkenen, en

d)

de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

8.   Bij het beoordelen van het effect van de door andere verwerkers dan instellingen en organen van de Unie verrichte verwerkingen, en met name ter wille van een gegevensbeschermingseffectbeoordeling, wordt de naleving van de in artikel 40 van Verordening (EU) 2016/679 bedoelde goedgekeurde gedragscodes naar behoren in aanmerking genomen.

9.   De verwerkingsverantwoordelijke vraagt in voorkomend geval de betrokkenen of hun vertegenwoordigers naar hun mening over de voorgenomen verwerking, met inachtneming van de bescherming van algemene belangen of de beveiliging van verwerkingen.

10.   Wanneer verwerking op grond van artikel 5, lid 1, onder a) of b), haar rechtsgrond heeft in een op grond van de Verdragen vastgestelde rechtshandeling waarbij de specifieke verwerking of het geheel van verwerkingen in kwestie wordt geregeld, en er reeds als onderdeel van een aan de vaststelling van deze rechtshandeling voorafgaande algemene effectbeoordeling een gegevensbeschermingseffectbeoordeling is uitgevoerd, zijn de leden 1 tot en met 6 van dit artikel niet van toepassing, tenzij die rechtshandeling anders bepaalt.

11.   Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer er zich een verandering van het met de verwerkingen gepaard gaande risico voordoet.

Artikel 40

Voorafgaande raadpleging

1.   De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voorafgaand aan de verwerking wanneer een gegevensbeschermingseffectbeoordeling uit hoofde van artikel 39 uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die gelet op de beschikbare technologie en uitvoeringskosten redelijk zijn. De verwerkingsverantwoordelijke wint het advies van de functionaris voor gegevensbescherming in over de noodzaak van voorafgaande raadpleging.

2.   Wanneer de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, verstrekt hij binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en mag hij al zijn in artikel 58 bedoelde bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met zes weken worden verlengd. Bij een dergelijke verlenging stelt de Europese Toezichthouder voor gegevensbescherming de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging, van die verlenging in kennis, alsmede van de redenen voor de vertraging. Die termijnen kunnen worden opgeschort totdat de Europese Toezichthouder voor gegevensbescherming informatie heeft verkregen waarom hij met het oog op de raadpleging heeft verzocht.

3.   Wanneer de verwerkingsverantwoordelijke de Europese Toezichthouder voor gegevensbescherming op grond van lid 1 raadpleegt, verstrekt hij hem informatie over:

a)

indien van toepassing, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijke, de gezamenlijke verwerkingsverantwoordelijken en de verwerkers die bij de verwerking betrokken zijn;

b)

de doeleinden en de middelen van de voorgenomen verwerking;

c)

de maatregelen en waarborgen die ter bescherming van de rechten en vrijheden van betrokkenen op grond van deze verordening worden geboden;

d)

de contactgegevens van de functionaris voor gegevensbescherming;

e)

de gegevensbeschermingseffectbeoordeling waarin bij artikel 39 is voorzien, en

f)

alle andere informatie waar de Europese Toezichthouder voor gegevensbescherming om verzoekt.

4.   De Commissie kan door middel van een uitvoeringshandeling een lijst vaststellen van gevallen waarin de verwerkingsverantwoordelijke overleg dient te plegen met de Europese Toezichthouder voor gegevensbescherming en om diens voorafgaande toestemming dient te verzoeken wanneer hij met het oog op de vervulling van een taak van algemeen belang persoonsgegevens verwerkt, onder meer wanneer de verwerking van die gegevens verband houdt met sociale bescherming en volksgezondheid.

AFDELING 5

informatieverstrekking en legislatieve raadpleging

Artikel 41

Informatie en raadpleging

1.   Wanneer de instellingen en organen van de Unie bestuurlijke maatregelen en interne regels opstellen door een instelling of orgaan van de Unie, alleen of samen met anderen, informeren zij de Europese Toezichthouder voor gegevensbescherming.

2.   Wanneer de instellingen of organen van de Unie de in artikel 25 bedoelde interne voorschriften opstellen, raadplegen zij de Europese Toezichthouder voor gegevensbescherming.

Artikel 42

Legislatieve raadpleging

1.   De Commissie raadpleegt, na het vaststellen van voorstellen voor rechtshandelingen van aanbevelingen of van voorstellen aan de Raad op grond van artikel 218 VWEU, alsmede bij het opstellen van gedelegeerde handelingen of uitvoeringshandelingen, de Europese Toezichthouder voor gegevensbescherming wanneer er gevolgen zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

2.   Indien een in lid 1 bedoelde handeling van bijzonder belang is voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, kan de Commissie ook het Europees Comité voor gegevensbescherming raadplegen. In zulke gevallen coördineren de Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming hun werkzaamheden met het oog op het uitbrengen van een gezamenlijk advies.

3.   Het in de leden 1 en 2 bedoelde advies wordt schriftelijk verstrekt binnen een maximumtermijn van acht weken na de ontvangst van het verzoek om de in de leden 1 en 2 bedoelde raadpleging. De Commissie kan die termijn in spoedeisende gevallen en in andere omstandigheden waarin dat geboden is, bekorten.

4.   Dit artikel is niet van toepassing wanneer de Commissie op grond van Verordening (EU) 2016/679 gehouden is het Europees Comité voor gegevensbescherming te raadplegen.

AFDELING 6

functionaris voor gegevensbescherming

Artikel 43

Aanwijzing van de functionaris voor gegevensbescherming

1.   De instellingen en organen van de Unie wijzen elk een functionaris voor gegevensbescherming aan.

2.   Instellingen en organen van de Unie kunnen een enkele functionaris voor gegevensbescherming aanwijzen die voor verschillende instellingen en/of organen optreedt, rekening houdend met hun organisatiestructuur en omvang.

3.   De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de in artikel 45 bedoelde taken te vervullen.

4.   De functionaris voor gegevensbescherming is een personeelslid van de instelling of het orgaan van de Unie. instellingen en organen van de Unie kunnen, rekening houdend met hun omvang en indien geen gebruik gemaakt is van de mogelijkheid krachtens lid 2, een functionaris voor gegevensbescherming aanwijzen die zijn taken op grond van een dienstverleningsovereenkomst verricht.

5.   De instellingen en organen van de Unie maken de contactgegevens van de functionaris voor gegevensbescherming bekend en delen die mee aan de Europese Toezichthouder voor gegevensbescherming.

Artikel 44

Positie van de functionaris voor gegevensbescherming

1.   De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.   De instellingen en organen van de Unie ondersteunen de functionaris voor gegevensbescherming bij de vervulling van de in artikel 45 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingen en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van deze taken en het in stand houden van zijn deskundigheid.

3.   De instellingen en organen van de Unie zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. Hij wordt door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker.

4.   Betrokkenen kunnen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten uit hoofde van deze verordening.

5.   De functionaris voor gegevensbescherming en diens personeelsleden zijn met betrekking tot de uitvoering van hun taken overeenkomstig het Unierecht tot geheimhouding of vertrouwelijkheid gehouden.

6.   De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

7.   De functionaris voor gegevensbescherming kan door de verwerkingsverantwoordelijke en de verwerker, het betrokken personeelscomité en elke natuurlijke persoon worden geraadpleegd over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening, zonder de officiële weg te volgen. Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert de bepalingen van deze verordening schendt, onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht.

8.   De functionaris voor gegevensbescherming wordt aangewezen voor een periode van drie tot vijf jaar en kan opnieuw worden benoemd. Indien de functionaris voor gegevensbescherming niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet en alleen met instemming van de Europese Toezichthouder voor gegevensbescherming, kan hij door de instelling of het orgaan van de Unie waardoor hij is aangewezen, worden ontslagen.

9.   Nadat hij is aangewezen, wordt de functionaris voor gegevensbescherming door de instelling of het orgaan van de Unie waardoor hij is aangewezen, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.

Artikel 45

Taken van de functionaris voor gegevensbescherming

1.   De functionaris voor gegevensbescherming vervult de volgende taken:

a)

de verwerkingsverantwoordelijke of de verwerker en de werknemers die de verwerking verrichten, informeren en adviseren over hun verplichtingen op grond van deze verordening en andere Unierechtelijke gegevensbeschermingsbepalingen;

b)

op onafhankelijke wijze zorgen voor de interne toepassing van deze verordening en toezien op naleving van deze verordening, van andere toepasselijke Unierechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de ermee verband houdende audits;

c)

ervoor zorgen dat de betrokkenen in kennis worden gesteld van hun rechten en plichten op grond van deze verordening;

d)

desgevraagd advies verstrekken met betrekking tot de noodzaak van een melding of mededeling inzake een inbreuk in verband met persoonsgegevens op grond van de artikelen 34 en 35;

e)

desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering ervan op grond van artikel 39 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van een gegevensbeschermingseffectbeoordeling;

f)

desgevraagd advies verstrekken met betrekking tot de noodzaak van voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming op grond van artikel 40 en de Europese Toezichthouder voor gegevensbescherming raadplegen in geval van twijfels over de noodzaak van voorafgaande raadpleging;

g)

ingaan op verzoeken van de Europese Toezichthouder voor gegevensbescherming; binnen het kader van diens bevoegdheden, samenwerken met de Europese Toezichthouder voor gegevensbescherming en deze raadplegen, op diens verzoek of op eigen initiatief;

h)

erop toezien dat de verwerkingen geen afbreuk doen aan de rechten en vrijheden van de betrokkenen.

2.   De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de verwerkingsverantwoordelijke en de verwerker en hun advies verstrekken over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming. Voorts kan hij, op eigen initiatief of op verzoek van de verwerkingsverantwoordelijke of de verwerker, van het betrokken personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij kennis heeft gekregen, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft, dan wel aan de verwerkingsverantwoordelijke of de verwerker.

3.   Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door elke instelling of elk orgaan van de Unie vastgesteld. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

HOOFDSTUK V

DOORGIFTEN VAN PERSOONSGEGEVENS AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 46

Algemeen beginsel inzake doorgiften

Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie naar een ander derde land of aan een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.

Artikel 47

Doorgiften op basis van adequaatheidsbesluiten

1.   Doorgifte van persoonsgegevens naar een derde land of aan een internationale organisatie kan plaatsvinden als de Commissie op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 heeft besloten dat het derde land, een gebied of een of meer nader bepaalde sectoren in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, en als de persoonsgegevens uitsluitend worden doorgegeven om de uitvoering van onder de bevoegdheid van de verwerkingsverantwoordelijke vallende taken mogelijk te maken.

2.   De instellingen of organen van de Unie stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarvoor zij van oordeel zijn dat een betrokken derde land, een betrokken gebied of één of meerdere betrokken nader bepaalde sectoren in een derde land, respectievelijk een betrokken internationale organisatie, geen adequaat beschermingsniveau in de zin van lid 1 waarborgt.

3.   De instellingen of organen van de Unie nemen de nodige maatregelen om te voldoen aan de besluiten waarbij de Commissie op grond van artikel 45, lid 3 of lid 5, van Verordening (EU) 2016/679 of op grond van artikel 36, lid 3 of lid 5, van Richtlijn (EU) 2016/680 vaststelt dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau waarborgt dan wel niet langer waarborgt.

Artikel 48

Doorgiften op basis van passende waarborgen

1.   Bij ontstentenis van een besluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680, mag een verwerkingsverantwoordelijke of een verwerker alleen persoonsgegevens aan een derde land of een internationale organisatie doorgeven als hij passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

2.   De in lid 1 bedoelde passende waarborgen kunnen worden geboden door de volgende instrumenten, zonder dat daarvoor specifieke toestemming van de Europese Toezichthouder voor gegevensbescherming is vereist:

a)

een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;

b)

standaardbepalingen inzake gegevensbescherming die door de Commissie volgens de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn vastgesteld;

c)

standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld en die door de Commissie op grond van de in artikel 96, lid 2, bedoelde onderzoeksprocedure zijn goedgekeurd;

d)

bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen op grond van artikel 46, lid 2, onder b), e), en f), van Verordening (EU) 2016/679, wanneer de verwerker geen instelling of orgaan van de Unie is.

3.   Onder voorbehoud van de toestemming van de Europese Toezichthouder voor gegevensbescherming kunnen de in lid 1 bedoelde passende waarborgen ook worden geboden door met name:

a)

contractbepalingen tussen de verwerkingsverantwoordelijke of de verwerker en de verwerkingsverantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens in het derde land of de internationale organisatie, of

b)

bepalingen die moeten worden opgenomen in administratieve regelingen tussen overheidsinstanties of -organen, waaronder afdwingbare en effectieve rechten van betrokkenen.

4.   Toestemmingen die de Europese Toezichthouder voor gegevensbescherming op grond van artikel 9, lid 7, van Verordening (EG) nr. 45/2001 heeft verleend, blijven geldig totdat zij door de Europese Toezichthouder voor gegevensbescherming, indien nodig, worden gewijzigd, vervangen of ingetrokken.

5.   De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.

Artikel 49

Niet bij Unierecht toegestane doorgiften of verstrekkingen

Elke rechterlijke uitspraak en elke beslissing van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd is op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde land en de Unie, onverminderd andere gronden voor doorgifte op grond van dit hoofdstuk.

Artikel 50

Afwijkingen voor specifieke situaties

1.   Bij ontstentenis van een adequaatheidsbesluit op grond van artikel 45, lid 3, van Verordening (EU) 2016/679 of artikel 36, lid 3, van Richtlijn (EU) 2016/680 of van passende waarborgen op grond van artikel 48 van de onderhavige verordening, kan een doorgifte of reeks doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden als aan een van de volgende voorwaarden is voldaan:

a)

de betrokkene heeft uitdrukkelijk met de voorgestelde doorgifte ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen;

b)

de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen;

c)

de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst;

d)

de doorgifte is noodzakelijk wegens gewichtige redenen van algemeen belang;

e)

de doorgifte is noodzakelijk voor de instelling, uitoefening of onderbouwing van een rechtsvordering;

f)

de doorgifte is noodzakelijk voor de bescherming van de vitale belangen van de betrokkene of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven, of

g)

de doorgifte geschiedt vanuit een register dat krachtens het Unierecht is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het gegeven geval aan de in het Unierecht neergelegde voorwaarden voor raadpleging wordt voldaan.

2.   Lid 1, onder a), b) en c), is niet van toepassing op activiteiten die door instellingen of organen van de Unie worden verricht in de uitoefening van hun overheidsgezag.

3.   Het in lid 1, onder d), bedoelde algemeen belang moet zijn erkend in het Unierecht.

4.   Een doorgifte op grond van lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën van persoonsgegevens die in het register zijn opgeslagen, tenzij dat volgens het Unierecht is toegestaan. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer zij de beoogde ontvangers van de gegevens zijn.

5.   Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën persoonsgegevens aan een derde land of een internationale organisatie.

6.   De instellingen en organen van de Unie stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën van gevallen waarin dit artikel is toegepast.

Artikel 51

Internationale samenwerking voor de bescherming van persoonsgegevens

Ten aanzien van derde landen en internationale organisaties neemt de Europese Toezichthouder voor gegevensbescherming, in samenwerking met de Commissie en het Europees Comité voor gegevensbescherming, passende maatregelen om:

a)

procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;

b)

internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder meer door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover er passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;

c)

belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)

de uitwisseling en het documenteren van wetgeving en praktijken inzake de bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen.

HOOFDSTUK VI

EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING

Artikel 52

Europese Toezichthouder voor gegevensbescherming

1.   De Europese Toezichthouder voor gegevensbescherming wordt hierbij ingesteld.

2.   De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op gegevensbescherming, bij de verwerking van persoonsgegevens, door instellingen en organen van de Unie in acht worden genomen.

3.   De Europese Toezichthouder voor gegevensbescherming is met name belast met het toezien op en het verzekeren van de toepassing van deze verordening en van elk ander besluit van de Unie betreffende de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door een instelling of orgaan van de Unie, alsmede voor het verstrekken van advies aan de instellingen en organen van de Unie en aan de betrokkenen over alle aangelegenheden in verband met de verwerking van persoonsgegevens. Daartoe vervult de Europese Toezichthouder voor gegevensbescherming de bij artikel 57 opgedragen taken en oefent hij de bij artikel 58 verleende bevoegdheden uit.

4.   Verordening (EG) nr. 1049/2001 is van toepassing op documenten in het bezit van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming stelt gedetailleerde voorschriften vast voor de toepassing van Verordening (EG) nr. 1049/2001 met betrekking tot die documenten.

Artikel 53

Benoeming van de Europese Toezichthouder voor gegevensbescherming

1.   Het Europees Parlement en de Raad benoemen in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vijf jaar, op basis van een lijst van kandidaten die de Commissie na een openbare sollicitatieoproep opstelt. Deze sollicitatieoproep staat open voor alle belangstellenden in de gehele Unie. De door de Commissie opgestelde lijst van kandidaten is openbaar en bestaat uit ten minste drie kandidaten. De bevoegde commissie van het Europees Parlement kan op basis van de door de Commissie opgestelde lijst besluiten een hoorzitting te houden zodat zij een voorkeur kan uitspreken.

2.   De in lid 1 bedoelde lijst van kandidaten wordt samengesteld uit personen die alle waarborgen voor onafhankelijkheid bieden en die duidelijk over deskundigheid op het gebied van gegevensbescherming en over de vereiste ervaring en bekwaamheid beschikken om het ambt van Europese Toezichthouder voor gegevensbescherming uit te oefenen.

3.   De ambtstermijn van de Europese Toezichthouder voor gegevensbescherming kan eenmaal worden verlengd.

4.   De ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming eindigt wanneer:

a)

de Europese Toezichthouder voor gegevensbescherming wordt vervangen;

b)

de Europese Toezichthouder voor gegevensbescherming ontslag neemt;

c)

de Europese Toezichthouder voor gegevensbescherming wordt ontslagen of met pensioen moet gaan.

5.   De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie worden ontslagen, of kan zijn recht op pensioen of pensioenvervangende voordelen verliezen indien hij niet langer aan de voorwaarden voor de uitoefening van het ambt voldoet of op ernstige wijze is tekortgeschoten.

6.   In geval van normale opvolging en vrijwillig ontslag blijft de Europese Toezichthouder voor gegevensbescherming in functie totdat in zijn vervanging is voorzien.

7.   De artikelen 11 tot en met 14 en artikel 17 van het Protocol betreffende de voorrechten en immuniteiten van de Europese Unie gelden eveneens voor de Europese Toezichthouder voor gegevensbescherming.

Artikel 54

Statuut en algemene voorwaarden voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, personeel en financiële middelen

1.   De Europese Toezichthouder voor gegevensbescherming wordt beschouwd als gelijkwaardig aan een rechter van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.

2.   De Begrotingsautoriteit draagt er zorg voor dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn taken benodigde personele en financiële middelen beschikt.

3.   De begroting van de Europese Toezichthouder voor gegevensbescherming valt onder een specifieke begrotingslijn van de afdeling met betrekking tot administratieve uitgaven van de algemene begroting van de Unie.

4.   De Europese Toezichthouder voor gegevensbescherming wordt bijgestaan door een secretariaat. De Europese Toezichthouder voor gegevensbescherming benoemt de ambtenaren en andere personeelsleden van het secretariaat en is hun hiërarchische meerdere. Deze ambtenaren en personeelsleden staan uitsluitend onder zijn leiding. Hun aantal wordt ieder jaar in het kader van de begrotingsprocedure vastgesteld. Artikel 75, lid 2, van Verordening (EU) 2016/679 is van toepassing op de personeelsleden van de Europese Toezichthouder voor gegevensbescherming die betrokken zijn bij de uitvoering van de bij het Unierecht aan het Europees Comité voor gegevensbescherming opgedragen taken.

5.   De ambtenaren en de andere personeelsleden van het secretariaat van de Europese Toezichthouder voor gegevensbescherming zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Unie.

6.   De zetel van de Europese Toezichthouder voor gegevensbescherming is in Brussel.

Artikel 55

Onafhankelijkheid

1.   De Europese Toezichthouder voor gegevensbescherming treedt volledig onafhankelijk op bij de uitvoering van de taken en de uitoefening van de bevoegdheden die hem overeenkomstig deze verordening zijn toegewezen.

2.   Bij de uitvoering van zijn taken en de uitoefening van zijn bevoegdheden overeenkomstig deze verordening blijft de Europese Toezichthouder voor gegevensbescherming vrij van al dan niet rechtstreekse externe invloed en vraagt noch aanvaardt hij instructies van wie dan ook.

3.   De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde, beroepswerkzaamheden.

4.   Bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming integriteit en kiesheid.

Artikel 56

Beroepsgeheim

Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van hun officiële taken ter kennis is gekomen geldt voor de Europese Toezichthouder voor gegevensbescherming en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.

Artikel 57

Taken

1.   Onverminderd andere uit hoofde van deze verordening vastgestelde taken, verricht de Europese Toezichthouder voor gegevensbescherming de volgende taken:

a)

hij ziet toe op en treedt handhavend op ten aanzien van de toepassing van deze verordening door instellingen en organen van de Unie, met uitzondering van de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt;

b)

hij bevordert bij het brede publiek de bekendheid met en het inzicht in de risico’s, regels, waarborgen en rechten in verband met de verwerking. Bijzondere aandacht wordt besteed aan specifiek op kinderen gerichte activiteiten;

c)

hij maakt de verwerkingsverantwoordelijken en de verwerkers beter bekend met hun verplichtingen uit hoofde van deze verordening;

d)

hij verstrekt desgevraagd informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe in voorkomend geval samen met de nationale toezichthoudende autoriteiten;

e)

hij behandelt klachten van betrokkenen, of van organen, organisaties of verenigingen overeenkomstig artikel 67, onderzoekt de inhoud van de klacht in de mate waarin dat gepast is en stelt de klager binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit noodzakelijk is;

f)

hij verricht onderzoeken naar de toepassing van deze verordening, onder meer op basis van informatie die hij van een andere toezichthoudende autoriteit of een andere overheidsinstantie ontvangt;

g)

hij verleent, op eigen initiatief of op verzoek, advies aan alle instellingen en organen van de Unie over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van de verwerking van persoonsgegevens;

h)

hij volgt de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

i)

hij stelt de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardcontractbepalingen vast;

j)

hij stelt een lijst op met betrekking tot het vereiste inzake een gegevensbeschermingseffectbeoordeling op grond van artikel 39, lid 4, en houdt deze lijst bij;

k)

hij neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming;

l)

hij verzorgt overeenkomstig artikel 75 van Verordening (EU) 2016/679 het secretariaat van het Europees Comité voor gegevensbescherming;

m)

hij verstrekt advies over de in artikel 40, lid 2, bedoelde verwerking;

n)

hij geeft toestemming voor de in artikel 48, lid 3, bedoelde contractuele en andere bepalingen;

o)

hij houdt interne registers bij van inbreuken op deze verordening en van overeenkomstig artikel 58, lid 2, getroffen maatregelen;

p)

hij verricht alle andere taken die verband houden met de bescherming van persoonsgegevens, en

q)

hij stelt zijn reglement van orde vast.

2.   De Europese Toezichthouder voor gegevensbescherming faciliteert de indiening van klachten als bedoeld in lid 1, onder e), door het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

3.   De Europese Toezichthouder voor gegevensbescherming verricht zijn taken kosteloos voor de betrokkene.

4.   Wanneer verzoeken kennelijk ongegrond of buitensporig zijn, met name vanwege het repetitieve karakter ervan, kan de Europese Toezichthouder voor gegevensbescherming weigeren aan het verzoek gevolg te geven. Het is aan de Europese Toezichthouder voor gegevensbescherming om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

Artikel 58

Bevoegdheden

1.   De Europese Toezichthouder voor gegevensbescherming beschikt over de onderzoeksbevoegdheid om:

a)

de verwerkingsverantwoordelijke en de verwerker te gelasten alle voor de uitvoering van zijn taken vereiste informatie te verstrekken;

b)

onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;

c)

de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op deze verordening;

d)

van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van zijn taken;

e)

toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het Unierecht.

2.   De Europese Toezichthouder beschikt over de corrigerende bevoegdheid om:

a)

de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van deze verordening wordt gemaakt;

b)

de verwerkingsverantwoordelijke of de verwerker te berispen wanneer met verwerkingen inbreuk op bepalingen van deze verordening is gemaakt;

c)

zaken voor te leggen aan de betrokken gegevensverantwoordelijke of verwerker en zo nodig aan het Europees Parlement, de Raad en de Commissie;

d)

de verwerkingsverantwoordelijke of de verwerker te gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten op grond van deze verordening in te willigen;

e)

de verwerkingsverantwoordelijke of de verwerker te gelasten, waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van deze verordening;

f)

de verwerkingsverantwoordelijke te gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen;

g)

een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod, op te leggen;

h)

het rectificeren of wissen van persoonsgegevens of de beperking van de verwerking op grond van de artikelen 18, 19 en 20 te gelasten, alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, op grond van artikel 19, lid 2, en artikel 21;

i)

ingeval een instelling of orgaan van de Unie niet voldoet aan een van de onder d) tot en met h) en j) van dit lid bedoelde maatregelen, naargelang de omstandigheden van elke zaak, een administratieve geldboete op te leggen op grond van artikel 66;

j)

de opschorting van gegevensstromen naar een ontvanger in een lidstaat of een derde land of naar een internationale organisatie te gelasten.

3.   De Europese Toezichthouder voor gegevensbescherming heeft de machtigings- en adviesbevoegdheid om:

a)

betrokkenen te adviseren over de uitoefening van hun rechten;

b)

de verwerkingsverantwoordelijke advies te verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 40, en in overeenstemming met artikel 41, lid 2;

c)

op eigen initiatief dan wel op verzoek, aan instellingen en organen van de Unie en het publiek advies te verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens;

d)

de in artikel 29, lid 8, en artikel 48, lid 2, onder c), bedoelde standaardbepalingen inzake gegevensbescherming aan te nemen;

e)

toestemming te verlenen voor de in artikel 48, lid 3, onder a), bedoelde contractbepalingen;

f)

toestemming te verlenen voor de in artikel 48, lid 3, onder b), bedoelde administratieve regelingen;

g)

toestemming te verlenen voor verwerkingen uit hoofde van op grond van artikel 40, lid 4, vastgestelde uitvoeringshandelingen.

4.   De Europese Toezichthouder voor gegevensbescherming heeft de bevoegdheid het Hof van Justitie van de Europese Unie te adiëren onder de in de Verdragen genoemde voorwaarden en te interveniëren in vorderingen die bij het Hof van Justitie van de Europese Unie aanhangig zijn gemaakt.

5.   Op de uitoefening van de bevoegdheden die op grond van dit artikel aan de Europese Toezichthouder voor gegevensbescherming worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals vastgelegd in het Unierecht.

Artikel 59

Repliek door verwerkingsverantwoordelijken en verwerkers

Wanneer de Europese Toezichthouder voor gegevensbescherming de bevoegdheden uitoefent die hem uit hoofde van artikel 58, lid 2, onder a), b) en c), toekomen, deelt de betrokken verwerkingsverantwoordelijke of verwerker hem binnen een redelijke, door de Europese Toezichthouder voor gegevensbescherming te bepalen termijn, zijn standpunt mee, rekening houdend met de omstandigheden van elk geval. In zijn repliek beschrijft hij tevens de maatregelen die eventueel naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.

Artikel 60

Activiteitenverslag

1.   De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.

2.   De Europese Toezichthouder voor gegevensbescherming legt het in lid 1 bedoelde verslag voor aan de overige instellingen en organen van de Unie, die opmerkingen kunnen indienen met het oog op de eventuele bespreking van het verslag in het Europees Parlement.

HOOFDSTUK VII

SAMENWERKING EN CONSISTENTIE

Artikel 61

Samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten

De Europese Toezichthouder voor gegevensbescherming werkt samen met nationale toezichthoudende autoriteiten en met de gemeenschappelijke controleautoriteit opgericht krachtens artikel 25 van Besluit 2009/917/JBZ van de Raad (19) voor zover dat voor de uitoefening van hun onderscheiden taken nodig is, met name door met elkaar relevante informatie uit te wisselen, elkaar te verzoeken hun bevoegdheden uit te oefenen en te reageren op elkaars verzoeken.

Artikel 62

Gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten

1.   Wanneer in een handeling van de Unie naar dit artikel wordt verwezen, werken de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, actief samen om te waarborgen dat er doeltreffend toezicht wordt gehouden op grootschalige IT-systemen en op instellingen, organen en instanties van de Unie.

2.   Zij houden zich, voor zover noodzakelijk, elk binnen hun onderscheiden bevoegdheden en in het kader van hun verantwoordelijkheden, bezig met het uitwisselen van relevante informatie, het verlenen van onderlinge bijstand bij audits en inspecties, het onderzoeken van moeilijkheden inzake de uitlegging of toepassing van de onderhavige verordening of andere toepasselijke handelingen van de Unie, het bestuderen van problemen bij de uitoefening van onafhankelijk toezicht of de uitoefening van de rechten van betrokkenen, het opstellen van geharmoniseerde voorstellen om problemen op te lossen en het onder de aandacht brengen van gegevensbeschermingsrechten.

3.   Voor de in lid 2 vervatte doeleinden komen de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten ten minste tweemaal per jaar bijeen in het kader van het Europees Comité voor gegevensbescherming. Daartoe kan het Europees Comité voor gegevensbescherming indien noodzakelijk verdere werkmethoden vaststellen.

4.   Om de twee jaar zendt het Europees Comité voor gegevensbescherming een gezamenlijk activiteitenverslag over het gecoördineerde toezicht toe aan het Europees Parlement, de Raad en de Commissie.

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 63

Recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming

1.   Onverminderd een eventuele voorziening in rechte, een administratief beroep of een buitengerechtelijk beroep, heeft iedere betrokkene het recht een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreuk maakt op deze verordening.

2.   De Europese Toezichthouder voor gegevensbescherming houdt de indiener van de klacht op de hoogte van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte op grond van artikel 64.

3.   Indien de Europese Toezichthouder voor gegevensbescherming de klacht niet behandelt of de betrokkene niet binnen drie maanden informeert over de vooruitgang of het resultaat van de klacht, wordt de Europese Toezichthouder voor gegevensbescherming geacht een negatief besluit te hebben vastgesteld.

Artikel 64

Recht op een doeltreffende voorziening in rechte

1.   Het Hof van Justitie is bevoegd kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.

2.   Bij het Hof van Justitie kan tegen besluiten van de Europese Toezichthouder voor gegevensbescherming, met inbegrip van de besluiten op grond van artikel 63, lid 3, beroep worden ingesteld.

3.   Het Hof van Justitie heeft volledige rechtsmacht om de in artikel 66 bedoelde administratieve geldboeten te herbeoordelen. Het kan deze geldboeten binnen de grenzen van artikel 66 annuleren, verlagen of verhogen.

Artikel 65

Recht op schadevergoeding

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de instelling of het orgaan van de Unie schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

Artikel 66

Administratieve geldboeten

1.   De Europese Toezichthouder voor gegevensbescherming kan administratieve geldboeten opleggen aan instellingen en organen van de Unie, afhankelijk van de omstandigheden van elk afzonderlijk geval, wanneer een instelling of orgaan van de Unie geen gehoor geeft aan hetgeen de Europese Toezichthouder voor gegevensbescherming gelast op grond van artikel 58, lid 2, onder d) tot en met h) en j). Bij het besluit over de vraag of een administratieve geldboete wordt opgelegd en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met het volgende:

a)

de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

b)

de door de instelling of het orgaan van de Unie genomen maatregelen om de door betrokkenen geleden schade te beperken;

c)

de mate waarin de instelling of het orgaan van de Unie verantwoordelijk is, gezien de technische en organisatorische maatregelen die de instelling of het orgaan heeft uitgevoerd op grond van de artikelen 27 en 33;

d)

vergelijkbare eerdere inbreuken door de instelling of het orgaan van de Unie;

e)

de mate waarin er met de Europese Toezichthouder voor gegevensbescherming is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

f)

de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

g)

de wijze waarop de Europese Toezichthouder voor gegevensbescherming kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de instelling of het orgaan van de Unie de inbreuk heeft gemeld;

h)

de naleving van in artikel 58 genoemde maatregelen die eerder ten aanzien van de instelling of het orgaan van de Unie in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen. De procedures die leiden tot het opleggen van dergelijke geldboeten worden uitgevoerd binnen een redelijke termijn, rekening houdend met de omstandigheden van het geval alsook met de relevante maatregelen en procedures bedoeld in artikel 69.

2.   Inbreuken ten aanzien van de verplichtingen van de instelling of het orgaan van de Unie op grond van de artikelen 8, 12, 27 tot en met 33, 34, 35, 39, 40, 43, 44 en 45 zijn overeenkomstig lid 1 van dit lid onderworpen aan administratieve geldboeten tot 25 000 EUR per inbreuk en tot een totaal van 250 000 EUR per jaar.

3.   Inbreuken op de navolgende bepalingen door de instelling of het orgaan van de Unie zijn overeenkomstig lid 1 onderworpen aan administratieve geldboeten tot 50 000 EUR per inbreuk en tot een totaal van 500 000 EUR per jaar:

a)

de basisbeginselen inzake verwerking, met inbegrip van de voorwaarden voor toestemming, op grond van de artikelen 4, 5, 7 en 10;

b)

de rechten van de betrokkenen op grond van de artikelen 14 tot en met 24;

c)

de doorgiften van persoonsgegevens aan een ontvanger in een derde land of een internationale organisatie op grond van de artikelen 46 tot en met 50.

4.   Indien een instelling of orgaan van de Unie met betrekking tot dezelfde, daarmee verband houdende of voortgaande verwerkingen een inbreuk pleegt op meerdere bepalingen van deze verordening of meermaals inbreuk pleegt op dezelfde bepaling van deze verordening, is de totale administratieve geldboete niet hoger dan die voor de zwaarste inbreuk.

5.   Alvorens een besluit op grond van dit artikel te nemen, stelt de Europese Toezichthouder voor gegevensbescherming de instelling of het orgaan van de Unie ten aanzien waarvan hij een procedure volgt, in de gelegenheid om te worden gehoord over de punten van bezwaar van de Europese Toezichthouder voor gegevensbescherming. De Europese Toezichthouder voor gegevensbescherming baseert zijn besluiten uitsluitend op punten van bezwaar waarover de betrokken partijen opmerkingen hebben kunnen maken. De klagers worden nauw bij de procedure betrokken.

6.   Het recht van verdediging van de partijen wordt in de loop van de procedure ten volle geëerbiedigd. Zij hebben recht op toegang tot het bestand van de Europese Toezichthouder voor gegevensbescherming, onder voorbehoud van het gerechtvaardigde belang van andere personen of ondernemingen bij de bescherming van hun persoonsgegevens of bedrijfsgeheimen.

7.   De bedragen die worden geïnd door het opleggen van de geldboeten van dit artikel, worden beschouwd als ontvangsten voor de algemene begroting van de Unie.

Artikel 67

Vertegenwoordiging van betrokkenen

De betrokkenen hebben het recht organen, organisaties of verenigingen zonder winstoogmerk die op geldige wijze overeenkomstig het recht van de Unie of van een lidstaat zijn opgericht, het algemene belang dienende statutaire doelstellingen hebben en actief zijn op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen bij de Europese Toezichthouder voor gegevensbescherming, namens hem de in de artikelen 63 en 64 bedoelde rechten uit te oefenen en namens hem het in artikel 65 bedoelde recht op schadevergoeding uit te oefenen.

Artikel 68

Klachten van personeelsleden van de Unie

Eenieder die in dienst is van een instelling of orgaan van de Unie kan, ook zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen wegens een vermeende inbreuk op de in deze verordening vervatte bepalingen. Niemand mag nadeel ondervinden van het feit dat hij bij de Europese Toezichthouder voor gegevensbescherming een klacht heeft ingediend waarin op een dergelijke schending wordt gewezen.

Artikel 69

Sancties

Indien een ambtenaar of een ander personeelslid van de Unie de krachtens deze verordening op hem rustende verplichtingen opzettelijk of uit nalatigheid niet nakomt, kan hij aan een tucht- of andere maatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Personeelsstatuut.

HOOFDSTUK IX

VERWERKING VAN OPERATIONELE PERSOONSGEGEVENS DOOR INSTELLINGEN, ORGANEN EN INSTANTIES VAN DE UNIE BIJ DE UITOEFENING VAN ACTIVITEITEN DIE BINNEN HET TOEPASSINGSGEBIED VAN HOOFDSTUK 4 OF HOOFDSTUK 5 VAN TITEL V VAN HET DERDE DEEL VAN HET VWEU VALLEN

Artikel 70

Toepassingsgebied van het hoofdstuk

Dit hoofdstuk is uitsluitend van toepassing op de verwerking van operationele persoonsgegevens door instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, onverminderd specifieke gegevensbeschermingsregels die op die instelling, dat orgaan of die instantie van de Unie van toepassing zijn.

Artikel 71

Beginselen inzake verwerking van operationele persoonsgegevens

1.   Operationele persoonsgegevens:

a)

worden rechtmatig en behoorlijk verwerkt („rechtmatigheid en behoorlijkheid”);

b)

worden voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzameld en worden niet op een met die doeleinden onverenigbare wijze verwerkt („doelbinding”);

c)

zijn toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);

d)

zijn nauwkeurig en worden zo nodig bijgewerkt. Alle redelijke maatregelen moeten worden genomen om de operationele persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);

e)

worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de operationele persoonsgegevens worden verwerkt noodzakelijk is („opslagbeperking”);

f)

worden, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, onopzettelijke vernietiging of onopzettelijke beschadiging („integriteit en vertrouwelijkheid”).

2.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een van de doeleinden die zijn vermeld in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, voor een ander doel dan dat waarvoor de operationele persoonsgegevens worden verzameld, is toegelaten voor zover:

a)

de verwerkingsverantwoordelijke overeenkomstig het Unierecht gemachtigd is die operationele persoonsgegevens voor een dergelijk doel te verwerken, en

b)

de verwerking noodzakelijk is en in verhouding staat tot dat andere doel overeenkomstig het Unierecht.

3.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.

4.   De verwerkingsverantwoordelijke is verantwoordelijk voor de leden 1, 2 en 3 en kan de naleving ervan aantonen.

Artikel 72

Rechtmatigheid van verwerking van operationele persoonsgegevens

1.   Verwerking van operationele persoonsgegevens is alleen rechtmatig indien en voor zover verwerking noodzakelijk is voor de uitvoering van een taak door organen en instanties van de Unie bij het verrichten van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen en voor zover die verwerking gebaseerd is op Unierecht.

2.   Bij specifieke rechtshandelingen van de Unie tot regeling van verwerking binnen het toepassingsgebied van dit hoofdstuk wordt ten minste voorzien in nadere bepaling van de doelstellingen van verwerking, de te verwerken operationele persoonsgegevens, de verwerkingsdoelen en de termijnen voor de opslag van de operationele persoonsgegevens of voor de periodieke toetsing van de noodzaak van verdere opslag van de operationele persoonsgegevens.

Artikel 73

Onderscheid tussen verschillende categorieën van betrokkenen

De verwerkingsverantwoordelijke maakt, indien dit van toepassing is en voor zover mogelijk, een duidelijk onderscheid tussen de operationele persoonsgegevens van verschillende categorieën betrokkenen, zoals de categorieën die vermeld zijn in de rechtshandelingen tot oprichting van organen en instanties van de Unie.

Artikel 74

Onderscheid tussen operationele persoonsgegevens en controle van de kwaliteit van operationele persoonsgegevens

1.   De verwerkingsverantwoordelijke maakt, voor zover mogelijk, een onderscheid tussen operationele persoonsgegevens die op feiten zijn gebaseerd en operationele persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.

2.   De verwerkingsverantwoordelijke neemt alle redelijke maatregelen om ervoor te zorgen dat operationele persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert de verwerkingsverantwoordelijke, voor zover dat praktisch haalbaar is en indien dat relevant is, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld, bijvoorbeeld door middel van overleg met de bevoegde autoriteiten waarvan de gegevens afkomstig zijn. Voor zover mogelijk voegt de verwerkingsverantwoordelijke bij de doorgifte van operationele persoonsgegevens te allen tijde de noodzakelijke informatie toe aan de hand waarvan de ontvanger kan beoordelen of de operationele persoonsgegevens juist, volledig en betrouwbaar zijn, en in hoeverre zij actueel zijn.

3.   Indien blijkt dat onjuiste operationele persoonsgegevens zijn doorgezonden, of dat de operationele persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de betreffende operationele persoonsgegevens verbeterd of gewist, of wordt de verwerking ervan beperkt overeenkomstig artikel 82.

Artikel 75

Specifieke verwerkingsvoorwaarden

1.   Wanneer het Unierecht dat op de doorzendende verwerkingsverantwoordelijke van toepassing is, voorziet in specifieke verwerkingsvoorwaarden, stelt de verwerkingsverantwoordelijke de ontvanger van de operationele persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis.

2.   De verwerkingsverantwoordelijke eerbiedigt de specifieke verwerkingsvoorwaarden die door een doorzendende bevoegde autoriteit overeenkomstig artikel 9, leden 3 en 4, van Richtlijn (EU) 2016/680 worden voorgeschreven.

Artikel 76

Verwerking van bijzondere categorieën van operationele persoonsgegevens

1.   Verwerking van operationele persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, operationele persoonsgegevens over gezondheid of over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is voor operationele doeleinden, binnen het mandaat van het orgaan of de instantie van de Unie en met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene. Discriminatie van natuurlijke personen op grond van dergelijke persoonsgegevens is verboden.

2.   De functionaris voor gegevensbescherming wordt zonder onnodige vertraging in kennis gesteld van de toepassing van dit artikel.

Artikel 77

Geautomatiseerde individuele besluitvorming, waaronder profilering

1.   Uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, zijn verboden, tenzij het betrokken besluit is toegestaan krachtens het Unierecht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, en ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.

2.   De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten, vrijheden en de legitieme belangen van de betrokkene zijn getroffen.

3.   Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 76 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.

Artikel 78

Communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1.   De verwerkingsverantwoordelijke neemt redelijke maatregelen om de betrokkene de in artikel 79 bedoelde informatie te verstrekken, en doet iedere mededeling in verband met de artikelen 80 tot en met 84 en 92 betreffende verwerking aan de betrokkene in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige taal. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.

2.   De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 79 tot en met 84.

3.   De verwerkingsverantwoordelijke stelt de betrokkene zonder onnodige vertraging, en in elk geval uiterlijk drie maanden na ontvangst van diens verzoek, schriftelijk in kennis van het gevolg dat aan zijn verzoek is gegeven.

4.   De verwerkingsverantwoordelijke verstrekt de informatie uit hoofde van artikel 79 en elke communicatie of maatregel op grond van de artikelen 80 tot en met 84 en artikel 92 kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek. Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

5.   Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 80 tot en met 82 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.

Artikel 79

Aan de betrokkene ter beschikking te stellen of te verstrekken informatie

1.   De verwerkingsverantwoordelijke stelt de betrokkene ten minste de volgende informatie ter beschikking:

a)

de identiteit en contactgegevens van het orgaan of de instantie van de Unie;

b)

de contactgegevens van de functionaris voor gegevensbescherming;

c)

de doeleinden van de verwerking waarvoor de operationele persoonsgegevens zijn bestemd;

d)

het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens;

e)

het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om toegang tot en verbetering of wissing van hem betreffende operationele persoonsgegevens, en beperking van de verwerking van operationele persoonsgegevens betreffende de betrokkene.

2.   In aanvulling op de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke de betrokkene in de specifieke in het Unierecht voorziene gevallen de volgende verdere informatie om hem in staat te stellen zijn rechten uit te oefenen:

a)

de rechtsgrond van de verwerking;

b)

de periode gedurende welke de operationele persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

c)

in voorkomend geval, de categorieën van ontvangers van de operationele persoonsgegevens, ook in derde landen of internationale organisaties;

d)

indien noodzakelijk, extra informatie, in het bijzonder wanneer de operationele persoonsgegevens zonder medeweten van de betrokkene worden verzameld.

3.   De verwerkingsverantwoordelijke kan de verstrekking van de informatie aan de betrokkene op grond van lid 2 uitstellen, beperken of achterwege laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

Artikel 80

Recht van inzage van de betrokkene

De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over de vraag of hem betreffende operationele persoonsgegevens al dan niet worden verwerkt en, wanneer dat het geval is, om inzage te verkrijgen in die operationele persoonsgegevens en in de volgende informatie:

a)

de doeleinden van en de rechtsgrond voor de verwerking;

b)

de betrokken categorieën van operationele persoonsgegevens;

c)

de ontvangers of categorieën van ontvangers aan wie de operationele persoonsgegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties;

d)

indien mogelijk, de periode gedurende welke de operationele persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de gebruikte criteria om die termijn te bepalen;

e)

het bestaan van het recht om de verwerkingsverantwoordelijke te verzoeken om rectificatie of wissing van hem betreffende operationele persoonsgegevens of beperking van de verwerking van hem betreffende operationele persoonsgegevens;

f)

het bestaan van het recht om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming, en diens contactgegevens;

g)

melding van de operationele persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens.

Artikel 81

Beperking van het recht op inzage

1.   De verwerkingsverantwoordelijke kan het inzagerecht van de betrokkene geheel of gedeeltelijk beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

2.   In de in lid 1 bedoelde gevallen stelt de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie. De verwerkingsverantwoordelijke documenteert de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Deze informatie wordt desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

Artikel 82

Recht op rectificatie of wissing van operationele persoonsgegevens en beperking van de verwerking

1.   Iedere betrokkene heeft het recht om van de verwerkingsverantwoordelijke zonder onnodige vertraging verbetering van hem betreffende onjuiste operationele persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking heeft de betrokkene het recht om onvolledige operationele persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.

2.   De verwerkingsverantwoordelijke wist zonder onnodige vertraging operationele persoonsgegevens, en de betrokkene heeft het recht om van de verwerkingsverantwoordelijke te verkrijgen dat hem betreffende operationele persoonsgegevens zonder onnodige vertraging worden gewist, wanneer de verwerking een schending vormt van artikelen 71, artikel 72, lid 1, of artikel 76, of wanneer operationele persoonsgegevens moeten worden gewist om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

3.   In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:

a)

de juistheid van de persoonsgegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, of

b)

de persoonsgegevens als bewijsmateriaal moeten worden bewaard.

Wanneer de verwerking op grond van de eerste alinea, onder a), wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de beperking van de verwerking op te heffen.

Aan beperkingen onderworpen gegevens worden alleen gebruikt voor het doel ten behoeve waarvan zij niet zijn gewist.

4.   De verwerkingsverantwoordelijke stelt de betrokkene schriftelijk in kennis van een eventuele weigering tot verbetering of wissing van operationele persoonsgegevens of een beperking van de verwerking, en van de redenen voor die weigering. De verwerkingsverantwoordelijke kan de verstrekking van die informatie geheel of gedeeltelijk beperken, voor zover een dergelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

a)

belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)

nadelige gevolgen voor de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

c)

de openbare veiligheid van lidstaten te beschermen;

d)

de nationale veiligheid van lidstaten te beschermen;

e)

de rechten en vrijheden van anderen, zoals slachtoffers en getuigen, te beschermen.

De verwerkingsverantwoordelijke licht de betrokkene in over de mogelijkheid om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of beroep in te stellen bij het Hof van Justitie.

5.   De verwerkingsverantwoordelijke deelt de verbetering van de onjuiste operationele persoonsgegevens mee aan de bevoegde autoriteit waarvan de onjuiste operationele persoonsgegevens afkomstig zijn.

6.   Wanneer operationele persoonsgegevens zijn verbeterd of gewist, of wanneer de verwerking ervan is beperkt, op grond van de leden 1, 2 of 3, stelt de verwerkingsverantwoordelijke de ontvangers daarvan in kennis, en deelt hij hun mee dat zij de operationele persoonsgegevens dienen te rectificeren of te wissen dan wel de verwerking van de operationele persoonsgegevens onder hun verantwoordelijkheid dienen te beperken.

Artikel 83

Recht van toegang bij strafrechtelijke onderzoeken en procedures

Wanneer operationele persoonsgegevens afkomstig zijn van een bevoegde autoriteit, controleren de organen en instanties van de Unie, alvorens een besluit te nemen over het recht van toegang van een betrokkene, bij de betrokken bevoegde autoriteit of die persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures in de lidstaat van die bevoegde autoriteit werden verwerkt. Wanneer dat het geval is, wordt een besluit inzake het recht van toegang genomen in overleg en nauwe samenwerking met de betrokken bevoegde autoriteit.

Artikel 84

Uitoefening van rechten door de betrokkene en controle door de Europese Toezichthouder voor gegevensbescherming

1.   In de gevallen bedoeld in artikel 79, lid 3, artikel 81 en artikel 82, lid 4, kunnen de rechten van de betrokkene ook worden uitgeoefend via de Europese Toezichthouder voor gegevensbescherming.

2.   De verwerkingsverantwoordelijke stelt de betrokkene in kennis van de mogelijkheid om op grond van lid 1 zijn rechten uit te oefenen via de Europese Toezichthouder voor gegevensbescherming.

3.   Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de Europese Toezichthouder voor gegevensbescherming de betrokkene er ten minste van in kennis dat hij alle noodzakelijke controles of een evaluatie heeft uitgevoerd. De Europese Toezichthouder voor gegevensbescherming stelt de betrokkene ook in kennis van zijn recht om beroep in te stellen bij het Hof van Justitie.

Artikel 85

Gegevensbescherming door ontwerp en door standaardinstellingen

1.   Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, die aan de verwerking zijn verbonden, gaat de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, over tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke, en ter bescherming van de rechten van de betrokkenen.

2.   De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen operationele persoonsgegevens worden verwerkt die toereikend, ter zake dienend en niet bovenmatig zijn in verhouding tot het doeleinde waarvoor zij worden verwerkt. Die verplichting geldt voor de hoeveelheid verzamelde operationele persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid ervan. Deze maatregelen zorgen er met name voor dat operationele persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

Artikel 86

Gezamenlijke verwerkingsverantwoordelijken

1.   Indien twee of meerdere verwerkingsverantwoordelijken, of één of meer verwerkingsverantwoordelijken samen met één of meer andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie, gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van hun verplichtingen inzake gegevensbescherming vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikel 79 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij en voor zover de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken zijn vastgesteld bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de gezamenlijke verwerkingsverantwoordelijken van toepassing is. In de regeling kan een contactpunt voor betrokkenen worden aangewezen.

2.   Uit de in lid 1 bedoelde regeling blijkt duidelijk welke rol de gezamenlijke verwerkingsverantwoordelijken respectievelijk vervullen, en wat hun respectieve verhouding met de betrokkene is. De wezenlijke inhoud van de regeling wordt aan de betrokkene beschikbaar gesteld.

3.   Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kan de betrokkene zijn rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

Artikel 87

Verwerker

1.   Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening en van de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.

2.   De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.

3.   De verwerking door een verwerker wordt geregeld in een overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort operationele persoonsgegevens en de categorieën betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven. Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:

a)

uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;

b)

waarborgt dat de tot het verwerken van de operationele persoonsgegevens gemachtigden zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;

c)

de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;

d)

na afloop van de verwerkingsdiensten, naargelang van de keuze van de verwerkingsverantwoordelijke, alle operationele persoonsgegevens wist of deze aan de verwerkingsverantwoordelijke terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de operationele persoonsgegevens volgens het Unierecht of het lidstatelijke recht verplicht is;

e)

de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te tonen;

f)

aan de in lid 2 en in dit lid bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.

4.   De in lid 3 bedoelde overeenkomst of andere rechtshandeling is in schriftelijke vorm, daaronder begrepen in elektronische vorm, opgesteld.

5.   Indien een verwerker in strijd met deze verordening of de rechtshandeling tot oprichting van de verwerkingsverantwoordelijke handelt door de doeleinden en middelen van de verwerking te bepalen, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

Artikel 88

Bijhouden van logbestanden

1.   De verwerkingsverantwoordelijke houdt logbestanden bij voor de volgende verwerkingen in geautomatiseerde verwerkingssystemen: de verzameling, wijziging, inzage, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing van operationele persoonsgegevens. De logbestanden van raadpleging en bekendmaking maken het mogelijk de redenen voor en de datum en het tijdstip van die handelingen te achterhalen, alsook de identiteit van de persoon die operationele persoonsgegevens heeft geraadpleegd of bekendgemaakt, en voor zover mogelijk de identiteit van de ontvangers van die operationele persoonsgegevens.

2.   De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de operationele persoonsgegevens en voor strafrechtelijke procedures. Tenzij die logbestanden nodig zijn voor een lopende controle, worden ze na drie jaar verwijderd.

3.   De verwerkingsverantwoordelijke stelt de logbestanden op verzoek ter beschikking van zijn functionaris voor gegevensbescherming en van de Europese Toezichthouder voor gegevensbescherming.

Artikel 89

Gegevensbeschermingseffectbeoordeling

1.   Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van operationele persoonsgegevens.

2.   De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico’s, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de operationele persoonsgegevens te beschermen en aan te tonen dat aan de gegevensbeschermingsvoorschriften is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.

Artikel 90

Voorafgaande raadpleging van de Europese Toezichthouder voor gegevensbescherming

1.   De verwerkingsverantwoordelijke raadpleegt de Europese Toezichthouder voor gegevensbescherming voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:

a)

uit een gegevensbeschermingseffectbeoordeling krachtens artikel 89 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken, of

b)

de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt.

2.   De Europese Toezichthouder voor gegevensbescherming kan een lijst opstellen van de verwerkingen waarvoor op grond van lid 1 voorafgaande raadpleging moet plaatsvinden.

3.   De verwerkingsverantwoordelijke verstrekt de Europese Toezichthouder voor gegevensbescherming de in artikel 89 vermelde gegevensbeschermingseffectbeoordeling en, desgevraagd, alle andere informatie op grond waarvan de Europese Toezichthouder voor gegevensbescherming de conformiteit van de verwerking en met name de risico’s voor de bescherming van de operationele persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

4.   Indien de Europese Toezichthouder voor gegevensbescherming van oordeel is dat de in lid 1 bedoelde voorgenomen verwerking inbreuk zou maken op deze verordening of de rechtshandeling tot oprichting van het orgaan of de instantie van de Unie, met name indien de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft de Europese Toezichthouder voor gegevensbescherming binnen een maximumtermijn van zes weken na de ontvangst van het verzoek om raadpleging schriftelijk advies aan de verwerkingsverantwoordelijke. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De Europese Toezichthouder voor gegevensbescherming stelt de verwerkingsverantwoordelijke binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.

Artikel 91

Beveiliging van de verwerking van operationele persoonsgegevens

1.   De verwerkingsverantwoordelijke en de verwerker treffen, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen om een op de risico’s afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van bijzondere categorieën van operationele persoonsgegevens.

2.   Ten aanzien van geautomatiseerde verwerking treffen de verwerkingsverantwoordelijke en de verwerker, na een beoordeling van de risico’s, maatregelen om:

a)

te verhinderen dat onbevoegden toegang krijgen tot gegevensverwerkingsapparatuur („controle op de toegang tot de apparatuur”);

b)

te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of meenemen („controle op de gegevensdragers”);

c)

te voorkomen dat onbevoegden operationele persoonsgegevens invoeren of opgeslagen operationele persoonsgegevens lezen, wijzigen of verwijderen („opslagcontrole”);

d)

te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);

e)

ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de operationele persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);

f)

ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen operationele persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissie („transmissiecontrole”);

g)

ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke operationele persoonsgegevens wanneer en door wie in geautomatiseerde gegevensverwerkingssystemen zijn ingevoerd („invoercontrole”);

h)

te verhinderen dat onbevoegden operationele persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van operationele persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);

i)

ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);

j)

ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen operationele persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).

Artikel 92

Melding van een inbreuk in verband met persoonsgegevens aan de Europese Toezichthouder voor gegevensbescherming

1.   Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Europese Toezichthouder voor gegevensbescherming, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de Europese Toezichthouder voor gegevensbescherming niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging.

2.   In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

a)

de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk, de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en bestanden van operationele persoonsgegevens in kwestie;

b)

de naam en de contactgegevens van de functionaris voor gegevensbescherming;

c)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

d)

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

3.   Indien en voor zover het niet mogelijk is om alle in lid 2 bedoelde informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige vertraging in stappen worden verstrekt.

4.   De verwerkingsverantwoordelijke documenteert alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten in verband met de inbreuk ter zake van persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. Die documentatie stelt de Europese Toezichthouder voor gegevensbescherming in staat de naleving van dit artikel te controleren.

5.   Wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op operationele persoonsgegevens die zijn doorgezonden door of aan de bevoegde autoriteiten, deelt de verwerkingsverantwoordelijke de in lid 2 bedoelde informatie zonder onnodige vertraging aan de bevoegde autoriteiten mee.

Artikel 93

Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.   Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 92, lid 2, onder b), c) en d), bedoelde gegevens en aanbevelingen.

3.   De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:

a)

de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de operationele persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de operationele persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

b)

de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;

c)

de mededeling zou een onevenredige inspanning vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een vergelijkbare maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

4.   Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft gemeld, kan de Europese Toezichthouder voor gegevensbescherming, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een of meer van de in lid 3 bedoelde voorwaarden is voldaan.

5.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 79.

Artikel 94

Doorgifte van operationele persoonsgegevens aan derde landen en internationale organisaties

1.   Met inachtneming van de beperkingen en voorwaarden die zijn neergelegd in de rechtshandelingen tot oprichting van het orgaan of de instantie van de Unie, mag de verwerkingsverantwoordelijke operationele persoonsgegevens doorgeven aan een autoriteit van een derde land of aan een internationale organisatie voor zover die doorgifte noodzakelijk is voor de verrichting van de taken van de verwerkingsverantwoordelijke en enkel wanneer aan de voorwaarden van dit artikel is voldaan, te weten:

a)

de Commissie heeft overeenkomstig artikel 36, lid 3, van Richtlijn (EU) 2016/680 een adequaatheidsbesluit genomen waarbij wordt vastgesteld dat het derde land, een gebied of een verwerkingssector in dat derde land, of de internationale organisatie in kwestie een adequaat beschermingsniveau verzekert („adequaatheidsbesluit”);

b)

bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) is er een internationale overeenkomst gesloten tussen de Unie en dat derde land of die internationale organisatie op grond van artikel 218 VWEU waarin passende waarborgen zijn opgenomen ter bescherming van de privacy en de grondrechten en fundamentele vrijheden van natuurlijke personen;

c)

bij ontstentenis van een adequaatheidsbesluit van de Commissie krachtens punt a) of een internationale overeenkomst krachtens punt b), is er vóór de datum van toepassing van de rechtshandeling tot oprichting van het betrokken orgaan of de betrokken instantie van de Unie tussen dat orgaan of die instantie van de Unie en het derde land in kwestie een samenwerkingsovereenkomst gesloten op grond waarvan operationele persoonsgegevens mogen worden uitgewisseld.

2.   In de rechtshandelingen tot oprichting van de organen en instanties van de Unie kunnen meer specifieke bepalingen worden gehandhaafd of ingevoerd inzake de voorwaarden voor internationale doorgifte van operationele persoonsgegevens, in het bijzonder inzake de doorgifte middels passende waarborgen en uitzonderingen voor specifieke situaties.

3.   De verwerkingsverantwoordelijke publiceert op zijn website een lijst van onder a) bedoelde adequaatheidsbesluiten, overeenkomsten, administratieve regelingen en andere instrumenten met betrekking tot de doorgifte van operationele persoonsgegevens in overeenstemming met lid 1, en houdt deze lijst bij.

4.   De verwerkingsverantwoordelijke houdt een gedetailleerde administratie bij van alle op grond van dit artikel gemaakte overdrachten.

Artikel 95

Geheim van gerechtelijke onderzoeken en strafrechtelijke procedures

De rechtshandelingen tot oprichting van de organen of instanties van de Unie die van toepassing zijn wanneer deze activiteiten verrichten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, kunnen de Europese Toezichthouder voor gegevensbescherming ertoe verplichten om, ter uitvoering van zijn toezichthoudende taken, zo veel mogelijk rekening te houden met het geheim van gerechtelijke onderzoeken en strafrechtelijke procedures, overeenkomstig het Unierecht of het lidstatelijke recht.

HOOFDSTUK X

UITVOERINGSHANDELINGEN

Artikel 96

Comitéprocedure

1.   De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

HOOFDSTUK XI

TOETSING

Artikel 97

Toetsingsclausule

Uiterlijk op 30 april 2022 en vervolgens om de vijf jaar dient de Commissie bij het Europees Parlement en de Raad een verslag over de toepassing van deze verordening in, zo nodig vergezeld van passende wetgevingsvoorstellen.

Artikel 98

Toetsing van rechtshandelingen van de Unie

1.   Uiterlijk op 30 april 2022 evalueert de Commissie rechtshandelingen die op basis van de Verdragen zijn vastgesteld tot regeling van de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, teneinde:

a)

te beoordelen of zij in overeenstemming zijn met Richtlijn (EU) 2016/680 en hoofdstuk IX van deze verordening;

b)

vast te stellen of er discrepanties zijn die een belemmering kunnen vormen voor de uitwisseling van operationele persoonsgegevens tussen instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten op die gebieden en bevoegde autoriteiten, en

c)

vast te stellen of er discrepanties zijn die tot juridische versnippering van de gegevensbeschermingswetgeving in de Unie kunnen leiden.

2.   Op basis van deze toetsing kan de Commissie, om te zorgen voor een eenvormige en consequente bescherming van natuurlijke personen in verband met verwerking, passende wetgevingsvoorstellen indienen om met name hoofdstuk IX van deze verordening toe te passen op Europol en het Europees Openbaar Ministerie en om hoofdstuk IX van deze verordening indien nodig aan te passen.

HOOFDSTUK XII

SLOTBEPALINGEN

Artikel 99

Intrekking van Verordening (EG) nr. 45/2001 en van Besluit nr. 1247/2002/EG

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG worden ingetrokken met ingang van 11 december 2018. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit worden beschouwd als verwijzingen naar deze verordening.

Artikel 100

Overgangsmaatregelen

1.   Deze verordening doet geen afbreuk aan Besluit 2014/886/EU van het Europees Parlement en de Raad (20) en de huidige ambtstermijnen van de Europese Toezichthouder voor gegevensbescherming en de adjunct-toezichthouder.

2.   De adjunct-toezichthouder wordt beschouwd als gelijkwaardig aan de griffier van het Hof van Justitie wat betreft de vaststelling van zijn salaris, toelagen, ouderdomspensioen en elk ander in de plaats van een bezoldiging komend voordeel.

3.   Artikel 53, leden 4, 5 en 7, en de artikelen 55 en 56 van deze verordening gelden voor de huidige adjunct-toezichthouder tot het verstrijken van diens ambtstermijn.

4.   Tot het verstrijken van de ambtstermijn van de huidige adjunct-toezichthouder ondersteunt de adjunct-toezichthouder de Europese Toezichthouder voor gegevensbescherming bij diens taken en vervangt hij de Europese Toezichthouder voor gegevensbescherming wanneer deze afwezig is of verhinderd is om voornoemde taken te vervullen.

Artikel 101

Inwerkingtreding en toepassing

1.   Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.   Deze verordening is echter van toepassing op de verwerking van persoonsgegevens door Eurojust met ingang van 12 december 2019.

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Straatsburg, 23 oktober 2018.

Voor het Europees Parlement

De voorzitter

A. TAJANI

Voor de Raad

De voorzitter

K. EDTSTADLER


(1)  PB C 288 van 31.8.2017, blz. 107.

(2)  Standpunt van het Europees Parlement van 13 september 2018 (nog niet bekendgemaakt in het Publicatieblad) en besluit van de Raad van 11 oktober 2018.

(3)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

(4)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB L 119 van 4.5.2016, blz. 1).

(5)  Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PB L 119 van 4.5.2016, blz. 89).

(6)  Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).

(7)  Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70).

(8)  Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (Richtlijn privacy en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).

(9)  Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).

(10)  PB L 56 van 4.3.1968, blz. 1.

(11)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

(12)  Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende de Europese statistiek en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, Verordening (EG) nr. 322/97 van de Raad betreffende de communautaire statistiek en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van een Comité statistisch programma van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).

(13)  Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie van 1 juli 2002 betreffende het statuut en de algemene voorwaarden voor de uitoefening van de functie van Europees Europese Toezichthouder voor gegevensbescherming (PB L 183 van 12.7.2002, blz. 1).

(14)  PB C 164 van 24.5.2017, blz. 2.

(15)  Verordening (EU) 2016/794 van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de Besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB L 135 van 24.5.2016, blz. 53).

(16)  Verordening (EU) 2017/1939 van de Raad van 12 oktober 2017 betreffende nauwere samenwerking bij de instelling van het Europees Openbaar Ministerie („het EOM”) (PB L 283 van 31.10.2017, blz. 1).

(17)  Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende een informatieprocedure op het gebied van technische voorschriften en regels betreffende de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. 1).

(18)  Richtlijn 2008/63/EG van de Commissie van 20 juni 2008 betreffende de mededinging op de markten van telecommunicatie-eindapparatuur (PB L 162 van 21.6.2008, blz. 20).

(19)  Besluit 2009/917/JBZ van de Raad van 30 november 2009 inzake het gebruik van informatica op douanegebied (PB L 323 van 10.12.2009, blz. 20).

(20)  Besluit 2014/886/EU van het Europees Parlement en de Raad van 4 december 2014 tot benoeming van de Europese toezichthouder voor gegevensbescherming en van de adjunct-toezichthouder (PB L 351 van 9.12.2014, blz. 9).


21.11.2018   

NL

Publicatieblad van de Europese Unie

L 295/99


VERORDENING (EU) 2018/1726 VAN HET EUROPEES PARLEMENT EN DE RAAD

van 14 november 2018

betreffende het Agentschap van de Europese Unie voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA), tot wijziging van Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ van de Raad en tot intrekking van Verordening (EU) nr. 1077/2011

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 74, artikel 77, lid 2, onder a) en b), artikel 78, lid 2, onder e), artikel 79, lid 2, onder c), artikel 82, lid 1, onder d), artikel 85, lid 1, artikel 87, lid 2, onder a), en artikel 88, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Handelend volgens de gewone wetgevingsprocedure (1),

Overwegende hetgeen volgt:

(1)

Bij Verordening (EG) nr. 1987/2006 van het Europees Parlement en de Raad (2) en Besluit 2007/533/JBZ van de Raad (3) is het Schengeninformatiesysteem (SIS II) ingesteld. In Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ wordt bepaald dat de Commissie gedurende een overgangsperiode belast is met het operationele beheer van het centrale systeem van het SIS II (centrale SIS II). Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale SIS II en bepaalde aspecten van de communicatie-infrastructuur.

(2)

Bij Beschikking 2004/512/EG van de Raad (4) is het Visuminformatiesysteem (VIS) ingesteld. In Verordening (EG) nr. 767/2008 van het Europees Parlement en de Raad (5) wordt bepaald dat gedurende een overgangsperiode de Commissie verantwoordelijk is voor het operationele beheer van het VIS. Na die overgangsperiode wordt een beheersautoriteit belast met het operationele beheer van het centrale VIS en van de nationale interfaces, alsook met bepaalde aspecten van de communicatie-infrastructuur.

(3)

Bij Verordening (EG) nr. 2725/2000 van de Raad (6) is Eurodac ingesteld. Bij Verordening (EG) nr. 407/2002 van de Raad (7) zijn de nodige uitvoeringsbepalingen vastgesteld. Deze rechtshandelingen zijn bij Verordening (EU) nr. 603/2013 van het Europees Parlement en de Raad (8) ingetrokken en vervangen met ingang van 20 juli 2015.

(4)

Het Europees Agentschap voor het operationeel beheer van grootschalige informatietechnologiesystemen („IT-systemen”) op het gebied van vrijheid, veiligheid en recht, gewoonlijk eu-LISA genoemd, is opgericht bij Verordening (EU) nr. 1077/2011 van het Europees Parlement en de Raad (9) teneinde te voorzien in het operationele beheer van het SIS, het VIS en Eurodac en van bepaalde aspecten van de communicatie-infrastructuur, en mogelijk ook in het operationele beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, onder voorbehoud van de vaststelling van afzonderlijke Unierechtshandelingen. Verordening (EU) nr. 1077/2011 is bij Verordening (EU) nr. 603/2013 gewijzigd teneinde rekening te houden met de veranderingen die in Eurodac werden aangebracht.

(5)

Aangezien de beheersautoriteit juridisch, administratief en financieel autonoom diende te zijn, moest zij de vorm aannemen van een regelgevend agentschap met rechtspersoonlijkheid (het „Agentschap”). Er werd overeengekomen dat de zetel van het Agentschap in Tallinn (Estland) zou worden gevestigd. Aangezien de taken met betrekking tot de technische ontwikkeling en de voorbereidingen voor het operationeel beheer van het SIS II en het VIS reeds in Straatsburg (Frankrijk) werden verricht, en reeds een back-uplocatie voor deze systemen was gevestigd in Sankt Johann im Pongau (Oostenrijk), wat ook in overeenstemming is met de in de relevante Unierechtshandelingen bepaalde locaties van het SIS II en het VIS, dient deze situatie te worden bestendigd. Het blijft zo dat op deze twee locaties respectievelijk de taken in verband met het operationeel beheer van Eurodac worden verricht en een back-uplocatie voor Eurodac wordt gevestigd. Deze twee sites dienen ook de locatie te zijn voor de technische ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, respectievelijk voor een back-uplocatie waarmee ervoor kan worden gezorgd dat een falend grootschalig IT-systeem operationeel blijft. Teneinde de mogelijkheden voor het gebruik van de back-uplocatie zo groot mogelijk te maken, zou die site ook kunnen worden gebruikt voor de simultane bediening van systemen op voorwaarde dat zij in geval van falen van een of meer systemen in staat blijft de werking ervan te garanderen. Vanwege de kritieke aard van de systemen, waaraan hoge eisen worden gesteld op het gebied van beveiliging en beschikbaarheid, moet de raad van bestuur van het Agentschap (de raad van bestuur) de mogelijkheid hebben, wanneer de hostingcapaciteit van de bestaande technische locaties onvoldoende blijkt, een tweede afzonderlijke technische locatie voor te stellen in — afhankelijk van de vereisten — Straatsburg of in Sankt Johann im Pongau, dan wel op beide locaties, mits dit gerechtvaardigd is op basis van een onafhankelijke effectbeoordeling en kosten-batenanalyse. De raad van bestuur moet de Commissie raadplegen en rekening houden met haar standpunt voordat hij het Europees Parlement en de Raad (de „begrotingsautoriteit”) in kennis stelt van zijn voornemen om een onroerendgoedproject uit te voeren.

(6)

Sinds de start van de activiteiten van eu-LISA op 1 december 2012 heeft het Agentschap de taken op zich genomen waarmee de beheersautoriteit ten aanzien van het VIS bij Verordening (EG) nr. 767/2008 en Besluit 2008/633/JBZ van de Raad (10) is belast. Het heeft in april 2013, nadat SIS II in gebruik was gesteld, de taken overgenomen waarmee de beheersautoriteit ten aanzien van SIS II was belast bij Verordening (EG) nr. 1987/2006 en Besluit 2007/533/JBZ, en het heeft in juni 2013 de taken op zich genomen waarmee de Commissie ten aanzien van Eurodac was belast overeenkomstig Verordening (EG) nr. 2725/2000 en Verordening (EG) nr. 407/2002.

(7)

De eerste evaluatie van de werkzaamheden van het Agentschap, die in 2015-2016 is verricht op basis van een onafhankelijke externe evaluatie, leidde tot de conclusie dat het Agentschap zich op doeltreffende wijze kwijt van het operationele beheer van de grootschalige IT-systemen en andere taken waarmee het is belast, maar ook dat een aantal wijzigingen moet worden aangebracht in Verordening (EU) nr. 1077/2011; zo moeten de nog bij de Commissie berustende taken in verband met de communicatie-infrastructuur aan het Agentschap worden overgedragen. Voortbouwende op die externe evaluatie heeft de Commissie de ontwikkelingen op feitelijk, juridisch en beleidsgebied in aanmerking genomen en met name in haar verslag van 29 juni 2017 over het functioneren van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht (eu-LISA) (het beoordelingsrapport) voorgesteld het mandaat van het Agentschap uit te breiden met de taken die voortvloeien uit de door de medewetgevers goed te keuren wetgevingsvoorstellen waarbij het Agentschap met het beheer van nieuwe systemen wordt belast, en de taken bedoeld in de mededeling van de Commissie van 6 april 2016 getiteld „Krachtigere en slimmere informatiesystemen voor grenzen en veiligheid”, in het eindverslag van de deskundigengroep op hoog niveau inzake informatiesystemen en interoperabiliteit van 11 mei 2017 en in de mededeling van de Commissie van 16 mei 2017 getiteld „Zevende voortgangsverslag over de totstandbrenging van een echte en doeltreffende Veiligheidsunie”, zo nodig onder voorbehoud van de goedkeuring van de desbetreffende Unierechtshandelingen. In het bijzonder dient het Agentschap te worden belast met de ontwikkeling van oplossingen voor interoperabiliteit, die in de Mededeling van 6 april 2016 wordt omschreven als het vermogen van informatiesystemen om gegevens uit te wisselen en het delen van informatie mogelijk te maken. Waar van toepassing dienen maatregelen inzake interoperabiliteit rekening te houden met de mededeling van de Commissie van 23 maart 2017 getiteld „Europees interoperabiliteitskader — Implementatiestrategie”. In bijlage 2 bij deze mededeling zijn algemene richtsnoeren, aanbevelingen en beste praktijken opgenomen om bij de opzet, de implementatie en het beheer van Europese openbare diensten interoperabiliteit tot stand te brengen, of in ieder geval een omgeving tot stand te brengen die tot sterkere interoperabiliteit leidt.

(8)

In het evaluatieverslag werd tevens geconcludeerd dat het mandaat van het Agentschap moest worden uitgebreid om het Agentschap in staat te stellen de lidstaten advies te verlenen in verband met de aansluiting van de nationale systemen op de centrale systemen van de grootschalige IT-systemen die het beheert (de „systemen”), en desgevraagd ad_hocbijstand en ondersteuning te bieden aan de lidstaten alsook bijstand en ondersteuning te verlenen aan de diensten van de Commissie inzake technische kwesties die verband houden met nieuwe systemen.

(9)

Het Agentschap dient derhalve te worden belast met de opzet, de ontwikkeling en het operationele beheer van het inreis-uitreissysteem (EES), dat is ingesteld bij Verordening (EU) 2017/2226 van het Europees Parlement en de Raad (11).

(10)

Het Agentschap dient tevens te worden belast met het operationele beheer van DubliNet, een afzonderlijk beveiligd elektronisch transmissiekanaal dat op grond van artikel 18 van Verordening (EG) nr. 1560/2003 van de Commissie (12) is opgezet en dat door de bevoegde asielinstanties van de lidstaten moet worden gebruikt voor de uitwisseling van informatie over verzoekers om internationale bescherming.

(11)

Het Agentschap dient te worden belast met de opzet, de ontwikkeling en het operationele beheer van het Europees systeem voor reisinformatie en -autorisatie (Etias) dat is ingesteld bij Verordening (EU) 2018/1240 van het Europees Parlement en de Raad (13).

(12)

De kerntaak van het Agentschap dient te blijven bestaan in de uitvoering van taken voor het operationele beheer van SIS II, het VIS, Eurodac, het EES, DubliNet, het Etias, alsmede andere grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, indien daartoe wordt besloten. Het Agentschap dient tevens de verantwoordelijkheid te dragen voor technische maatregelen die dienen te worden genomen als gevolg van de niet-normatieve taken waarmee het is belast. Deze verantwoordelijkheid dient te gelden onverminderd de normatieve taken die krachtens de verschillende Unierechtshandelingen betreffende de systemen worden vervuld door de Commissie, of door de Commissie bijgestaan door een comité.

(13)

Het Agentschap moet in staat zijn technische oplossingen te implementeren met het oog op de naleving van de beschikbaarheidsvoorschriften die zijn vastgelegd in de Unierechtshandelingen met betrekking tot de systemen, evenwel met volledige inachtneming van de specifieke bepalingen van die handelingen wat betreft de technische architectuur van de respectieve systemen. Indien voor die technische oplossingen een duplicatie is vereist van een systeem of een duplicatie van onderdelen van een systeem, moet een onafhankelijke effectbeoordeling en kosten-batenanalyse worden uitgevoerd en een besluit worden genomen door de raad van bestuur na raadpleging van de Commissie. Die effectbeoordeling dient tevens een onderzoek te omvatten naar de behoeften met betrekking tot de hostingcapaciteit van de bestaande technische locaties in verband met de ontwikkeling van dergelijke technische oplossingen en met de mogelijke risico’s voor de bestaande operationele inrichting.

(14)

Het is niet langer gerechtvaardigd dat de Commissie bepaalde taken in verband met de communicatie-infrastructuur van de systemen behoudt en derhalve dienen deze taken, teneinde de samenhang van het beheer van de communicatie-infrastructuur te vergroten, te worden overgedragen aan het Agentschap. Voor de systemen die gebruikmaken van EuroDomain, een beveiligde communicatie-infrastructuur die wordt aangeboden door TESTA-ng („trans-Europese diensten voor telematica tussen overheidsdiensten — volgende generatie”) en die is ingesteld als onderdeel van het door Besluit nr. 922/2009/EG van het Europees Parlement en de Raad (14) tot stand gebrachte ISA-programma en is voortgezet als onderdeel van het door Besluit (EU) 2015/2240 van het Europees Parlement en de Raad (15) tot stand gebrachte ISA2-programma, dienen de taken met betrekking tot de uitvoering van de begroting, aanschaf en vernieuwing en contractuele aangelegenheden echter door de Commissie te worden behouden.

(15)

Het Agentschap moet in staat zijn externe particuliere entiteiten of organen overeenkomstig Verordening (EU, Euratom) 2018/1046 van het Europees Parlement en de Raad (16) te belasten met taken betreffende het leveren, opzetten, onderhouden en monitoren van de communicatie-infrastructuur. Het Agentschap moet over voldoende budgettaire en personele middelen beschikken, zodat het zijn opdrachten en taken zo min mogelijk in onderaanbesteding hoeft te geven aan externe particuliere entiteiten of organen.

(16)

Het Agentschap dient taken te blijven vervullen inzake opleiding met betrekking tot de technische toepassing van SIS II, het VIS, Eurodac en andere IT-systemen die in de toekomst aan het Agentschap worden toevertrouwd.

(17)

Teneinde bij te dragen aan de empirisch onderbouwde beleidsvoering van de Unie op het vlak van migratie en veiligheid, en aan de monitoring van het naar behoren functioneren van de systemen, moet het Agentschap statistieken verzamelen en publiceren, statistische rapporten maken en ze beschikbaar stellen aan de relevante actoren, overeenkomstig de Unierechtshandelingen met betrekking tot de systemen, bijvoorbeeld voor de monitoring van de toepassing van Verordening (EU) nr. 1053/2013 van de Raad (17) en met het oog op de uitvoering van risicoanalyses en kwetsbaarheidsbeoordelingen overeenkomstig Verordening (EU) 2016/1624 van het Europees Parlement en de Raad (18).

(18)

Voorts moet het mogelijk zijn het Agentschap te belasten met de opzet, de ontwikkeling en het operationeel beheer van andere grootschalige IT-systemen krachtens de artikelen 67 tot en met 89 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Mogelijke voorbeelden van dergelijke systemen zijn het gecentraliseerd systeem om vast te stellen welke lidstaten over informatie beschikken inzake veroordelingen van onderdanen van derde landen en staatlozen ter aanvulling en ondersteuning van het Europees Strafregisterinformatiesysteem (ECRIS-TCN-systeem) of het geautomatiseerde systeem voor grensoverschrijdende communicatie in civiele en strafzaken (e-Codex). Het Agentschap dient echter uitsluitend met dergelijke systemen te worden belast op basis van latere en afzonderlijke Unierechtshandelingen, nadat een effectbeoordeling is verricht.

(19)

Het mandaat van het Agentschap op onderzoeksgebied dient te worden uitgebreid om het Agentschap in staat te stellen proactiever op te treden en relevante en noodzakelijke technische wijzigingen voor te stellen van de systemen. Het Agentschap dient niet alleen in staat te zijn de uitvoering te monitoren van onderzoeksactiviteiten die van belang zijn voor het operationele beheer van de systemen, maar moet ook in staat zijn aan de uitvoering van relevante onderdelen van het kaderprogramma voor onderzoek en innovatie van de Europese Unie bij te dragen, indien de Commissie de desbetreffende bevoegdheden aan het Agentschap delegeert. Het Agentschap dient informatie over dergelijke monitoring ten minste eenmaal per jaar door te geven aan het Europees Parlement, de Raad en, wat de verwerking van persoonsgegevens betreft, aan de Europese Toezichthouder voor gegevensbescherming.

(20)

De Commissie moet over de mogelijkheid beschikken om het Agentschap de verantwoordelijkheid te geven voor de uitvoering van proefprojecten van experimentele aard, die zijn ontworpen om de haalbaarheid en het nut van een actie te testen; deze proefprojecten mogen zonder basishandeling worden uitgevoerd, overeenkomstig Verordening (EU, Euratom) 2018/1046. Bovendien moet de Commissie het Agentschap kunnen belasten met begrotingsuitvoeringstaken voor „conceptbewijzen” (bewijzen dat een bepaald concept uitvoerbaar is) die worden gefinancierd uit het instrument voor financiële steun voor de buitengrenzen en visa dat in het leven is geroepen bij Verordening (EU) nr. 515/2014 van het Europees Parlement en de Raad (19), overeenkomstig Verordening (EU, Euratom) 2018/1046, na het Europees Parlement daarvan in kennis te hebben gesteld. Het moet ook mogelijk zijn voor het Agentschap om testactiviteiten te plannen en te verrichten voor aangelegenheden die, strikt genomen, vallen onder deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, zoals het testen van virtualisatieconcepten. Bij de uitvoering van proefprojecten dient het Agentschap in het bijzonder aandacht te schenken aan de strategie voor informatiebeheer van de Europese Unie.

(21)

Het Agentschap dient de lidstaten op hun verzoek advies te verlenen in verband met de aansluiting van nationale systemen op de centrale systemen, als bepaald in de Unierechtshandelingen met betrekking tot die systemen.

(22)

Het Agentschap dient de lidstaten, op hun verzoek, en volgens de in deze verordening vastgestelde procedure, tevens ad-hocsteun te bieden, indien dat noodzakelijk is vanwege buitengewone uitdagingen of behoeften op veiligheids- of migratiegebied. Met name moet een lidstaat kunnen verzoeken om en rekenen op operationele en technische versterking indien hij aan welbepaalde delen van zijn buitengrenzen wordt geconfronteerd met specifieke onevenredige uitdagingen op het gebied van migratie als gevolg van een sterke instroom van migranten. Dergelijke versterkingen dienen in hotspotgebieden te worden geboden door ondersteuningsteams voor migratiebeheer, bestaande uit deskundigen van de betrokken agentschappen van de Unie. Indien in dit verband ondersteuning door het Agentschap is vereist met betrekking tot vraagstukken die verband houden met de systemen, dient de betrokken lidstaat een ondersteuningsverzoek te richten aan de Commissie, die — nadat zij heeft geoordeeld dat die ondersteuning daadwerkelijk gerechtvaardigd is — het verzoek tot ondersteuning onverwijld dient door te geven aan het Agentschap. Het Agentschap moet de raad van bestuur informeren over dergelijke verzoeken. De Commissie moet ook monitoren of het Agentschap tijdig op het verzoek om ad-hocsteun reageert. In het jaarlijkse activiteitenverslag van het Agentschap moet in detail verslag worden uitgebracht van de acties die het Agentschap heeft uitgevoerd om lidstaten ad-hocsteun te verlenen en van de in dat verband gemaakte kosten.

(23)

Het Agentschap dient desgevraagd tevens steun te verlenen aan de diensten van de Commissie inzake technische vraagstukken die met bestaande of nieuwe systemen samenhangen, met name ten behoeve van het opstellen van nieuwe voorstellen over door het Agentschap te beheren grootschalige IT-systemen.

(24)

Het dient mogelijk te zijn voor een groep lidstaten om het Agentschap te belasten met de ontwikkeling, het beheer of de hosting van een gemeenschappelijke IT-component, teneinde die groep te ondersteunen bij het implementeren van de technische aspecten van verplichtingen die voortvloeien uit de Unierechtshandelingen inzake gedecentraliseerde IT-systemen op het gebied van vrijheid, veiligheid en recht. Dit geldt onverminderd de verplichtingen van die lidstaten uit hoofde van de toepasselijke Unierechtshandelingen, met name wat de architectuur van die systemen betreft. Daarvoor dienen de voorafgaande toestemming van de Commissie en een positief besluit van de raad van bestuur vereist te zijn, alsmede een delegatieovereenkomst tussen de betrokken lidstaten en het Agentschap; de financiering dient volledig te geschieden door de betrokken lidstaten. Het Agentschap moet het Europees Parlement en de Raad informeren over de goedgekeurde delegatieovereenkomst en elke wijziging daarvan. Andere lidstaten moeten kunnen deelnemen aan dergelijke gemeenschappelijke IT-oplossingen op voorwaarde dat de delegatieovereenkomst in deze mogelijkheid voorziet en de nodige wijzigingen daartoe zijn aangebracht. Deze taak mag geen negatieve gevolgen hebben voor het operationele beheer van de systemen door het Agentschap.

(25)

Het feit dat het Agentschap wordt belast met het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, moet de specifieke regels betreffende die systemen onverlet laten. In het bijzonder zijn de specifieke regels inzake het doel, de toegangsrechten, de beveiligingsmaatregelen en andere vereisten op het gebied van gegevensbescherming ten volle van toepassing voor elk dergelijk systeem.

(26)

Teneinde doeltreffend toezicht te kunnen uitoefenen op het functioneren van het Agentschap, dienen de lidstaten en de Commissie vertegenwoordigd te zijn in de raad van bestuur. Deze raad van bestuur dient te beschikken over de nodige bevoegdheden, met name om het jaarlijkse werkprogramma vast te stellen, zijn taken met betrekking tot de begroting van het Agentschap te vervullen, de financiële regels die van toepassing zijn op het Agentschap vast te stellen en procedures vast te stellen voor het nemen van besluiten door de uitvoerend directeur in verband met de operationele taken van het Agentschap. De raad van bestuur dient die taken op efficiënte en transparante wijze uit te voeren. Na een door de Commissie georganiseerde passende selectieprocedure en na een hoorzitting van de voorgestelde kandidaten in de bevoegde commissie of commissies van het Europees Parlement moet de raad van bestuur ook een uitvoerend directeur benoemen.

(27)

Aangezien het aantal aan het Agentschap toevertrouwde grootschalige IT-systemen tegen 2020 behoorlijk zal zijn gestegen, en de taken van het Agentschap aanzienlijk worden uitgebreid, zal het personeelsbestand tot 2020 dienovereenkomstig aanzienlijk toenemen. De post van een plaatsvervangend uitvoerend directeur van het Agentschap moet derhalve worden gecreëerd, waarbij ook rekening gehouden wordt met het feit dat de taken in verband met de ontwikkeling en het operationele beheer van de systemen meer en specifiek toezicht zullen vereisen en dat de zetel en de technische locaties van het Agentschap verspreid zijn over drie lidstaten. De raad van bestuur moet de plaatsvervangend uitvoerend directeur benoemen.

(28)

Bij het beheer en de werking van het Agentschap dient rekening te worden gehouden met de beginselen van de gemeenschappelijke aanpak inzake de gedecentraliseerde agentschappen, die op 19 juli 2012 door het Europees Parlement, de Raad en de Commissie is aangenomen.

(29)

Wat SIS II betreft, dienen het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en de Europese Eenheid voor justitiële samenwerking (Eurojust), die krachtens Besluit 2007/533/JBZ beide recht hebben op toegang tot en directe bevraging van SIS II, de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van dat besluit op de agenda staat. Het Europese grens- en kustwachtagentschap, dat recht op toegang tot en bevraging van SIS II heeft krachtens Verordening (EU) 2016/1624 dient de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van die Verordening op de agenda staat. Europol, Eurojust en het Europees Grens- en kustwachtagentschap dienen elk een vertegenwoordiger te mogen benoemen in de adviesgroep SIS II die bij deze verordening wordt ingesteld.

(30)

Wat het VIS betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Besluit 2008/633/JBZ op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep VIS die bij deze verordening wordt ingesteld.

(31)

Wat Eurodac betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot de toepassing van Verordening (EU) nr. 603/2013 op de agenda staat. Europol dient een vertegenwoordiger te mogen benoemen in de adviesgroep Eurodac die bij deze verordening wordt ingesteld.

(32)

Wat het EES betreft, dient Europol de status van waarnemer te hebben in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2017/2226 op de agenda staat.

(33)

Wat het Etias betreft, dient Europol de status van waarnemer te krijgen in vergaderingen van de raad van bestuur, wanneer een vraagstuk met betrekking tot Verordening (EU) 2018/1240 op de agenda staat. Het Europees Grens- en kustwachtagentschap dient tevens de status van waarnemer te krijgen in de vergaderingen van de raad van bestuur wanneer een vraagstuk inzake het Etias met betrekking tot de toepassing van die Verordening tot instelling van het Etias op de agenda staat. Europol en het Europees Grens- en kustwachtagentschap dienen beide een vertegenwoordiger te mogen benoemen in de adviesgroep EES-Etias die bij deze verordening wordt ingesteld.

(34)

De lidstaten dienen in de raad van bestuur stemgerechtigd zijn inzake een grootschalig IT-systeem, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat systeem. Denemarken dient eveneens stemgerechtigd te zijn met betrekking tot een grootschalig IT-systeem, indien het op grond van artikel 4 van Protocol nr. 22 betreffende de positie van Denemarken, gehecht aan het Verdrag betreffende de Europese Unie (VEU) en het VWEU, beslist om de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten.

(35)

De lidstaten dienen een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien zij krachtens het Unierecht gebonden zijn door een Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem. Denemarken dient eveneens een lid in de adviesgroep van een grootschalig IT-systeem te benoemen, indien het op grond van artikel 4 van Protocol nr. 22 besluit de Unierechtshandeling betreffende de ontwikkeling, de instelling, de werking en het gebruik van dat welbepaalde systeem in nationaal recht om te zetten. Adviesgroepen dienen met elkaar samen te werken wanneer dat nodig is.

(36)

Teneinde de volledige zelfstandigheid en onafhankelijkheid van het Agentschap te waarborgen en het in staat te stellen de doelstellingen van deze verordening te verwezenlijken en de taken die het op grond van deze verordening heeft naar behoren te vervullen, dient aan het Agentschap een eigen en gepaste begroting worden verleend, met inkomsten uit de algemene begroting van de Unie. Overeenkomstig punt 31 van het Interinstitutioneel Akkoord van 2 december 2013 tussen het Europees Parlement, de Raad en de Commissie betreffende de begrotingsdiscipline, de samenwerking in begrotingszaken en een goed financieel beheer (20) moet over de financiering van het Agentschap overeenstemming worden bereikt tussen het Europees Parlement en de Raad. De begrotings- en de kwijtingsprocedure van de Unie dienen van toepassing te zijn. De controle van de rekeningen en van de wettigheid en regelmatigheid van de onderliggende verrichtingen dient door de Rekenkamer te worden verricht.

(37)

Ten behoeve van de vervulling van zijn taken en voor zover dat voor de uitvoering daarvan nodig is, dient het Agentschap te kunnen samenwerken met andere instellingen, organen en instanties van de Unie — met name die welke zijn ingesteld op het gebied van vrijheid, veiligheid en recht — ten aanzien van aangelegenheden die worden bestreken door deze verordening en de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen in het kader van overeenkomstig het Unierecht vastgestelde werkafspraken en binnen de grenzen van hun respectieve bevoegdheden. Indien zo bepaald door een Unierechtshandeling, moet het Agentschap ook de toelating krijgen om samen te werken met internationale organisaties en ander relevante entiteiten en over de mogelijkheid beschikken om met het oog daarop werkafspraken te maken. Deze werkafspraken dienen vooraf door de Commissie te worden goedgekeurd en dienen door de raad van bestuur te worden bekrachtigd. Het Agentschap dient voorts, indien nodig, het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging (Enisa), opgericht door Verordening (EU) nr. 526/2013 van het Europees Parlement en de Raad (21), te raadplegen en de aanbevelingen van dat agentschap met betrekking tot netwerkbeveiliging op te volgen.

(38)

Ten aanzien van de ontwikkeling en het operationeel beheer van de systemen moet het Agentschap Europese en internationale normen hanteren en de strengste professionele eisen in acht nemen, in het bijzonder de strategie voor informatiebeheer van de Europese Unie.

(39)

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (22) is van toepassing op de verwerking van persoonsgegevens door het Agentschap, onverminderd de bepalingen inzake gegevensbescherming vastgelegd in de Unierechtshandelingen betreffende de ontwikkeling, de instelling, de werking en het gebruik van de systemen, die in overeenstemming moeten zijn met Verordening (EU) 2018/1725. Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op Verordening (EU) 2018/1725 en de Unierechtshandelingen met betrekking tot de systemen, dient het Agentschap de aan de verwerking inherente risico’s te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico’s te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico’s en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico’s dient aandacht te worden besteed aan risico’s die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen. De Europese Toezichthouder voor gegevensbescherming dient bij het Agentschap toegang te verkrijgen tot alle informatie die hij voor zijn onderzoek nodig heeft. De Commissie heeft op grond van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (23) de Europese Toezichthouder voor gegevensbescherming geraadpleegd, die op 10 oktober 2017 advies heeft uitgebracht.

(40)

Met het oog op de transparante werking van het Agentschap dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (24) op het Agentschap van toepassing te zijn. Het Agentschap dient met betrekking tot zijn activiteiten de grootst mogelijke transparantie te betrachten, zonder afbreuk te doen aan de verwezenlijking van de doelstelling van zijn werkzaamheden. Het dient informatie over al zijn activiteiten openbaar maken. Het dient er tevens op toe te zien dat het publiek en alle belanghebbenden snel over zijn werkzaamheden worden geïnformeerd.

(41)

De activiteiten van het Agentschap moeten overeenkomstig artikel 228 VWEU onderworpen zijn aan het toezicht van de Europese Ombudsman.

(42)

Het Agentschap dient onderworpen te zijn aan Verordening (EU, Euratom) nr. 883/2013 van het Europees Parlement en de Raad (25) en moet toetreden tot het Interinstitutioneel Akkoord van 25 mei 1999 tussen het Europees Parlement, de Raad van de Europese Unie en de Commissie van de Europese Gemeenschappen betreffende de interne onderzoeken verricht door het Europees Bureau voor fraudebestrijding (OLAF) (26).

(43)

Verordening (EU) 2017/1939 van de Raad (27) betreffende de instelling van het Europees Openbaar Ministerie („EOM”) moet op het Agentschap van toepassing zijn.

(44)

Met het oog op open en transparante arbeidsvoorwaarden en gelijke behandeling van de personeelsleden moeten de personeelsleden (met inbegrip van de uitvoerend directeur en de plaatsvervangend uitvoerend directeur van het Agentschap) onderworpen zijn aan het Statuut van de ambtenaren van de Europese Unie („statuut van de ambtenaren”) en de Regeling welke van toepassing is op de andere personeelsleden van de Europese Unie („Regeling welke van toepassing is op de andere personeelsleden”), die zijn neergelegd in Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (28) (samen „het Statuut”), met inbegrip van de voorschriften inzake het beroepsgeheim of een gelijkwaardige geheimhoudingsplicht.

(45)

Aangezien het Agentschap een door de Unie opgericht orgaan is in de zin van Verordening (EU, Euratom) 2018/1046, dient het zijn financiële regels dienovereenkomstig vast te stellen.

(46)

Gedelegeerde Verordening (EU) nr. 1271/2013 (29) van de Commissie moet van toepassing zijn op het Agentschap.

(47)

Het bij deze verordening opgerichte Agentschap vervangt en is de opvolger van het Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht dat bij Verordening (EU) nr. 1077/2011 is opgericht. Derhalve moet het de rechtsopvolger zijn ten aanzien van alle overeenkomsten gesloten door, financiële verplichtingen van en eigendommen verworven door het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht. De onderhavige verordening moet de rechtsgeldigheid onverlet laten van de overeenkomsten, werkafspraken en memoranda van overeenstemming die door het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap zijn gesloten, onverminderd eventuele wijzigingen daarvan die op grond van de onderhavige verordening vereist zijn.

(48)

Teneinde het Agentschap in staat te stellen de taken van het bij Verordening (EU) nr. 1077/2011 opgerichte Europees Agentschap voor het operationeel beheer van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht zo goed mogelijk te vervullen, dienen er overgangsmaatregelen te worden vastgesteld, met name met betrekking tot de raad van bestuur, de adviesgroepen, de uitvoerend directeur en de door de raad van bestuur vastgestelde interne regels.

(49)

Het doel van de onderhavige verordening is een wijziging en uitbreiding van de bepalingen van Verordening (EU) nr. 1077/2011. Aangezien bij de onderhavige verordening talrijke en ingrijpende wijzigingen dienen te worden doorgevoerd, dient Verordening (EU) nr. 1077/2011, ter wille van de duidelijkheid, in haar geheel te worden vervangen met betrekking tot de lidstaten die erdoor worden gebonden. Het Agentschap dat bij de onderhavige verordening wordt opgericht, dient het bij Verordening (EU) nr. 1077/2011 opgerichte agentschap te vervangen en de functies ervan over te nemen, en deze laatste verordening dient derhalve te worden ingetrokken.

(50)

Daar de doelstellingen van deze verordening, namelijk de oprichting van een Agentschap op het niveau van de Unie dat belast is met het operationele beheer en, in voorkomend geval, de ontwikkeling van grootschalige IT-systemen op het gebied van vrijheid, veiligheid en recht, niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang en de gevolgen van de maatregel beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze verordening niet verder dan wat nodig is om deze doelstellingen te verwezenlijken.

(51)

Overeenkomstig de artikelen 1 en 2 van Protocol nr. 22 neemt Denemarken niet deel aan de vaststelling van deze verordening; deze is bijgevolg niet bindend voor, noch van toepassing op deze lidstaat. Aangezien deze verordening, voor zover zij betrekking heeft op SIS II, het VIS, het EES en het Etias, voortbouwt op het Schengenacquis, beslist Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden nadat de Raad heeft beslist over deze verordening of het deze in zijn interne recht zal omzetten. Overeenkomstig artikel 3 van de Overeenkomst tussen de Europese Gemeenschap en het Koninkrijk Denemarken betreffende de criteria en instrumenten om te bepalen welke staat verantwoordelijk is voor de behandeling van een asielverzoek dat wordt ingediend in Denemarken of een andere lidstaat van de Europese Unie en Eurodac voor de vergelijking van vingerafdrukken ten behoeve van een doeltreffende toepassing van de Overeenkomst van Dublin (30), stelt Denemarken de Commissie ervan in kennis of het de inhoud van deze verordening zal toepassen, voor zover zij betrekking heeft op Eurodac en DubliNet.

(52)

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, neemt het Verenigd Koninkrijk aan deze verordening deel overeenkomstig artikel 5, lid 1, van Protocol nr. 19 betreffende het Schengenacquis dat is opgenomen in het kader van de Europese Unie, gehecht aan het VEU en het VWEU, en overeenkomstig artikel 8, lid 2, van Besluit 2000/365/EG van de Raad (31). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006 en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan het Verenigd Koninkrijk niet deelneemt, overeenkomstig Besluit 2000/365/EG; het Verenigd Koninkrijk heeft de voorzitter van de Raad bij brief van 19 juli 2018 verzocht te mogen deelnemen aan deze verordening, overeenkomstig artikel 4 van Protocol nr. 19. Op grond van artikel 1 van Besluit (EU) 2018/1600 van de Raad (32) heeft het Verenigd Koninkrijk de machtiging verkregen aan deze verordening deel te nemen. Voor zover deze verordening voorts betrekking heeft op Eurodac en DubliNet, heeft het Verenigd Koninkrijk te kennen gegeven dat het aan de vaststelling en toepassing van deze verordening wenst deel te nemen bij brief van 23 oktober 2017 aan de voorzitter van de Raad, in overeenstemming met artikel 3 van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, gehecht aan het VEU en het VWEU. Het Verenigd Koninkrijk neemt derhalve deel aan de vaststelling van deze verordening, die bindend is voor en van toepassing is op het Verenigd Koninkrijk.

(53)

Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Besluit 2007/533/JBZ, zou Ierland in principe aan deze verordening kunnen deelnemen overeenkomstig artikel 5, lid 1, van Protocol nr. 19, en overeenkomstig artikel 6, lid 2, van Besluit 2002/192/EG van de Raad (33). Voor zover de bepalingen van deze verordening betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis waaraan Ierland niet deelneemt, overeenkomstig Besluit 2002/192/EG; Ierland heeft niet verzocht deel te nemen aan de vaststelling van deze verordening overeenkomstig artikel 4 van Protocol nr. 19. Ierland neemt derhalve niet deel aan de vaststelling van deze verordening en deze is niet bindend voor, noch van toepassing op deze lidstaat voor zover de bepalingen ervan een ontwikkeling vormen van het Schengenacquis en betrekking hebben op SIS II, zoals geregeld bij Verordening (EG) nr. 1987/2006, en op het VIS, het EES en het Etias. Voor zover de bepalingen van deze verordening voorts betrekking hebben op Eurodac en DubliNet, neemt Ierland, overeenkomstig de artikelen 1 en 2 en artikel 4 bis, lid 1, van Protocol nr. 21, niet deel aan de vaststelling van deze verordening, die derhalve niet bindend is voor, noch van toepassing is op deze lidstaat. Aangezien het in deze omstandigheden niet mogelijk is te verzekeren dat deze verordening in haar geheel toepasselijk is in Ierland, zoals vereist door artikel 288 VWEU, neemt Ierland niet deel aan de vaststelling van deze verordening en is deze niet bindend voor, noch van toepassing op deze lidstaat, onverminderd zijn rechten uit hoofde van de Protocollen nrs. 19 en 21.

(54)

Wat IJsland en Noorwegen betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (34), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG van de Raad (35). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap, de Republiek IJsland en het Koninkrijk Noorwegen betreffende de criteria en de mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat, in IJsland of in Noorwegen wordt ingediend (36). Bijgevolg dienen delegaties van de Republiek IJsland en het Koninkrijk Noorwegen, indien zij besluiten deze verordening in hun interne rechtsorde toe te passen, vertegenwoordigd te zijn in de raad van bestuur van het Agentschap. De Unie moet met IJsland en met het Koninkrijk Noorwegen een nadere regeling overeenkomen betreffende uitgebreidere voorschriften voor de deelname van deze twee landen aan de werkzaamheden van het Agentschap.

(55)

Wat Zwitserland betreft, vormt deze verordening, voor zover zij betrekking heeft op SIS II en het VIS, het EES en het Etias, een ontwikkeling van de bepalingen van het Schengenacquis, in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (37), die vallen onder het gebied bedoeld in artikel 1, punten A, B en G, van Besluit 1999/437/EG, in samenhang met artikel 3 van Besluit 2008/146/EG van de Raad (38). Met betrekking tot Eurodac en DubliNet is deze verordening een nieuwe maatregel in de zin van de overeenkomst tussen de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de criteria en mechanismen voor de vaststelling van de staat die verantwoordelijk is voor de behandeling van een asielverzoek dat in een lidstaat of in Zwitserland wordt ingediend (39). Bijgevolg dient de delegatie van de Zwitserse Bondsstaat, indien deze besluit deze verordening in zijn interne rech