Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32001R0045

    Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

    PB L 8 van 12/01/2001, p. 1–22 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)

    Dit document is verschenen in een speciale editie. (CS, ET, LV, LT, HU, MT, PL, SK, SL, BG, RO, HR)

    Legal status of the document No longer in force, Date of end of validity: 10/12/2018; opgeheven door 32018R1725

    ELI: http://data.europa.eu/eli/reg/2001/45/oj

    32001R0045

    Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

    Publicatieblad Nr. L 008 van 12/01/2001 blz. 0001 - 0022


    Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad

    van 18 december 2000

    betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens

    HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

    Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, inzonderheid op artikel 286,

    Gezien het voorstel van de Commissie(1),

    Gezien het advies van het Economisch en Sociaal Comité(2),

    Overeenkomstig de procedure van artikel 251 van het Verdrag(3),

    Overwegende hetgeen volgt:

    (1) In artikel 286 van het Verdrag is bepaald dat de besluiten van de Gemeenschap inzake de bescherming van personen met betrekking tot de inwerkingtreding en het vrije verkeer van persoonsgegevens op de communautaire instellingen en organen van toepassing moeten zijn.

    (2) Een volledig systeem voor de bescherming van persoonsgegevens vergt niet alleen de vaststelling van rechten voor de betrokkenen en van plichten voor de verwerkers van persoonsgegevens, maar ook passende sancties voor overtreders en toezicht door een onafhankelijke toezichthoudende autoriteit.

    (3) In artikel 286, lid 2, van het Verdrag is bepaald dat er een onafhankelijk controleorgaan moet worden ingesteld dat met het toezicht op de toepassing van die besluiten van de Gemeenschap op de communautaire instellingen en organen wordt belast.

    (4) Krachtens artikel 286, lid 2, van het Verdrag moeten zo nodig andere bepalingen terzake worden vastgesteld.

    (5) Er is een verordening nodig om aan natuurlijke personen wettelijk afdwingbare rechten toe te kennen, om de verplichtingen van de verantwoordelijken voor de verwerking binnen de communautaire instellingen en organen met betrekking tot de verwerking van gegevens vast te stellen en om een onafhankelijke toezichthoudende autoriteit op te richten die wordt belast met het toezicht op de verwerking van persoonsgegevens door communautaire instellingen en organen.

    (6) De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens die is opgericht bij artikel 29 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(4), is geraadpleegd.

    (7) Voor bescherming komen in aanmerking diegenen wier persoonsgegevens om welke reden ook door de communautaire instellingen of organen worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn.

    (8) De gegevensbeschermingsbeginselen moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon gelden. Om te bepalen of een persoon identificeerbaar is, moeten alle middelen in aanmerking worden genomen waarvan redelijkerwijs te verwachten valt dat zij door degene die voor de verwerking verantwoordelijk is, of door ieder ander worden gebruikt om de eerstgenoemde persoon te identificeren. De beschermingsbeginselen zijn niet van toepassing op gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is.

    (9) Bij Richtlijn 95/46/EG wordt de lidstaten de verplichting opgelegd om in verband met de verwerking van persoonsgegevens de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer, te beschermen, teneinde het vrije verkeer van persoonsgegevens in de Gemeenschap te waarborgen.

    (10) Bij Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector(5) wordt Richtlijn 95/46/EG gespecificeerd en aangevuld met betrekking tot de verwerking van persoonsgegevens in de telecommunicatiesector.

    (11) Voorts strekken verscheidene andere communautaire maatregelen, waaronder die betreffende de wederzijdse bijstand tussen de nationale autoriteiten en de Commissie, eveneens ertoe in de desbetreffende sectoren waarop die maatregelen betrekking hebben, Richtlijn 95/46/EG te specificeren en aan te vullen.

    (12) Er moet gezorgd worden voor een in de gehele Gemeenschap coherente en homogene toepassing van de regels inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

    (13) Doel is zorg te dragen voor zowel doeltreffende naleving van de regels inzake de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen als het vrije verkeer van persoonsgegevens tussen de lidstaten en de communautaire instellingen en organen of tussen die instellingen en organen onderling, voor met de uitoefening van hun respectieve bevoegdheden verband houdende doeleinden.

    (14) Hiertoe dienen maatregelen te worden vastgesteld die voor de communautaire instellingen en organen bindend zijn. Die maatregelen moeten van toepassing zijn op elke verwerking van persoonsgegevens door de communautaire instellingen en organen voorzover die verwerking plaatsvindt ten behoeve van de uitvoering van werkzaamheden die geheel of gedeeltelijk binnen het toepassingsgebied van het Gemeenschapsrecht vallen.

    (15) Als de verwerking door de communautaire instellingen of organen plaatsvindt ten behoeve van de uitvoering van werkzaamheden die buiten het toepassingsgebied van deze verordening vallen, inzonderheid die welke zijn bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, wordt de bescherming van de fundamentele rechten en vrijheden van personen gewaarborgd met inachtneming van artikel 6 van het Verdrag betreffende de Europese Unie. De toegang tot documenten, met inbegrip van de voorwaarden voor de toegang tot documenten die persoonsgegevens bevatten, valt onder regelingen die zijn vastgesteld op grond van artikel 255 van het Verdrag, waarvan het toepassingsgebied ook de titels V en VI van het Verdrag betreffende de EU bestrijkt.

    (16) De maatregelen mogen niet van toepassing zijn op organen buiten het communautaire kader en de Europese Toezichthouder voor gegevensbescherming mag niet bevoegd zijn tot het uitoefenen van toezicht op de verwerking van persoonsgegevens door dergelijke organen.

    (17) De bescherming van personen ten aanzien van de verwerking van persoonsgegevens in de Unie kan alleen dan doeltreffend zijn, als er samenhang is tussen de regels en procedures voor werkzaamheden die binnen verschillende juridische kaders vallen. Een eerste stap in die richting is gezet met de uitwerking van basisbeginselen voor de bescherming van persoonsgegevens op het gebied van de justitiële samenwerking in strafzaken, de politiële samenwerking en de samenwerking op douanegebied, en met de oprichting van een secretariaat voor de gemeenschappelijke controleautoriteiten die zijn ingesteld door de Overeenkomst tot oprichting van een Europese Politiedienst, de Overeenkomst inzake het gebruik van informatica op douanegebied en de Overeenkomst ter uitvoering van het in Schengen gesloten akkoord betreffende de afschaffing van de controles aan de gemeenschappelijke grenzen.

    (18) Deze verordening heeft geen gevolgen voor de rechten en verplichtingen van de lidstaten uit hoofde van de Richtlijnen 95/46/EG en 97/66/EG. Zij beoogt niet de wijziging van de geldende procedures en praktijken die legaal door de lidstaten worden toegepast op het gebied van nationale veiligheid, handhaving van de orde, preventie, opsporing, onderzoek en vervolging van strafbare feiten, met inachtneming van het Protocol betreffende de voorrechten en immuniteiten van de Europese Gemeenschappen en met inachtneming van het internationaal recht.

    (19) Wanneer de communautaire instellingen en organen van oordeel zijn dat er op de telecommunicatienetten van de lidstaten communicaties moeten worden afgetapt, treden zij overeenkomstig de toepasselijke nationale bepalingen in verbinding met de bevoegde autoriteiten van de lidstaten.

    (20) De op de communautaire instellingen en organen toepasselijke maatregelen moeten overeenstemmen met de bepalingen die zijn vastgesteld in verband met de harmonisatie van de nationale wettelijke bepalingen of in verband met de uitvoering van andere onderdelen van communautair beleid, met name inzake wederzijdse bijstand. Het kan evenwel noodzakelijk zijn die bepalingen te specificeren en aan te vullen waar het bescherming betreft bij de verwerking van persoonsgegevens door de communautaire instellingen of organen.

    (21) Dit geldt voor de rechten van de natuurlijke personen wier gegevens worden verwerkt, voor de verplichtingen van de communautaire instellingen of organen die de gegevens verwerken, en voor de aan de onafhankelijke, met het toezicht op de correcte toepassing van deze verordening belaste toezichthoudende autoriteit toe te kennen bevoegdheden.

    (22) De rechten van de betrokkene en de uitoefening van deze rechten doen geen afbreuk aan de verplichtingen die op de verantwoordelijke voor de verwerking rusten.

    (23) De onafhankelijke toezichthoudende autoriteit voert haar controletaken uit in overeenstemming met het Verdrag en met eerbiediging van de mensenrechten en de fundamentele vrijheden. Zij neemt bij haar onderzoeken het protocol inzake de voorrechten en immuniteiten alsmede het statuut van de ambtenaren en andere personeelsleden van de Europese Gemeenschappen in acht.

    (24) Er zullen technische maatregelen moeten worden vastgesteld die toegang, via de onafhankelijke toezichthoudende autoriteit, tot de door de functionarissen voor gegevensbescherming bijgehouden verwerkingsregisters mogelijk maken.

    (25) In het activiteitenverslag worden de besluiten van de onafhankelijke toezichthoudende autoriteit met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van in de verordening gedefinieerde gegevens bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de onafhankelijke toezichthoudende autoriteit rapporten over specifieke onderwerpen publiceren.

    (26) Bepaalde verwerkingen met die bijzondere risico's voor de rechten en vrijheden van de betrokkenen worden aan de voorafgaande controle van de onafhankelijke toezichthoudende autoriteit onderworpen. Een in het kader van deze voorafgaande controle gegeven advies, met inbegrip van het uitblijven van antwoord binnen de vastgestelde termijn, laat latere uitoefening door de onafhankelijke toezichthoudende autoriteit van haar bevoegdheden met betrekking tot die verwerking onverlet.

    (27) De verwerking van persoonsgegevens voor de vervulling van de taken die door de communautaire instellingen of organen in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens.

    (28) Voor een aantal gevallen wordt bepaald dat de verwerking van gegevens moet worden geregeld middels communautaire bepalingen of besluiten tot omzetting van communautaire bepalingen. Bij gebreke van dergelijke bepalingen en in afwachting van de aanneming daarvan kan de Europese Toezichthouder voor gegevensbescherming bij wijze van overgangsmaatregel de verwerking van dergelijke gegevens toestaan, mits er passende garanties worden geboden. Daarbij houdt hij met name rekening met de bepalingen die door de lidstaten zijn aangenomen om soortgelijke gevallen te regelen.

    (29) Deze gevallen hebben betrekking op de verwerking van gegevens over raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuigingen, vakbondslidmaatschap, alsmede de verwerking van gegevens over gezondheid en seksueel gedrag die noodzakelijk zijn vanwege de eerbiediging van de specifieke verplichtingen en rechten van de voor de verwerking verantwoordelijke op het gebied van het arbeidsrecht, of vanwege zwaarwegend algemeen belang. Hieronder vallen tevens de verwerking van gegevens inzake strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen, en de toestemming de betrokkene te onderwerpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid te beoordelen.

    (30) Het kan ter voorkoming van onbevoegd gebruik noodzakelijk zijn om toezicht uit te oefenen op de computernetwerken die onder zeggenschap van de communautaire instellingen of organen worden geëxploiteerd. De Europese Toezichthouder voor gegevensbescherming dient te bepalen of en onder welke voorwaarden dit mogelijk is.

    (31) De aansprakelijkheid bij overtreding van deze verordening wordt geregeld overeenkomstig artikel 288, tweede alinea, van het Verdrag.

    (32) Een of meer functionarissen voor gegevensbescherming dragen binnen elke instelling of elk communautair orgaan zorg voor de toepassing van de bepalingen van deze verordening en adviseren de verantwoordelijken voor de verwerking bij het nakomen van hun verplichtingen.

    (33) Verordening (EG) nr. 322/97 van de Raad van 17 februari 1997 betreffende de communautaire statistiek(6) is krachtens haar artikel 21 onverminderd Richtlijn 95/46/EG van toepassing.

    (34) Verordening (EG) nr. 2533/98 van de Raad van 23 november 1998 met betrekking tot het verzamelen van statistische gegevens door de Europese Centrale Bank(7) is van toepassing luidens artikel 8, lid 8, ervan, onverminderd Richtlijn 95/46/EG.

    (35) Verordening (Euratom, EEG) nr. 1588/90 van de Raad van 11 juni 1990 betreffende de toezending van onder de statistische geheimhoudingsplicht vallende gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen(8) houdt krachtens haar artikel 1, lid 2, geen afwijking in van de bijzondere communautaire of nationale bepalingen betreffende andere dan statistische geheimhouding.

    (36) Deze verordening beoogt niet de beperking van de speelruimte van de lidstaten bij de uitwerking van hun nationale wetgeving op het gebied van gegevensbescherming krachtens artikel 32 van Richtlijn 95/46/EG, overeenkomstig artikel 249 van het Verdrag,

    HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

    HOOFDSTUK I

    ALGEMENE BEPALINGEN

    Artikel 1

    Voorwerp van de verordening

    1. De instellingen en organen die bij of krachtens de Verdragen tot oprichting van de Europese Gemeenschappen zijn of worden ingesteld, hierna "communautaire instellingen of organen" genoemd, beschermen met betrekking tot de verwerking van persoonsgegevens, overeenkomstig deze verordening, de fundamentele rechten en vrijheden van natuurlijke personen, en met name hun recht op persoonlijke levenssfeer, en zij beperken noch verbieden het vrije verkeer van persoonsgegevens tussen hen of naar ontvangers die vallen onder de nationale wetgeving van lidstaten ter uitvoering van die Richtlijn 95/46/EG.

    2. De bij deze verordening ingestelde onafhankelijke toezichthoudende autoriteit, hierna "de Europese Toezichthouder voor gegevensbescherming" genoemd, houdt toezicht op de toepassing van deze verordening op alle door een communautaire instelling of een communautair orgaan verrichte verwerkingen.

    Artikel 2

    Definities

    Voor de doeleinden van deze verordening wordt verstaan onder:

    a) "persoonsgegevens", iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die voor zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit kenmerkend zijn;

    b) "verwerking van persoonsgegevens", hierna "verwerking" genoemd, elke bewerking, respectievelijk elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorgifte, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, wissen of vernietigen van gegevens;

    c) "bestand van persoonsgegevens", hierna "bestand" genoemd, elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

    d) "verantwoordelijke voor de verwerking", de communautaire instelling of het communautaire orgaan, het directoraat-generaal, de eenheid of enig andere organisatieafdeling, die, alleen of tezamen met andere(n), het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de middelen voor de verwerking bij een bijzonder communautair besluit worden vastgesteld, kan bij dat communautair besluit de verantwoordelijke voor de verwerking worden aangewezen of de specifieke criteria voor diens benoeming worden vastgesteld;

    e) "verwerker", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enige andere instelling die voor rekening van de verantwoordelijke voor de verwerking persoonsgegevens verwerkt;

    f) "derde", een natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of enige andere instelling, niet zijnde de betrokkene, noch de verantwoordelijke voor de verwerking, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking of de verwerker gemachtigd zijn om de gegevens te verwerken;

    g) "ontvanger", de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam aan wie, respectievelijk waaraan de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; instanties waaraan gegevens in het raam van een bijzondere onderzoekopdracht kunnen worden meegedeeld, worden evenwel niet als ontvangers beschouwd;

    h) "toestemming van de betrokkene", elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aangeeft te aanvaarden dat hem betreffende persoonsgegevens worden verwerkt.

    Artikel 3

    Werkingssfeer

    1. De bepalingen van deze verordening zijn van toepassing op de verwerking van persoonsgegevens door alle communautaire instellingen of organen, voorzover die verwerking plaatsvindt ten behoeve van de uitvoering van werkzaamheden die geheel of gedeeltelijk onder het toepassingsgebied van het Gemeenschapsrecht vallen.

    2. De bepalingen van deze verordening zijn van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.

    HOOFDSTUK II

    ALGEMENE VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS

    AFDELING 1

    BEGINSELEN BETREFFENDE DE KWALITEIT VAN DE GEGEVENS

    Artikel 4

    Kwaliteit van de gegevens

    1. De persoonsgegevens:

    a) moeten eerlijk en rechtmatig worden verwerkt;

    b) moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt. Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, mits de verantwoordelijke voor de verwerking passende garanties biedt, met name om te waarborgen dat de gegevens niet voor andere doeleinden zullen worden verwerkt en dat zij niet gebruikt zullen worden ter ondersteuning van maatregelen of besluiten betreffende een bepaalde persoon;

    c) moeten, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, adequaat, terzake dienend en niet buitensporig zijn;

    d) moeten nauwkeurig zijn en zo nodig worden bijgewerkt; alle redelijke maatregelen moeten worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, onnauwkeurig of onvolledig zijn, te wissen of te corrigeren;

    e) mogen in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. De communautaire instellingen of organen zorgen ervoor dat persoonsgegevens die voor historische, statistische of wetenschappelijke doeleinden langer dan de bedoelde periode moeten worden bewaard, ofwel alleen zo worden bewaard, dat zij anoniem worden, ofwel, indien zulks niet mogelijk is, alleen worden bewaard op voorwaarde dat de identiteit van de betrokkenen versleuteld wordt. De gegevens mogen in geen geval gebruikt worden voor andere dan historische, statistische of wetenschappelijke doeleinden.

    2. Op de verantwoordelijke voor de verwerking rust de plicht er zorg voor te dragen dat lid 1 wordt nageleefd.

    AFDELING 2

    BEGINSELEN BETREFFENDE DE TOELAATBAARHEID VAN GEGEVENSVERWERKING

    Artikel 5

    Rechtmatige verwerking

    Verwerking van persoonsgegevens mag slechts geschieden indien:

    a) het noodzakelijk is voor de vervulling, op grond van de verdragen tot oprichting van de Europese Gemeenschappen of andere, op basis van die verdragen vastgestelde wetgevingsbesluiten, van een taak van algemeen belang of voor de rechtmatige uitoefening van het aan de communautaire instelling of aan het communautaire orgaan of aan de derde aan wie de gegevens worden bekendgemaakt, opgedragen openbaar gezag, of

    b) het noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen, of

    c) het noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of

    d) de betrokkene daarvoor ondubbelzinnig toestemming heeft gegeven, of

    e) het noodzakelijk is ter bescherming van een vitaal belang van de betrokkene.

    Artikel 6

    Wijziging van doeleinden

    Onverminderd de artikelen 4, 5 en 10 geldt het volgende:

    1. Persoonsgegevens mogen voor andere doeleinden dan die waarvoor zij zijn verzameld, slechts worden verwerkt indien de wijziging van doel uitdrukkelijk is toegestaan door de interne regels van de communautaire instelling of van het communautaire orgaan.

    2. Uitsluitend met het oog op de beveiliging van en het toezicht op de verwerkingssystemen of -verrichtingen verzamelde persoonsgegevens mogen voor geen enkel ander doel worden gebruikt, behalve voor preventie, onderzoek, opsporing en vervolging van ernstige strafbare feiten.

    Artikel 7

    Doorgifte van persoonsgegevens binnen of tussen communautaire instellingen of organen

    Onverminderd de artikelen 4, 5, 6 en 10 geldt het volgende:

    1. Persoonsgegevens mogen binnen of tussen communautaire instellingen of organen slechts worden doorgegeven indien die gegevens noodzakelijk voor de rechtmatige uitoefening onder de bevoegdheid van de ontvanger begrepen taken zijn.

    2. Indien de gegevens op verzoek van de ontvanger worden doorgegeven, zijn zowel de verantwoordelijke voor de verwerking als de ontvanger verantwoordelijk voor de rechtmatigheid van de doorgifte.

    De verantwoordelijke voor de verwerking gaat de bevoegdheid van de ontvanger na en geeft een voorlopig oordeel over de noodzaak van de doorgifte van de gegevens. Bij twijfel over de noodzaak vraagt de verantwoordelijke voor de verwerking de ontvanger om nadere toelichting.

    De ontvanger draagt er zorg voor dat de noodzaak van de doorgifte van de gegevens achteraf kan worden geverifieerd.

    3. De ontvanger verwerkt de persoonsgegevens uitsluitend voor de doeleinden waarvoor ze werden doorgegeven.

    Artikel 8

    Doorgifte van persoonsgegevens aan ontvangers die onder Richtlijn 95/46/EG vallen, maar geen communautaire instellingen of organen zijn

    Onverminderd de artikelen 4, 5, 6 en 10 worden persoonsgegevens slechts aan onder de nationale wetgeving ter uitvoering van Richtlijn 95/46/EG vallende ontvangers doorgegeven,

    a) indien de ontvanger aantoont dat de gegevens nodig zijn voor de uitvoering van een taak die wordt verricht in het algemeen belang of ter uitoefening van het openbaar gezag, of

    b) indien de ontvanger de noodzaak van de doorgifte aantoont en er geen reden bestaat om aan te nemen dat de rechtmatige belangen van de betrokkene worden geschaad.

    Artikel 9

    Doorgifte van persoonsgegevens aan ontvangers die geen communautaire instelling of orgaan zijn en niet onder Richtlijn 95/46/EG vallen

    1. Persoonsgegevens worden slechts doorgegeven aan ontvangers die geen communautaire instelling of orgaan zijn en niet vallen onder de nationale wetgeving ter uitvoering van Richtlijn 95/46/EG, indien in het land van de ontvanger of in de ontvangende internationale organisatie een passend beschermingsniveau wordt gewaarborgd, en de gegevens strikt binnen het raam van de onder de bevoegdheid van de verantwoordelijke voor de verwerking vallende taken worden doorgegeven.

    2. Of het door het betrokken derde land of door de betrokken internationale organisatie geboden beschermingsniveau passend is, wordt beoordeeld in het licht van alle omstandigheden rond een doorgifte van gegevens of van een geheel van gegevens; in het bijzonder wordt aandacht geschonken aan de aard van de gegevens, aan het doel en de duur van de voorgenomen verwerking(en), aan het derde land of de internationale organisatie waarvoor de gegevens uiteindelijk bestemd zijn, aan de zowel algemene als sectorale rechtsregels die in het betrokken derde land of bij de betrokken internationale organisatie gelden en aan de voorschriften inzake beroepsethiek en geheimhouding die in het betrokken derde land of bij de betrokken internationale organisatie worden nageleefd.

    3. De communautaire instellingen of organen stellen de Commissie en de Europese Toezichthouder voor gegevensbescherming in kennis van alle gevallen waarvoor zij van oordeel zijn dat het betrokken derde land, respectievelijk de betrokken internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt.

    4. De Commissie stelt de lidstaten in kennis van de in lid 3 bedoelde gevallen.

    5. De communautaire instellingen of organen nemen de nodige maatregelen om te voldoen aan de besluiten waarbij de Commissie krachtens artikel 25, lid 4 en lid 6, van Richtlijn 95/46/EG vaststelt dat een derde land of een internationale organisatie al dan niet een passend beschermingsniveau waarborgt.

    6. In afwijking van de leden 1 en 2 kan de communautaire instelling of het communautaire orgaan persoonsgegevens doorgeven indien:

    a) de betrokkene daarvoor ondubbelzinnig toestemming heeft gegeven, of

    b) de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen, of

    c) de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke voor de verwerking en een derde, of

    d) de doorgifte noodzakelijk of wettelijk verplicht is vanwege zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of

    e) de doorgifte ter bescherming van het vitale belang van de betrokkene noodzakelijk is, of

    f) de doorgifte vanuit een register geschiedt dat krachtens de communautaire wetgeving is bedoeld om het publiek voor te lichten en dat door het publiek in het algemeen of door eenieder die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, voorzover in het gegeven geval aan de in de communautaire wetgeving neergelegde voorwaarden voor raadpleging wordt voldaan.

    7. Onverminderd lid 6 kan de Europese Toezichthouder voor gegevensbescherming toestemming geven voor één of meer doorgiften van persoonsgegevens naar een derde land of een internationale organisatie waar geen passend beschermingsniveau in de zin van de leden 1, 2 en 3 is gewaarborgd, wanneer de verantwoordelijke voor de verwerking voldoende waarborgen biedt voor de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, en voor de uitoefening van de daarmee samenhangende rechten; deze waarborgen kunnen met name voortvloeien uit passende contractuele clausules.

    8. De communautaire instellingen of organen stellen de Europese Toezichthouder voor gegevensbescherming in kennis van categorieën gevallen waarin zij de leden 6 en 7 hebben toegepast.

    AFDELING 3

    BIJZONDERE CATEGORIEËN VAN VERWERKING

    Artikel 10

    Verwerking van bijzondere categorieën van gegevens

    1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook de verwerking van gegevens die de gezondheid of het seksueel gedrag betreffen, is verboden.

    2. Lid 1 is niet van toepassing wanneer:

    a) de betrokkene uitdrukkelijk in een dergelijke verwerking heeft toegestemd, tenzij in de interne regels van de communautaire instelling of van het communautair orgaan is bepaald dat het in lid 1 bedoelde verbod niet door toestemming van de betrokkene ongedaan kan worden gemaakt, of

    b) de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de specifieke rechten van de verantwoordelijke voor de verwerking op het gebied van arbeidsrechtelijke verhoudingen, voorzover dit bij de Verdragen tot oprichting van de Europese Gemeenschappen of andere, op basis van die Verdragen vastgestelde wetgevingsbesluiten wordt toegestaan, of, indien nodig, voorzover de Europese Toezichthouder voor gegevensbescherming daarmee heeft ingestemd, en adequate garanties worden geboden, of

    c) de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een ander indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven, of

    d) de verwerking betrekking heeft op duidelijk door de betrokkene openbaar gemaakte gegevens of noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of

    e) de verwerking wordt uitgevoerd in het raam van de gerechtvaardigde activiteiten en met passende garanties van een organisatie zonder winstoogmerk, die een in een communautaire instelling of in een communautair orgaan geïntegreerde entiteit vormt en niet onderworpen is aan nationale wetgeving inzake de bescherming van persoonsgegevens krachtens artikel 4 van Richtlijn 95/46/EG, en waarvan de doelstelling op politiek, levensbeschouwelijk, godsdienstig of op vakbondsgebied gelegen is, mits de verwerking uitsluitend betrekking heeft op de leden van deze organisatie of op de personen die in verband met haar doelstellingen regelmatig contact met haar onderhouden, en de gegevens niet zonder toestemming van de betrokkenen aan derden worden bekendgemaakt.

    3. Lid 1 is niet van toepassing wanneer verwerking van de gegevens noodzakelijk is voor doeleinden van preventieve geneeskunde, medische diagnose, zorgverstrekking, behandeling of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een aan het beroepsgeheim onderworpen gezondheidswerker of door een ander voor wie een gelijkwaardige geheimhoudingsplicht geldt.

    4. Mits passende waarborgen worden geboden, kunnen om redenen van zwaarwegend algemeen belang nog andere afwijkingen dan die van lid 2 worden vastgesteld bij het Verdrag tot oprichting van de Europese Gemeenschappen of andere, op basis van die Verdragen vastgestelde wetgevingsbesluiten, of, indien nodig, bij besluit van de Europese Toezichthouder voor gegevensbescherming.

    5. Verwerkingen van gegevens inzake overtredingen, strafrechtelijke veroordelingen of veiligheidsmaatregelen mogen slechts worden uitgevoerd, indien het Verdrag tot oprichting van de Europese Gemeenschappen of andere, op basis van die Verdragen vastgestelde wetgevingsbesluiten het toestaan of, indien nodig, indien de Europese Toezichthouder voor gegevensbescherming daarin toestemt, mits er gezorgd is voor passende bijzondere waarborgen.

    6. De Europese Toezichthouder voor gegevensbescherming bepaalt de voorwaarden waaronder een persoonsnummer of een ander algemeen toegepast identificatiemiddel door een communautaire instelling of een communautair orgaan mag worden verwerkt.

    AFDELING 4

    MEDEDELING AAN DE BETROKKENE

    Artikel 11

    Mee te delen informatie in geval van gegevensverzameling bij de betrokkene

    1. De verantwoordelijke voor de verwerking deelt de betrokkene, bij wie hij gegevens over de betrokkene zelf verzamelt, ten minste de volgende informatie mee, tenzij de betrokkene daarover reeds beschikt:

    a) de identiteit van de verantwoordelijke voor de verwerking;

    b) de doeleinden van de verwerking waarvoor de gegevens bestemd zijn;

    c) de gegevensontvangers of categorieën gegevensontvangers;

    d) of antwoorden op de vragen verplicht of vrijwillig is en de eventuele gevolgen van niet-beantwoording;

    e) het bestaan van het recht van toegang tot de eigen persoonsgegevens en op rectificatie van die gegevens;

    f) verdere informatie zoals:

    i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn,

    ii) de termijn gedurende welke de gegevens worden bewaard,

    iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken;

    voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen.

    2. In afwijking van lid 1 mag mededeling van informatie of van een deel ervan, met uitzondering van de informatie bedoeld in lid 1, punten a), b) en d) worden uitgesteld zolang dit noodzakelijk is voor statistische doeleinden. De informatie wordt meegedeeld zodra de reden waarom zij werd achtergehouden, niet meer bestaat.

    Artikel 12

    Mee te delen informatie in geval van niet bij de betrokkene verzamelde gegevens

    1. Indien de gegevens niet bij de betrokkene werden verzameld, deelt de verantwoordelijke voor de verwerking, op het tijdstip van registratie van de persoonsgegevens of wanneer verstrekking van de gegevens aan een derde wordt overwogen, aan de betrokkene uiterlijk op het tijdstip van de eerste verstrekking van de gegevens ten minste de volgende informatie mee, tenzij de betrokkene deze reeds bezit:

    a) de identiteit van de verantwoordelijke voor de verwerking;

    b) de doeleinden van de verwerking;

    c) de betrokken gegevenscategorieën;

    d) de gegevensontvangers of categorieën gegevensontvangers;

    e) het bestaan van het recht van toegang tot de eigen persoonsgegevens en op rectificatie van die gegevens;

    f) verdere informatie zoals:

    i) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn,

    ii) de termijn gedurende welke de gegevens worden bewaard,

    iii) het recht om de Europese Toezichthouder voor gegevensbescherming te allen tijde aan te zoeken,

    iv) de oorsprong van de gegevens, behalve wanneer de verantwoordelijke voor de verwerking deze informatie wegens beroepsgeheim niet kan vrijgeven,

    voorzover die verdere informatie, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene eerlijke verwerking te waarborgen.

    2. Lid 1 is niet van toepassing indien, met name voor statistische doeleinden of voor historisch of wetenschappelijk onderzoek, de mededeling van dergelijke informatie onmogelijk blijkt of onevenredig veel moeite kost of indien registratie of vrijgave uitdrukkelijk door het Gemeenschapsrecht is voorgeschreven. In die gevallen draagt de communautaire instelling of het communautaire orgaan zorg voor passende waarborgen na raadpleging van de Europese Toezichthouder voor gegevensbescherming.

    AFDELING 5

    RECHTEN VAN DE BETROKKENE

    Artikel 13

    Recht van toegang

    Elke betrokkene heeft het recht te allen tijde en ongehinderd binnen drie maanden na ontvangst van het verzoek kosteloos van de verantwoordelijke voor de verwerking:

    a) uitsluitsel te verkrijgen over het al dan niet plaatsvinden van gegevensverwerking die de betrokkene betreft;

    b) ten minste informatie te verkrijgen over de doeleinden van de verwerking, over de categorieën gegevens waarop de verwerking betrekking heeft en over de ontvangers, respectievelijk de categorieën ontvangers aan wie de gegevens worden verstrekt;

    c) de gegevens die verwerking ondergaan, alsmede elke beschikbare informatie wat de bron van die gegevens betreft, in begrijpelijke vorm verstrekt te krijgen;

    d) inzicht te verkrijgen in de achterliggende gedachte van elke hem betreffende geautomatiseerde gegevensverwerking.

    Artikel 14

    Rectificatie

    De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij de onnauwkeurige of onvolledige persoonsgegevens onverwijld rectificeert.

    Artikel 15

    Afscherming

    1. De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij deze gegevens afschermt indien:

    a) de nauwkeurigheid ervan door de betrokkene wordt betwist, gedurende een periode die de verantwoordelijke voor de verwerking in staat stelt de nauwkeurigheid, met inbegrip van de volledigheid van de gegevens te verifiëren;

    b) de verantwoordelijke voor de verwerking die gegevens niet langer voor de uitoefening van zijn, respectievelijk haar taken, nodig heeft, maar die gegevens nog moeten worden bewaard voor de bewijsvoering; of

    c) de verwerking ervan onwettig is en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan afscherming ervan verzoekt.

    2. In geautomatiseerde gegevensbestanden wordt voor afscherming in beginsel met technische middelen zorg gedragen. Het feit dat de persoonsgegevens worden afgeschermd, wordt in het bestand op zodanige wijze aangegeven dat duidelijk blijkt dat van de persoonsgegevens geen gebruik mag worden gemaakt.

    3. Op grond van dit artikel afgeschermde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene, of ter bescherming van rechten van derden.

    4. De betrokkene op wiens verzoek deze gegevens worden afgeschermd, wordt door de verantwoordelijke voor de verwerking ingelicht alvorens de afscherming wordt opgeheven.

    Artikel 16

    Gegevenswissing

    De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat hij de persoonsgegevens wist indien de verwerking ervan onwettig is, met name wanneer de bepalingen van de afdelingen 1, 2 en 3 van hoofdstuk II worden geschonden.

    Artikel 17

    Kennisgeving aan derden

    De betrokkene kan van de verantwoordelijke voor de verwerking verlangen dat bij aan derden aan wie de gegevens zijn verstrekt, in kennis stelt van elke rectificatie, wissing of afscherming uit hoofde van de artikelen 13 tot en met 16, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

    Artikel 18

    Recht van bezwaar

    De betrokkene heeft het recht om:

    a) op grond van zwaarwegende en gerechtvaardigde redenen die met zijn bijzondere situatie verband houden, te allen tijde bezwaar aan te tekenen tegen de verwerking van hem betreffende gegevens, behalve in de in artikel 5, punten b), c) en d), genoemde gevallen. In het geval van gerechtvaardigd bezwaar mag de verwerking door de verantwoordelijke voor de verwerking niet langer deze gegevens betreffen;

    b) te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt ten behoeve van direct marketing, en uitdrukkelijk de mogelijkheid geboden krijgt zich kosteloos te verzetten tegen deze verstrekking of dit gebruik van gegevens.

    Artikel 19

    Geautomatiseerde individuele besluiten

    De betrokkene heeft het recht niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem verregaand treft en dat uitsluitend op een geautomatiseerde gegevensverwerking berust die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, betrouwbaarheid of gedrag te beoordelen, tenzij het besluit uitdrukkelijk is toegestaan krachtens een nationale of communautaire regelgeving of, indien nodig, door de Europese Toezichthouder voor gegevensbescherming. In beide gevallen worden maatregelen genomen om de legitieme belangen van de betrokkene te beschermen, zoals regelingen die de betrokkene in staat stellen zijn standpunt kenbaar te maken.

    AFDELING 6

    UITZONDERINGEN EN BEPERKINGEN

    Artikel 20

    Uitzonderingen en beperkingen

    1. De communautaire instellingen of organen kunnen de toepassing van artikel 4, lid 1, artikel 11, artikel 12, lid 1, de artikelen 13 tot en met 17, en artikel 37, lid 1, beperken voorzover die beperking een noodzakelijke maatregel vormt ter vrijwaring van:

    a) preventie, onderzoek, opsporing en vervolging van strafbare feiten;

    b) een belangrijk economisch of financieel belang van een lidstaat of van de Europese Gemeenschappen, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden;

    c) de bescherming van de betrokkene of van de rechten en vrijheden van anderen;

    d) de nationale veiligheid, de openbare veiligheid en de defensie van de lidstaten;

    e) een taak op het gebied van toezicht, inspectie of regelgeving, verbonden, zelfs incidenteel, met de uitoefening van het openbaar gezag in de gevallen bedoeld in de punten a) en b).

    2. De artikelen 13 tot en met 16 zijn niet van toepassing wanneer de gegevens louter met het oog op wetenschappelijk onderzoek worden verwerkt of in de vorm van persoonlijke gegevens worden bewaard voor een duur die de tijd gemoeid met uitsluitend opstellen van statistieken niet overtreft, mits er duidelijk geen gevaar bestaat dat inbreuk wordt gepleegd op de persoonlijke levenssfeer van de betrokkene en de verantwoordelijke voor de verwerking passende juridische garanties biedt, met name dat de gegevens niet worden gebruikt om maatregelen of besluiten ten aanzien van een bepaalde persoon te treffen.

    3. Indien een beperking als bedoeld in lid 1 wordt toegepast, wordt de betrokkene overeenkomstig het Gemeenschapsrecht in kennis gesteld van de voornaamste redenen waarop de toepassing van de beperking berust en van zijn, respectievelijk haar recht om zich tot de Europese Toezichthouder voor gegevensbescherming te wenden.

    4. Indien een beroep wordt gedaan op een in lid 1 bedoelde beperking om de betrokkene toegang te weigeren, deelt de Europese Toezichthouder voor gegevensbescherming, wanneer hij een verzoek bestudeert, de betrokkene slechts mee of de gegevens op correcte wijze zijn verwerkt en, zo niet, of de noodzakelijke verbeteringen zijn aangebracht.

    5. De in de leden 3 en 4 bedoelde kennisgeving kan worden uitgesteld zolang zij het beoogde effect van de op grond van lid 1 ingestelde beperking teniet zou doen.

    AFDELING 7

    VERTROUWELIJKHEID EN BEVEILIGING VAN DE VERWERKING

    Artikel 21

    Vertrouwelijkheid van de verwerking

    Eenieder die in dienst is van een communautaire instelling of van een communautair orgaan, alsmede iedere communautaire instelling die of ieder communautair orgaan dat zelf als verwerker optreedt, en toegang heeft tot persoonsgegevens, mag deze slechts verwerken op instructies van de verantwoordelijke voor de verwerking, tenzij de nationale of de communautaire wetgeving dit vereist.

    Artikel 22

    Beveiliging van de verwerking

    1. De verantwoordelijke voor de verwerking treft passende technische en organisatorische maatregelen om, gelet op de risico's die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, hierbij houdt hij rekening met de stand van de techniek en met de kosten van uitvoering van de maatregelen.

    Dergelijke maatregelen worden met name getroffen ter voorkoming van enigerlei niet-geautoriseerde verspreiding of toegang, accidentele of onwettige vernietiging, accidenteel verlies of accidentele wijziging alsmede alle overige onwettige vormen van verwerking.

    2. Wanneer persoonsgegevens met geautomatiseerde middelen worden verwerkt, worden met name in verhouding tot de risico's passende maatregelen genomen om:

    a) te voorkomen dat onbevoegden toegang krijgen tot persoonsgegevensverwerkende computersystemen;

    b) onbevoegde inzage, verveelvoudiging, wijziging of verwijdering van opslagmedia te voorkomen;

    c) onbevoegde invoer in het geheugen alsmede onbevoegde verspreiding, wijziging of wissing van opgeslagen persoonsgegevens te voorkomen;

    d) te voorkomen dat onbevoegden met behulp van datatransmissieapparatuur de gegevensverwerkingssystemen gebruiken;

    e) er zorg voor te dragen dat bevoegde gebruikers van een gegevensverwerkingssysteem geen toegang tot andere persoonsgegevens kunnen krijgen dan die waarvoor hun recht van toegang geldt;

    f) te registreren welke persoonsgegevens op welk tijdstip en aan wie zijn meegedeeld;

    g) er zorg voor te dragen dat het achteraf mogelijk is na te gaan en te controleren wanneer en door wie bepaalde persoonsgegevens zijn verwerkt;

    h) er zorg voor te dragen dat persoonsgegevens die voor rekening van derden worden verwerkt, uitsluitend op de door de opdrachtgevende communautaire instelling of het opdrachtgevende communautaire orgaan voorgeschreven wijze kunnen worden verwerkt;

    i) er zorg voor te dragen dat de gegevens tijdens de mededeling van persoonsgegevens en tijdens het transport van opslagmedia niet onrechtmatig kunnen worden ingezien, gekopieerd of gewist;

    j) de organisatiestructuur binnen een instelling of orgaan zodanig op te zetten dat deze aan de bijzondere vereisten inzake gegevensbescherming beantwoordt.

    Artikel 23

    Verwerking van persoonsgegevens voor rekening van de verantwoordelijke voor de verwerking

    1. De verantwoordelijke voor de verwerking kiest, in geval van verwerking voor zijn rekening, een verwerker die ten aanzien van de in artikel 22 vereiste technische en organisatorische beveiligingsmaatregelen voldoende waarborgen biedt, en hij ziet toe op de naleving van die maatregelen.

    2. De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een rechtshandeling die de verwerker ten opzichte van de verantwoordelijke voor de verwerking bindt en waarin met name wordt bepaald dat:

    a) de verwerker slechts op instructies van de verantwoordelijke voor de verwerking handelt,

    b) de in de artikelen 21 en 22 bedoelde verplichtingen eveneens rusten op de verwerker, tenzij de verwerker ingevolge artikel 16 of artikel 17, lid 3, tweede streepje, van Richtlijn 95/46/EG, al onderworpen is aan verplichtingen inzake vertrouwelijkheid en beveiliging uit het nationale recht van een lidstaat.

    3. Met het oog op de bewaring van bewijsmateriaal, worden die onderdelen van de overeenkomst of van de rechtshandeling die de bescherming van de gegevens betreffen en de vereisten inzake de in artikel 22 bedoelde maatregelen schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.

    AFDELING 8

    FUNCTIONARIS VOOR GEGEVENSBESCHERMING

    Artikel 24

    Aanstelling en taken van de functionaris voor gegevensbescherming

    1. Elke communautaire instelling en elk communautair orgaan stelt ten minste één persoon aan tot functionaris voor gegevensbescherming, die

    a) er zorg voor draagt dat de verantwoordelijken voor de verwerking en de betrokkenen van hun rechten en plichten die uit deze verordening voortvloeien, in kennis worden gesteld;

    b) ingaat op verzoeken van de Europese Toezichthouder voor gegevensbescherming en, binnen het kader van diens bevoegdheden, samenwerkt met de Europese Toezichthouder voor gegevensbescherming, op verzoek van deze laatste of op eigen initiatief;

    c) op onafhankelijke wijze zorg draagt voor de interne toepassing van de bepalingen van deze verordening;

    d) een register van de verwerkingen die door de verantwoordelijke voor de verwerking zijn verricht, bijhoudt, waarin de in artikel 25, lid 2, bedoelde gegevens zijn opgenomen;

    e) de Europese Toezichthouder voor gegevensbescherming kennis geeft van de verwerkingen die waarschijnlijk bijzondere risico's in de zin van artikel 27 inhouden.

    Hij draagt er daarmee zorg voor dat verwerkingen geen schending van de rechten en vrijheden van de betrokkenen zullen veroorzaken.

    2. De functionaris voor gegevensbescherming wordt gekozen op grond van zijn persoonlijke en professionele kwaliteiten en, in het bijzonder, zijn deskundigheid inzake gegevensbescherming.

    3. De keuze van de functionaris voor gegevensbescherming mag niet kunnen uitlopen op een belangenconflict tussen zijn taak als functionaris en andere officiële taken, met name ten aanzien van de toepassing van deze verordening.

    4. De functionaris voor gegevensbescherming wordt voor een termijn van ten minste twee jaar en ten hoogste vijf jaar benoemd. Hij kan worden herbenoemd, maar de totale duur van zijn mandaat mag niet meer dan tien jaar bedragen. Indien hij niet langer aan de voor de uitoefening van zijn functie vereiste voorwaarden voldoet, kan hij alleen door de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, met instemming van de Europese Toezichthouder voor gegevensbescherming als functionaris voor gegevensbescherming worden ontslagen.

    5. Na zijn benoeming wordt de functionaris voor gegevensbescherming door de instelling die, of het orgaan dat hem heeft benoemd, bij de Europese Toezichthouder voor gegevensbescherming geregistreerd.

    6. De functionaris voor gegevensbescherming krijgt van de communautaire instelling die of het communautaire orgaan dat hem heeft aangesteld, de beschikking over het personeel en de middelen die voor de uitvoering van zijn taken noodzakelijk zijn.

    7. Met betrekking tot de uitoefening van zijn functie mag de functionaris voor gegevensbescherming geen enkele instructie krijgen.

    8. Nadere uitvoeringsvoorschriften betreffende de functionaris voor gegevensbescherming worden door de communautaire instelling of door het communautaire orgaan vastgesteld overeenkomstig de bijlage. De uitvoeringsvoorschriften hebben met name betrekking op de taken, verplichtingen en bevoegdheden van de functionaris voor gegevensbescherming.

    Artikel 25

    Informatie van de functionaris voor gegevensbescherming

    1. Alvorens een verwerking of een reeks verwerkingen met een enkel doel of met verscheidene samenhangende doeleinden uit te voeren, stelt de verantwoordelijke voor de verwerking vooraf de functionaris voor gegevensbescherming daarvan in kennis.

    2. De te verstrekken informatie behelst tenminste:

    a) naam en adres van de verantwoordelijke voor de verwerking en een indicatie van de organisatieonderdelen van een instelling of een orgaan die met de verwerking van persoonsgegevens voor een bepaald doel belast zijn;

    b) doeleinde(n) van de verwerking;

    c) beschrijving van de categorie(ën) betrokkenen en van de gegevens of categorieën gegevens die daarop betrekking hebben;

    d) de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn;

    e) de ontvangers of categorieën ontvangers aan wie de gegevens bekend kunnen worden gemaakt;

    f) een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens worden afgeschermd en gewist;

    g) de voorgenomen gegevensdoorgiften naar derde landen of naar internationale organisaties;

    h) een algemene beschrijving om vooraf te kunnen beoordelen of de overeenkomstig artikel 22 genomen maatregelen om de beveiliging van de verwerking te waarborgen, adequaat zijn.

    3. Van elke wijziging in de in lid 2 genoemde informatie wordt onverwijld aan de functionaris voor gegevensbescherming kennis gegeven.

    Artikel 26

    Register

    Elke functionaris voor gegevensbescherming houdt een register van de overeenkomstig artikel 25 gemelde verwerkingen bij.

    De registers bevatten tenminste de in artikel 25, lid 2, punten a) tot en met g), bedoelde informatie. De registers kunnen door eenieder, direct of indirect via de Europese Toezichthouder voor gegevensbescherming, worden geraadpleegd.

    AFDELING 9

    VOORAFGAANDE CONTROLE DOOR DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING EN VERPLICHTING OM SAMEN TE WERKEN

    Artikel 27

    Voorafgaande controle

    1. Verwerkingen die gezien hun aard, reikwijdte of doeleinden bijzondere risico's kunnen inhouden voor de rechten en vrijheden van de betrokkenen, worden vooraf gecontroleerd door de Europese Toezichthouder voor gegevensbescherming.

    2. De volgende verwerkingen kunnen dergelijke risico's meebrengen:

    a) verwerkingen van gegevens betreffende de gezondheid en verwerkingen van gegevens inzake verdenkingen, strafbare feiten, strafrechtelijke veroordelingen of veiligheidsmaatregelen;

    b) verwerkingen die ten doel hebben de persoonlijke eigenschappen van de betrokkenen, zoals bekwaamheid, rendement of gedrag, te beoordelen;

    c) verwerkingen waarmee voor verschillende doeleinden verwerkte gegevens onderling kunnen worden gekoppeld zonder dat hiervoor nationale of communautaire regelgeving bestaat;

    d) verwerkingen die gericht zijn op het ontzeggen van het genot van een recht, van een uitkering of van de mogelijkheid een contract aan te gaan.

    3. De voorafgaande controle wordt verricht door de Europese Toezichthouder voor gegevensbescherming na ontvangst van een kennisgeving van de functionaris voor gegevensbescherming die in geval van twijfel aan de noodzaak van voorafgaande controle de Europese Toezichthouder voor gegevensbescherming raadpleegt.

    4. De Europese Toezichthouder voor gegevensbescherming brengt binnen twee maanden na ontvangst van de kennisgeving advies uit. Deze termijn kan, wanneer er een verzoek loopt van de Europese Toezichthouder voor gegevensbescherming om meer informatie, worden opgeschort totdat de Europese Toezichthouder deze informatie heeft verkregen. Deze termijn kan, wanneer dit in verband met de complexiteit van het dossier nodig is, bij besluit van de Europese Toezichthouder voor gegevensbescherming, ook met een nieuwe periode van twee maanden worden verlengd. Van dit besluit wordt vóór het verstrijken van de eerste termijn van twee maanden aan de verantwoordelijke voor de verwerking kennis gegeven.

    Indien binnen de termijn van twee maanden, die eventueel is verlengd, geen advies is uitgebracht, wordt dit als een gunstig advies beschouwd.

    Indien het advies van de Europese Toezichthouder voor gegevensbescherming luidt dat de aangemelde verwerking inbreuk kan maken op een bepaling van deze verordening, doet hij, indien nodig, passende voorstellen om dergelijke inbreuken te voorkomen. Past de verantwoordelijke de verwerking niet dienovereenkomstig aan, dan mag de Europese Toezichthouder voor gegevensbescherming gebruik maken van zijn bevoegdheden uit hoofde van artikel 47, lid 1.

    5. De Europese Toezichthouder voor gegevensbescherming houdt een register bij van de verwerkingen waarvan hem op grond van lid 2 kennis is gegeven. Het register bevat de in artikel 25 bedoelde informatie. Het register mag door eenieder worden geraadpleegd.

    Artikel 28

    Raadplegingsplicht

    1. De communautaire instellingen en de communautaire organen lichten de Europese Toezichthouder voor gegevensbescherming in wanneer zij in verband met de verwerking van persoonsgegevens, waarbij een communautaire instelling of een communautair orgaan, alleen of samen met andere(n), is betrokken, administratieve maatregelen opstellen.

    2. Wanneer de Commissie een wetgevingsvoorstel aanneemt betreffende de bescherming van de fundamentele rechten en vrijheden van personen op het gebied van de verwerking van persoonsgegevens, raadpleegt zij de Europese Toezichthouder voor de gegevensbescherming.

    Artikel 29

    Mededelingsplicht

    De communautaire instellingen en organen delen de Europese Toezichthouder voor de gegevensbescherming mee welke maatregelen zij naar aanleiding van diens in artikel 46, onder h), bedoelde besluiten of vergunningen hebben genomen.

    Artikel 30

    Samenwerkingsplicht

    Op zijn, verzoek werken de verantwoordelijken voor de verwerking met de Europese Toezichthouder voor gegevensbescherming samen voor de uitoefening van zijn taken, met name verstrekken zij de in artikel 47, lid 2, onder a), bedoelde informatie en verschaffen zij toegang als bepaald in artikel 47, lid 2, onder b).

    Artikel 31

    Repliek

    Wanneer de Europese Toezichthouder voor gegevensbescherming de bevoegdheden uitoefent die hem uit hoofde van artikel 47, lid 2, onder b), toekomen, deelt de verantwoordelijke voor de verwerking hem binnen een redelijke, door de Europese Toezichthouder voor gegevensbescherming te bepalen termijn zijn standpunt mee. In zijn repliek beschrijft hij tevens de maatregelen die eventueel naar aanleiding van de opmerkingen van de Europese Toezichthouder voor gegevensbescherming zijn genomen.

    HOOFDSTUK III

    BEROEPSMOGELIJKHEDEN

    Artikel 32

    Beroepsmogelijkheden

    1. Het Hof van Justitie van de Europese Gemeenschappen is bevoegd kennis te nemen van alle geschillen over deze verordening, vorderingen tot schadevergoeding daaronder begrepen.

    2. Elke betrokkene kan, onverminderd de mogelijkheden van beroep voor de rechter, een verzoek indienen bij de Europese Toezichthouder voor gegevensbescherming indien hij van oordeel is dat de hem krachtens artikel 286 van het Verdrag verleende rechten zijn geschonden door de verwerking van zijn persoonsgegevens door een communautaire instelling of door een communautair orgaan.

    Bij gebreke van antwoord van de Europese Toezichthouder binnen een termijn van 6 maanden wordt dit gelijkgesteld met afwijzing van de klacht.

    3. Bij het Hof van Justitie van de Europese Gemeenschappen kan tegen beslissingen van de Europese Toezichthouder voor gegevensbescherming beroep worden ingesteld.

    4. Eenieder die schade heeft ondervonden door een onwettige verwerking of een andere handeling die in strijd is met onderhavige verordening, heeft aanspraak op vergoeding van de geleden schade volgens artikel 288 van het Verdrag.

    Artikel 33

    Klachten van het personeel van de Gemeenschappen

    Eenieder die in dienst is van een communautaire instelling of van een communautair orgaan kan, zonder de officiële kanalen te volgen, bij de Europese Toezichthouder voor gegevensbescherming een klacht indienen wegens een vermeende inbreuk op de in deze verordening vervatte bepalingen inzake de verwerking van persoonsgegevens. Niemand mag nadeel ondervinden van het feit dat bij de Europese Toezichthouder voor gegevensbescherming een klacht is ingediend waarin op een schending van de bepalingen betreffende de verwerking van persoonsgegevens wordt gewezen.

    HOOFDSTUK IV

    BESCHERMING VAN PERSOONSGEGEVENS EN VAN DE PERSOONLIJKE LEVENSSFEER IN HET RAAM VAN INTERNE TELECOMMUNICATIENETWERKEN

    Artikel 34

    Werkingssfeer

    Onverminderd de overige bepalingen van deze verordening, is dit hoofdstuk van toepassing op de verwerking van persoonsgegevens in verband met het gebruik van telecommunicatienetwerken of eindapparatuur die onder de verantwoordelijkheid van een communautaire instelling of van een communautair orgaan worden geëxploiteerd.

    Voor de doeleinden van dit hoofdstuk wordt onder "gebruiker" verstaan, elke natuurlijke persoon die gebruik maakt van een telecommunicatienetwerk dat of eindapparatuur die onder de verantwoordelijkheid van een communautaire instelling of van een communautair orgaan wordt geëxploiteerd.

    Artikel 35

    Beveiliging

    1. De communautaire instellingen en organen nemen passende technische en organisatorische maatregelen om het veilige gebruik van de telecommunicatienetwerken en van eindapparatuur te waarborgen, indien nodig in samenwerking met de aanbieders van publiek toegankelijke telecommunicatiediensten en/of met die van openbare telecommunicatienetwerken. Die maatregelen moeten, rekening houdend met de meest recente technische mogelijkheden en de kosten van uitvoering ervan, een beveiligingsniveau waarborgen dat in verhouding staat tot het aanwezige risico.

    2. Indien er enig bijzonder risico bestaat dat de beveiliging van het netwerk en van de eindapparatuur wordt doorbroken, dient de betrokken communautaire instelling of het betrokken communautaire orgaan de gebruikers in te lichten over dergelijke risico's en over mogelijke middelen om die risico's tegen te gaan of over alternatieve communicatiemiddelen.

    Artikel 36

    Vertrouwelijk karakter van het communicatieverkeer

    De communautaire instellingen en organen waarborgen het vertrouwelijke karakter van het communicatieverkeer via telecommunicatienetwerken en via eindapparatuur, met inachtneming van de algemene beginselen van het Gemeenschapsrecht.

    Artikel 37

    Verkeers- en rekeninggegevens

    1. Verkeersgegevens met betrekking tot gebruikers, die worden verwerkt en opgeslagen om oproepen en andere verbindingen via het telecommunicatiesysteem tot stand te brengen, worden bij beëindiging van de oproep of andere verbinding gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 4.

    2. Ten behoeve van het telecommunicatiebegrotings- en verkeersbeheer, met inbegrip van verificatie van bevoegd gebruik van het telecommunicatiesysteem, mogen, indien nodig, verkeersgegevens zoals aangegeven in een door de Europese Toezichthouder voor gegevensbescherming goedgekeurde lijst, worden verwerkt. Deze gegevens worden zodra dit mogelijk is en uiterlijk zes maanden nadat ze verzameld zijn, gewist of anoniem gemaakt, tenzij zij langer bewaard moeten worden met het oog op de vaststelling, de uitoefening of de verdediging van een recht in het kader van een rechtsvordering in een aanhangige zaak.

    3. Verkeers- en rekeninggegevens mogen slechts worden verwerkt door personen die zich met facturering en met verkeers- en begrotingsbeheer bezighouden.

    4. Gebruikers van telecommunicatienetwerken hebben het recht om niet-gespecificeerde rekeningen of andere overzichten van oproepen te ontvangen.

    Artikel 38

    Gebruikerslijsten

    1. Persoonsgegevens die in gedrukte of in elektronische gebruikerslijsten zijn opgenomen en de toegang tot dergelijke lijsten worden beperkt tot hetgeen voor de specifieke doeleinden van de lijst noodzakelijk is.

    2. De communautaire instellingen en organen nemen alle nodige maatregelen om te voorkomen dat in deze lijsten opgenomen persoonsgegevens, ongeacht of deze al dan niet publiek toegankelijk zijn, voor direct marketing worden gebruikt.

    Artikel 39

    Weergave en beperking van de identificatie van het oproepende en het opgeroepen nummer

    1. Wanneer weergave van de identificatie van het oproepende nummer wordt aangeboden, moet de oproepende gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos die weergave weg te laten.

    2. Wanneer weergave van de identificatie van het oproepende nummer wordt aangeboden, moet de opgeroepen gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos de weergave van de identificatie van het oproepende nummer van inkomende oproepen te voorkomen.

    3. Wanneer weergave van de identificatie van het opgeroepen nummer wordt aangeboden, moet de opgeroepen gebruiker de mogelijkheid hebben om met eenvoudige middelen en kosteloos de weergave van de identificatie van het opgeroepen nummer naar de oproepende partij weg te laten.

    4. Wanneer weergave van de identificatie van het oproepende en/of van het opgeroepen nummer wordt aangeboden, worden de gebruikers door de communautaire instellingen en organen daarover en over de in de leden 1, 2 en 3, vermelde mogelijkheden ingelicht.

    Artikel 40

    Uitzonderingen

    De communautaire instellingen en organen dragen er zorg voor dat er transparante procedures zijn die de wijze regelen waarop zij het weglaten van de weergave van de identificatie van het oproepende nummer ongedaan kunnen maken:

    a) op verzoek van een gebruiker die opsporing van kwaadwillige of van hinderlijke oproepen verlangt, op tijdelijke basis;

    b) voor organisaties die noodoproepen behandelen, met het oog op de beantwoording daarvan, per afzonderlijke lijn.

    HOOFDSTUK V

    ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEIT: DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING

    Artikel 41

    De Europese Toezichthouder voor gegevensbescherming

    1. Er wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de "Europese Toezichthouder voor gegevensbescherming" genaamd.

    2. De Europese Toezichthouder voor gegevensbescherming zorgt ervoor dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op persoonlijke levenssfeer, bij de verwerking van persoonsgegevens, door de communautaire instellingen en organen in acht worden genomen

    De Europese Toezichthouder voor gegevensbescherming is met name belast met het toezien op en het verzekeren van de toepassing van deze verordening en van elk ander communautair besluit betreffende de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door een communautaire instelling of door een communautair orgaan, alsmede voor het verstrekken van advies aan de communautaire instellingen en organen en aan de betrokkenen inzake de verwerking van persoonsgegevens. Daartoe vervult hij de bij artikel 46 opgedragen taken en oefent hij de bij artikel 47 verleende bevoegdheden uit.

    Artikel 42

    Benoeming

    1. Het Europees Parlement en de Raad benoemen in onderlinge overeenstemming de Europese Toezichthouder voor gegevensbescherming voor een termijn van vijf jaar, op basis van een lijst van kandidaten die de Commissie na een openbare sollicitatieoproep opstelt.

    Volgens dezelfde procedure en voor dezelfde periode wordt een adjunct-toezichthouder benoemd. Deze assisteert de Toezichthouder bij al diens taken en vervangt hem bij afwezigheid of verhindering.

    2. De Europese Toezichthouder voor gegevensbescherming wordt gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die duidelijk over de ervaring en de bekwaamheid beschikken om het ambt van Europese Toezichthouder voor gegevensbescherming uit te oefenen, met name omdat zij behoren of behoord hebben tot de in artikel 28 van Richtlijn 95/46/EG bedoelde toezichthoudende autoriteiten.

    3. De Europese Toezichthouder voor gegevensbescherming is herbenoembaar.

    4. Behoudens in geval van normale vervanging of van overlijden eindigt de ambtsvervulling van de Europese Toezichthouder voor gegevensbescherming wanneer hij ontslag neemt of overeenkomstig lid 5 van zijn ambt ontheven wordt verklaard.

    5. De Europese Toezichthouder voor gegevensbescherming kan op verzoek van het Europees Parlement, de Raad of de Commissie door het Hof van Justitie van de Europese Gemeenschappen uit zijn ambt ontheven worden verklaard, of kan zijn recht op pensioen of pensioenvervangende voordelen verliezen indien hij niet meer aan de eisen voor de uitoefening van dat ambt voldoet of op ernstige wijze is tekortgeschoten.

    6. In geval van normale opvolging en vrijwillig ontslag blijft de Europese Toezichthouder voor gegevensbescherming in functie totdat in zijn vervanging is voorzien.

    7. De artikelen 12 tot en met 15 en 18 van het Protocol betreffende de voorrechten en immuniteiten van de Europese Gemeenschappen gelden eveneens voor de Europese Toezichthouder voor gegevensbescherming.

    8. De leden 2 tot en met 7 gelden tevens voor de adjunct-toezichthouder.

    Artikel 3

    Statuut en algemene voorwaarden voor de uitoefening van het ambt van de Europese Toezichthouder voor gegevensbescherming, personeel en financiële middelen

    1. Het Europees Parlement, de Raad en de Commissie stellen in onderlinge overeenstemming het statuut en de algemene voorwaarden voor de uitoefening van het ambt van Europese Toezichthouder voor gegevensbescherming vast, en met name zijn salaris, toelagen en elk in de plaats van een bezoldiging komend voordeel.

    2. De Begrotingsautoriteit draagt er zorg voor dat de Europese Toezichthouder voor gegevensbescherming over de voor de uitvoering van zijn taken benodigde personele en financiële middelen beschikt.

    3. De begroting van de Europese Toezichthouder voor gegevensbescherming valt onder een specifieke begrotingslijn van afdeling VIII van de algemene begroting van de Europese Unie.

    4. De Europese Toezichthouder voor gegevensbescherming wordt bijgestaan door een secretariaat. De Europese Toezichthouder voor gegevensbescherming benoemt de ambtenaren en andere personeelsleden van het secretariaat en is hun hiërarchische meerdere. Deze personeelsleden staan uitsluitend onder zijn leiding. Hun aantal wordt ieder jaar in het kader van de begrotingsprocedure vastgesteld.

    5. De ambtenaren en de andere personeelsleden van het secretariaat van de Europese Toezichthouder voor gegevensbescherming zijn onderworpen aan de verordeningen en regelingen die van toepassing zijn op de ambtenaren en andere personeelsleden van de Europese Gemeenschappen.

    6. Ten aanzien van vraagstukken betreffende zijn personeel wordt de Europese Toezichthouder voor gegevensbescherming gelijkgesteld met de instellingen in de zin van artikel 1 van het Statuut van de ambtenaren van de Europese Gemeenschappen.

    Artikel 44

    Onafhankelijkheid

    1. De Europese Toezichthouder voor gegevensbescherming handelt in de uitoefening van zijn taken volkomen onafhankelijk.

    2. Bij de vervulling van zijn taken vraagt noch aanvaardt de Europese Toezichthouder voor gegevensbescherming van wie dan ook instructies.

    3. De Europese Toezichthouder voor gegevensbescherming onthoudt zich van alle handelingen die onverenigbaar zijn met zijn taken en verricht gedurende zijn ambtstermijn geen andere, al dan niet bezoldigde beroepswerkzaamheden.

    4. Bij het aanvaarden van functies en voordelen na beëindiging van zijn ambt betracht de Europese Toezichthouder voor gegevensbescherming eerlijkheid en kiesheid.

    Artikel 45

    Beroepsgeheim

    Ten aanzien van de vertrouwelijke informatie die hun bij de vervulling van hun officiële taken ter kennis is gekomen geldt voor de Europese Toezichthouder voor gegevensbescherming en zijn personeel zowel tijdens de uitoefening van hun ambt als daarna het beroepsgeheim.

    Artikel 46

    Taken

    De Europese Toezichthouder voor gegevensbescherming:

    a) hoort klachten aan en onderzoekt deze, en stelt de betrokkenen binnen een redelijke termijn in kennis van het resultaat van zijn onderzoek,

    b) stelt op eigen initiatief of op basis van klachten onderzoeken in, en stelt de betrokkenen binnen een redelijke termijn in kennis van het resultaat;

    c) ziet toe op en zorgt voor de toepassing van de bepalingen van deze verordening en van elk ander communautair besluit betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door een communautaire instelling of door een communautair orgaan, met uitzondering van het Hof van Justitie van de Europese Gemeenschappen bij de uitoefening van zijn jurisdictionele taak;

    d) adviseert op eigen initiatief of in het kader van een raadpleging alle communautaire instellingen of organen in verband met alle aangelegenheden betreffende de verwerking van persoonsgegevens, met name alvorens zij interne voorschriften betreffende de bescherming van fundamentele rechten en vrijheden met het oog op de verwerking van persoonsgegevens opstellen;

    e) volgt de relevante ontwikkelingen voorzover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

    f) i) werkt samen met de in artikel 28 van Richtlijn 95/46/EG bedoelde nationale toezichthoudende autoriteiten van de landen waarop die richtlijn van toepassing is voorzover dat voor de uitoefening van hun onderscheiden taken nodig is, met name door uitwisseling van alle nuttige informatie, door een dergelijke autoriteit of een dergelijk orgaan te verzoeken zijn bevoegdheden uit te oefenen of door te reageren op een verzoek van een dergelijke autoriteit of een dergelijk orgaan;

    ii) werkt eveneens samen met de uit hoofde van titel VI van het Verdrag betreffende de Europese Unie ingestelde toezichthoudende organen voor de bescherming van persoonsgegevens, met name om de samenhang te verbeteren bij de toepassing van de regels en procedures, met de zorg voor de eerbiediging waarvan die organen zijn belast;

    g) neemt deel aan de werkzaamheden van de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens;

    h) bepaalt, motiveert en publiceert de in artikel 10, lid 2, onder b), artikel 10, leden 4, 5 en 6, artikel 12, lid 2, artikel 19, en artikel 37, lid 2, bedoelde uitzonderingen, waarborgen, machtigingen en voorwaarden;

    i) houdt van de verwerkingen waarvan hem overeenkomstig artikel 27, lid 2, kennis is gegeven en die overeenkomstig artikel 27, lid 5, geregistreerd zijn, een register bij en stelt de middelen ter beschikking om toegang te verkrijgen tot de overeenkomstig artikel 26 door de functionarissen voor gegevensbescherming bijgehouden registers;

    j) voert met betrekking tot de verwerkingen waarvan hem kennis is gegeven, een voorafgaand onderzoek uit;

    k) stelt zijn reglement van orde vast.

    Artikel 47

    Bevoegdheden

    1. De Europese Toezichthouder voor gegevensbescherming kan:

    a) betrokkenen bijstaan bij de uitoefening van hun rechten;

    b) indien schending van de bepalingen betreffende de verwerking van persoonsgegevens wordt gemeld, de aangelegenheid voorleggen aan de verantwoordelijke voor de verwerking en, eventueel, voorstellen doen om aan de schending een einde te maken en de bescherming van de betrokkenen te verbeteren;

    c) de inwilliging gelasten van verzoeken om uitoefening van bepaalde met die gegevens samenhangende rechten, wanneer die verzoeken, in strijd met de artikelen 13 tot en met 19, zijn geweigerd;

    d) tot de verantwoordelijke voor de verwerking een waarschuwing of berisping richten;

    e) de rectificatie, afscherming, wissing of vernietiging van alle gegevens gelasten indien deze in strijd met de bepalingen betreffende de verwerking van persoonsgegevens verwerkt zijn, en gelasten dat van dergelijke handelingen mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn;

    f) een tijdelijk of definitief verwerkingsverbod opleggen;

    g) de zaak aan de betrokken communautaire instelling of het betrokken communautaire orgaan en zo nodig aan het Europees Parlement, de Raad en de Commissie rapporteren;

    h) het Hof van Justitie van de Europese Gemeenschappen adiëren onder de in het Verdrag bedoelde voorwaarden;

    i) tussenkomen in vorderingen die bij het Hof van Justitie van de Europese Gemeenschappen aanhangig zijn gemaakt.

    2. De Europese Toezichthouder voor gegevensbescherming is bevoegd om:

    a) van een voor de verwerking verantwoordelijke of een communautaire instelling of communautair orgaan toegang te verkrijgen tot alle persoonsgegevens en tot alle informatie die voor zijn onderzoek nodig is;

    b) toegang te verkrijgen tot alle lokaliteiten waar een voor de verwerking verantwoordelijke of een communautaire instelling of communautair orgaan werkzaam is, indien er redelijke gronden zijn om aan te nemen dat aldaar een onder deze verordening vallende activiteit wordt verricht.

    Artikel 48

    Activiteitenverslag

    1. De Europese Toezichthouder voor gegevensbescherming dient jaarlijks bij het Europees Parlement, de Raad en de Commissie een verslag over zijn werkzaamheden in, dat gelijktijdig openbaar wordt gemaakt.

    2. De Europese Toezichthouder legt het activiteitenverslag voor aan de overige communautaire instellingen en organen, die opmerkingen kunnen indienen met het oog op de eventuele bespreking van het verslag in het Europees Parlement, met name met betrekking tot de vermelding van de maatregelen die genomen zijn naar aanleiding van opmerkingen van de Europese Toezichthouder voor gegevensbescherming uit hoofde van artikel 31.

    HOOFDSTUK VI

    SLOTBEPALINGEN

    Artikel 49

    Sancties

    De ambtenaar of een ander personeelslid van de Europese Gemeenschappen die, opzettelijk of uit nalatigheid, de bij of krachtens deze verordening op hem rustende verplichtingen niet nakomt, kan aan een tuchtmaatregel worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Gemeenschappen of van de arbeidsvoorwaarden die op andere personeelsleden van toepassing zijn.

    Artikel 50

    Overgangstermijn

    De communautaire instellingen en de communautaire organen dragen er zorg voor dat verwerkingen die op de datum van de inwerkingtreding van deze verordening aan de gang zijn, binnen één jaar na die datum aan deze verordening beantwoorden.

    Artikel 51

    Inwerkingtreding

    Deze verordening treedt in werking op de twintigste dag volgende op die van haar bekendmaking in het Publicatieblad van de Europese Gemeenschappen.

    Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

    Gedaan te Brussel, 18 december 2000.

    Voor het Europees Parlement

    De voorzitster

    N. Fontaine

    Voor de Raad

    De voorzitter

    D. Voynet

    (1) PB C 376 E van 28.12.1999, blz. 24.

    (2) PB C 51 van 23.2.2000, blz. 48.

    (3) Standpunt van het Europees Parlement van 14 november 2000 en besluit van de Raad van 30 november 2000.

    (4) PB L 281 van 23.11.1995, blz. 31.

    (5) PB L 24 van 30.1.1998, blz. 1.

    (6) PB L 52 van 22.2.1997, blz. 1.

    (7) PB L 318 van 27.11.1998, blz. 8.

    (8) PB L 151 van 15.6.1990, blz. 1, verordening laatstelijk gewijzigd bij Verordening (EG) nr. 322/97 (PB L 52 van 22.7.1997, blz. 1).

    BIJLAGE

    1. De functionaris voor gegevensbescherming kan met het oog op de praktische verbetering van de gegevensbescherming aanbevelingen doen aan de communautaire instelling die of het communautair orgaan dat hem heeft benoemd en hieraan en aan de betrokken verantwoordelijke voor de verwerking over kwesties die verband houden met de toepassing van de bepalingen inzake gegevensbescherming advies geven. Voorts kan hij, op eigen initiatief of op verzoek van de communautaire instelling die of het communautaire orgaan dat hem heeft benoemd, van de betrokken verantwoordelijke voor de verwerking, van het betrokken personeelscomité of van elke natuurlijke persoon, onderzoek uitvoeren naar zaken en gebeurtenissen die rechtstreeks verband houden met zijn taken en waarvan hij op de hoogte is, en verslag uitbrengen aan de persoon die om het onderzoek verzocht heeft of aan de verantwoordelijke voor de verwerking.

    2. De functionaris voor gegevensbescherming kan door de communautaire instelling die, respectievelijk door het communautaire orgaan dat hem heeft benoemd, door de betrokken verantwoordelijke voor de verwerking, door het betrokken personeelscomité en door elke particulier over elke aangelegenheid betreffende de uitlegging of de toepassing van deze verordening worden geraadpleegd.

    3. Niemand mag nadeel ondervinden van het feit dat hij een zaak die naar hij beweert de bepalingen van deze verordening schendt, onder de aandacht van de bevoegde functionaris voor gegevensbescherming heeft gebracht.

    4. Elke betrokken verantwoordelijke voor de verwerking moet de functionaris voor gegevensbescherming bij de uitoefening van zijn functie bijstaan en deze in antwoord op zijn vragen informatie verstrekken. Bij de uitoefening van zijn functie heeft de functionaris voor gegevensbescherming te allen tijde toegang tot de gegevens die het voorwerp van verwerking vormen en tot alle kantoren, gegevensverwerkingsapparatuur en gegevensdragers.

    5. Voorzover nodig wordt de functionaris voor gegevensbescherming vrijgesteld van andere taken. De functionaris voor gegevensbescherming en zijn personeel, op wie artikel 287 van het Verdrag van toepassing is, mogen inlichtingen of bescheiden die zij in het kader van de uitoefening van hun taken verkrijgen, niet openbaar maken.

    Top