TOELICHTING

1. ACHTERGROND VAN HET VOORSTEL

In deze toelichting wordt nader ingegaan op het nieuwe EU-rechtskader voor persoonsgegevensbescherming dat wordt voorgesteld in Mededeling COM(2012) 9 definitief[1]. Het voorgestelde rechtskader omvat twee wetgevingsvoorstellen:

– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens[2].

Deze toelichting heeft betrekking op het wetgevingsvoorstel voor een algemene verordening gegevensbescherming.

Richtlijn 95/46/EG[3], de hoeksteen van de huidige EU-wetgeving inzake persoonsgegevensbescherming, werd in 1995 vastgesteld en had twee doelstellingen: het fundamentele recht op gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen de lidstaten garanderen. De richtlijn werd aangevuld door Kaderbesluit 2008/977/JBZ, een algemeen EU-instrument voor de bescherming van persoonsgegegevens op het gebied van politiële en justitiële samenwerking in strafzaken[4].

Door snelle technologische ontwikkelingen zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoongegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijke leven ingrijpend veranderd.

Het is voor de economische ontwikkeling cruciaal om vertrouwen in de onlineomgeving tot stand te brengen. Een gebrek aan vertrouwen zal consumenten doen aarzelen om online te kopen en nieuwe vormen van dienstverlening te accepteren. Dit zou de ontwikkeling van innovatieve toepassingen van nieuwe technologieën kunnen vertragen. Daarom is de bescherming van persoonsgegevens een kernaspect van de Digitale Agenda voor Europa[5], en draagt het meer in het algemeen bij tot de Europa 2020-strategie[6].

Artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU), zoals ingevoerd door het Verdrag van Lissabon, bepaalt dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid 2, VWEU een specifieke rechtsgrondslag voor de vaststelling van EU-voorschriften inzake gegevensbescherming ingevoerd. Bescherming van persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van de grondrechten van de EU.

De Europese Raad heeft de Commissie verzocht om de werking van de EU-instrumenten inzake gegevensbescherming te beoordelen en zo nodig met nadere initiatieven van wetgevende en niet-wetgevende aard te komen[7]. In zijn resolutie over het programma van Stockholm[8] juichte het Europees Parlement een integrale regeling voor de bescherming van persoonsgegevens in de EU toe en drong het onder meer aan op herziening van het kaderbesluit. De Commissie benadrukte in haar actieplan ter uitvoering van het programma van Stockholm[9] dat bescherming van persoonsgegevens een grondrecht is dat consequent bij het gehele EU-beleid moet worden toegepast.

In haar mededeling “Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie”[10] concludeerde de Commissie dat de EU een meer integraal en coherent beleid inzake het grondrecht op bescherming van persoonsgegevens nodig heeft.

Het huidige rechtskader is nog steeds valide wat zijn doelstellingen en beginselen betreft, maar heeft niet voorkomen dat persoonsgegevens in de Unie op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking het beeld bestaat dat met name onlineactiviteit aanzienlijke risico’s inhoudt[11]. Het is dan ook tijd om een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving daarvan, zodat de digitale economie zich op de hele interne markt kan ontwikkelen, burgers zelf bepalen wat er met hun gegevens gebeurt en er meer praktische en rechtszekerheid wordt geboden aan bedrijven en overheden.

2. RESULTATEN VAN DE RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING

Dit initiatief is het resultaat van uitgebreid overleg met alle belangrijke belanghebbenden over een herziening van het huidige rechtskader voor de bescherming van persoonsgegevens. Dit overleg nam meer dan twee jaar in beslag en omvatte een conferentie op hoog niveau in mei 2009[12] en twee fasen van openbare raadpleging:

– van 9 juli tot en met 31 december 2009 de raadpleging over het rechtskader voor het grondrecht op bescherming van persoonsgegevens. De Commissie ontving 168 reacties: 127 van particulieren, bedrijfsorganisaties en verenigingen en 12 van overheden[13];

– van 4 november 2010 tot en met 15 januari 2011 de raadpleging over integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie. De Commisie ontving 305 reacties: 54 van burgers, 31 van overheden en 220 van particuliere organisaties, met name bedrijfsorganisaties en ngo’s[14].

Ook is er gericht overleg gevoerd met belangrijke belanghebbenden. In juni en juli 2010 zijn specifieke evenementen georganiseerd met de autoriteiten van de lidstaten en particuliere belanghebbenden, alsook met privacy-, gegevensbeschermings- en consumentenorganisaties[15]. In november 2010 organiseerde vicevoorzitter Reding een rondetafelconferentie over de hervorming. Op 28 januari 2011 (dag van de gegevensbescherming) organiseerden de Europese Commissie en de Raad van Europa samen een conferentie op hoog niveau over de hervorming van het EU-rechtskader en de wereldwijde behoefte aan gemeenschappelijke normen voor gegevensbescherming[16]. Onder het Hongaarse en Poolse voorzitterschap van de Raad werden twee conferenties over gegevensbescherming belegd, op respectievelijk 16-17 juni en 21 september 2011.

Verder werden in de loop van 2011 workshops en seminars over specifieke onderwerpen gehouden. In januari organiseerde Enisa[17] een workshop over het melden van inbreuken in verband met persoonsgegevens in Europa[18]. In februari hield de Commissie een workshop met de autoriteiten van de lidstaten over gegevensbeschermingskwesties met betrekking tot de politiële en justitiële samenwerking in strafzaken, waaronder de tenuitvoerlegging van het kaderbesluit, en organiseerde het Bureau voor de grondrechten een bijeenkomst om belanghebbenden te raadplegen over de bescherming van gegevens en de persoonlijke levenssfeer. Op 13 juli 2011 werden de belangrijkste elementen van de hervorming besproken met de nationale gegevensbeschermingsautoriteiten. De mening van de EU-burgers werd gepeild met een Eurobarometerenquête in november-december 2010[19]. Er werd ook opdracht gegeven voor een aantal studies[20]. De Groep gegevensbescherming artikel 29[21] heeft adviezen uitgebracht en nuttige input geleverd aan de Commissie[22]. De Europese Toezichthouder voor gegevensbescherming heeft een breed advies uitgebracht over de problemen die in de mededeling van de Commissie van november 2010 aan de orde waren gesteld[23].

Het Europees Parlement heeft bij zijn resolutie van 6 juli 2011 zijn goedkeuring gehecht aan een verslag waarbij het instemde met de aanpak van de Commissie voor de hervorming van het gegevensbeschermingskader[24]. De Raad van de Europese Unie heeft op 24 februari 2011 conclusies goedgekeurd waarin hij in grote lijnen akkoord ging met het voornemen van de Commissie om het kader voor gegevensbescherming te hervormen en instemt met een groot aantal onderdelen van de aanpak van de Commissie. Ook het Europees Economisch en Sociaal Comité steunde het streven van de Commissie naar een consequentere toepassing van de EU-voorschriften inzake gegevensbescherming[25] door alle lidstaten en een passende herziening van Richtlijn 95/46/EG[26].

Bij de raadplegingen inzake de integrale aanpak was een grote meerderheid van de belanghebbenden het ermee eens dat de algemene beginselen van toepassing blijven. Wel meenden zij dat het huidige kader moet worden aangepast om beter te kunnen inspelen op de uitdagingen die de snelle technologische ontwikkelingen (met name online) en de toenemende globalisering meebrengen. De technologische neutraliteit van het rechtskader zou daarbij moeten worden gehandhaafd. Met name werd door economische actoren zware kritiek geuit op de huidige fragmentatie van de persoonsgegevensbescherming in de Unie. Zij vroegen om meer rechtszekerheid en harmonisering van de regels inzake de bescherming van persoonsgegevens. De ingewikkelde regelgeving inzake internationale doorgiften van persoonsgegevens wordt beschouwd als een aanzienlijke belemmering van hun activiteiten, aangezien zij regelmatig persoonsgegevens vanuit de EU moeten doorgeven naar andere delen van de wereld.

Overeenkomstig haar beleid voor betere regelgeving heeft de Commissie een effectbeoordeling van de beleidsalternatieven verricht. De effectbeoordeling werd verricht op basis van drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken, personen in staat stellen hun gegevensbeschermingsrechten doeltreffender uit te oefenen en een breed, samenhangend kader tot stand brengen voor alle gebieden die onder de bevoegdheid van de Unie vallen, waaronder politiële samenwerking en justitiële samenwerking in strafzaken. Er zijn drie beleidsopties beoordeeld, die verschillen wat betreft de reikwijdte van het optreden. De eerste optie betrof minimale wijzigingen van de wetgeving en het gebruik van interpretatieve mededelingen en beleidsondersteunende maatregelen zoals financieringsprogramma’s en technische instrumenten. De tweede optie was een pakket wettelijke bepalingen om werk te maken van de punten die uit de analyse naar voren waren gekomen. Bij de derde optie werd de gegevensbescherming op EU-niveau gecentraliseerd door voor alle sectoren precieze en gedetailleerde regels vast te stellen en een EU-agentschap op te richten voor toezicht op en handhaving van de bepalingen.

Volgens de gebruikelijke methode van de Commissie is met de steun van een interdepartementale stuurgroep voor elke beleidsoptie beoordeeld welke bijdrage die levert tot de verwezenlijking van de beleidsdoelen, wat de economische gevolgen voor de belanghebbenden (en de gevolgen voor de begroting van de EU-instellingen) zijn, wat de sociale gevolgen zijn en wat de gevolgen zijn voor de grondrechten. Er is niet naar milieugevolgen gekeken. Aan de hand van de algemene effectanalyse is de tweede optie verder uitgewerkt en uitgebreid met een een aantal elementen van de twee andere opties. Dit leidde tot de voorkeursoptie die in dit voorstel is opgenomen. Volgens de effectbeoordeling zal de tenuitvoerlegging onder meer aanzienlijke verbeteringen opleveren wat betreft de rechtszekerheid van de voor de verwerking verantwoordelijken en burgers, verlichting van de administratieve lasten, de consistente handhaving van gegevensbeschermingsregels in de Unie, de mogelijkheid van personen om hun recht op gegevensbescherming binnen de EU uit te oefenen en de efficiëntie van het toezicht op en de handhaving van gegevensbeschermingsregels. De voorkeursoptie zal naar verwachting ook bijdragen tot de doelstelling van de Commissie om de administratieve lasten te vereenvoudigen en te verlichten en tot de verwezenlijking van de doelstellingen van de Digitale Agenda voor Europa, het Stockholm-actieplan en de Europa 2020-strategie.

De Raad voor effectbeoordeling heeft op 9 september 2011 advies uitgebracht over deze effectbeoordeling. Naar aanleiding van het advies van de Raad voor effectbeoordeling is de effectbeoordeling als volgt gewijzigd:

– de doelstellingen van het huidige wetgevingskader (in welk opzicht deze doelstellingen zijn bereikt en in welk opzicht niet) en de doelstellingen van de voorgenomen hervorming zijn verduidelijkt;

– aan de tekst betreffende de probleemstelling zijn meer gegevens en extra verduidelijkingen en uitleg toegevoegd;

– er is een punt over evenredigheid toegevoegd;

– voor zowel het basisscenario en als de voorkeursoptie zijn de berekeningen en ramingen betreffende de administratieve lasten volledig herzien en bijgesteld, en het verband tussen de kosten van kennisgevingen en de totale kosten van de fragmentatie is verduidelijkt (ook wat bijlage 10 betreft);

– er is nauwkeuriger geschetst welke gevolgen met name functionarissen voor gegevensbescherming en privacyeffectbeoordelingen hebben voor micro-, kleine en middelgrote ondernemingen.

De effectbeoordeling en de samenvatting worden als bijlage bij de voorstellen gepubliceerd.

3. JURIDISCHE ELEMENTEN VAN HET VOORSTEL 3.1. Rechtsgrondslag

Dit voorstel is gebaseerd op artikel 16 VWEU, de nieuwe rechtsgrondslag voor de vaststelling van voorschriften inzake gegevensbescherming, die is ingevoerd bij het Verslag van Lissabon. Op grond van deze bepaling kunnen voorschriften worden vastgesteld betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens door lidstaten bij de uitoefening van activiteiten die binnen het toepassingsgebied van het recht van de Unie vallen. Ook kunnen op grond van dit artikel voorschriften worden vastgesteld betreffende het vrije verkeer van persoonsgegevens, met inbegrip van persoonsgegevens die zijn verwerkt door lidstaten of particuliere instanties.

Een verordening wordt beschouwd als het meest geschikte rechtsinstrument voor de vaststelling van het kader voor de bescherming van persoonsgegevens in de EU. Door de rechtstreekse toepasselijkheid krachtens artikel 288 VWEU zal een verordening de juridische fragmentatie verminderen en de rechtszekerheid bevorderen door een geharmoniseerd pakket basisregels in te voeren, de bescherming van de grondrechten van natuurlijke personen te verbeteren en tot de werking van de eengemaakte markt bij te dragen.

De verwijzing naar artikel 114, lid 1, van het VWEU strekt alleen tot wijziging van Richtlijn 2002/58/EG, die ook voorziet in de bescherming van de gerechtvaardigde belangen van abonnees die rechtspersonen zijn.

3.2. Subsidiariteit en evenredigheid

Volgens het subsidiariteitsbeginsel (artikel 5, lid 3, VEU) dient de Unie slechts op te treden indien en voor zover de doelstellingen van het overwogen optreden niet voldoende door de lidstaten kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen optreden beter door de Unie kunnen worden bereikt. In het licht van de hierboven aangekaarte problemen wijst de subsidiariteitsanalyse uit dat om de navolgende redenen actie moet worden ondernomen op EU-niveau.

– Het recht op de bescherming van persoonsgegevens, dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU, vereist dat persoonsgegevens in de hele Unie in dezelfde mate worden beschermd. Zonder gemeenschappelijke regels op EU-niveau bestaat het risico dat de lidstaten verschillende niveaus van gegevensbescherming bieden en dat het grensoverschrijdende verkeer van persoonsgegevens tussen lidstaten met verschillende normen wordt belemmerd.

– Persoonsgegevens worden steeds vaker en sneller doorgegeven over landsgrenzen heen, zowel over de binnengrenzen als de buitengrenzen. Er doen zich bovendien praktische problemen voor bij de handhaving van de wetgeving inzake gegevensbescherming en de samenwerking tussen de lidstaten en hun autoriteiten. Een en ander moet op EU-niveau worden geregeld om de eenvormige toepassing van het Unierecht te waarborgen. De EU is ook het beste in staat om doeltreffende en consequente garanties te bieden voor een gelijk beschermingsniveau bij de doorgifte van persoonsgegevens naar derde landen.

– De problemen met de huidige regeling kunnen niet door de lidstaten afzonderlijk worden verholpen, zeker niet als die problemen te wijten zijn aan de fragmentatie van de nationale wetgevingen. Er is dus een specifieke noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen waardoor vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd.

– Gezien de aard en de omvang van de problemen, die niet beperkt blijven tot één of meer lidstaten, zal de voorgestelde EU-maatregel doeltreffender zijn dan soortgelijke maatregelen die door de lidstaten worden genomen.

Overeenkomstig het evenredigheidsbeginsel moet optreden doelgericht zijn en mag het niet verder gaan dan wat noodzakelijk is om de doelstellingen te verwezenlijken. Dit beginsel is gevolgd vanaf de identificatie en evaluatie van alternatieve beleidsopties tot het opstellen van dit wetgevingsvoorstel.

3.3. Samenvatting van eventuele problemen in verband met de grondrechten

Het recht op de bescherming van persoonsgegevens is vastgelegd in artikel 8 van het Handvest, artikel 16 VWEU en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Zoals het Hof van Justitie van de Europese Unie heeft beklemtoond[27], heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar moet het in relatie tot de functie ervan in de maatschappij worden beschouwd[28]. Er is een nauw verband tussen gegevensbescherming en de eerbiediging van het privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest wordt beschermd. Dat blijkt ook uit artikel 1, lid 1, van Richtlijn 95/46/EG, waarin wordt bepaald dat de lidstaten in verband met de verwerking van persoonsgegevens de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen, inzonderheid van het recht op persoonlijke levenssfeer, moeten waarborgen.

Andere in het Handvest vastgelegde grondrechten die mogelijk in het geding zijn, zijn de vrijheid van meningsuiting (artikel 11 van het Handvest), de vrijheid van ondernemerschap (artikel 16), het recht op eigendom en met name de bescherming van intellectuele eigendom (artikel 17, lid 2), het verbod op discriminatie op grond van onder meer ras, etnische afkomst, genetische kenmerken, godsdienst of overtuiging, politieke of andere denkbeelden, een handicap of seksuele gerichtheid (artikel 21), de rechten van het kind (artikel 24), het recht op goede gezondheidszorg (artikel 35), het recht van inzage in documenten (artikel 42), het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).

3.4. Nadere uitleg van het voorstel 3.4.1. HOOFDSTUK I - ALGEMENE BEPALINGEN

In artikel 1 wordt het onderwerp van de verordening bepaald en worden, evenals in artikel 1 van Richtlijn 95/46/EG, de twee doelstellingen van de verordening geformuleerd.

Artikel 2 bepaalt het materiële toepassingsgebied van de verordening.

Artikel 3 bepaalt het geografische toepassingsgebied van de verordening.

Artikel 4 bevat de definities van de termen die in de verordening worden gebruikt. Hoewel sommige definities volledig zijn overgenomen uit Richtlijn 95/46/EG, zijn andere definities aangepast, aangevuld met extra elementen, of geheel nieuw (“inbreuk in verband met persoonsgegevens”, gebaseerd op artikel 2, lid h), van Richtlijn 2002/58/EG[29] als gewijzigd bij Richtlijn 2009/136/EG[30], “genetische gegevens”, “biometrische gegevens”, “gegevens over gezondheid”, “belangrijkste vestiging”, “vertegenwoordiger”, “onderneming”, “groep van ondernemingen”, “bindende bedrijfsvoorschriften” en “kind”, gebaseerd op het VN-Verdrag inzake de rechten van het kind[31], en “toezichthoudende autoriteit”).

In de definitie van “toestemming” is het criterium “uitdrukkelijk” toegevoegd om verwarring met “ondubbelzinnige” toestemming te voorkomen en tot één enkele en consistente definitie van “toestemming” te komen, teneinde te waarborgen dat de betrokkene zich ervan bewust is dat en waarvoor hij toestemming geeft.

3.4.2. HOOFDSTUK II – BEGINSELEN

Artikel 5 bevat de beginselen betreffende de verwerking van persoonsgegevens die overeenkomen met die van artikel 6 van Richtlijn 95/46/EG. Nieuw zijn met name het transparantiebeginsel, de verduidelijking van het beginsel van minimale gegevensverwerking en de vaststelling van alomvattende verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke.

In artikel 6, dat gebaseerd is op artikel 7 van Richtlijn 95/46/EG, zijn de criteria voor rechtmatige verwerking vervat. Deze criteria zijn: belangenafweging, naleving van wettelijke verplichtingen en inachtneming van het algemeen belang.

In artikel 7 wordt toegelicht onder welke voorwaarden toestemming een geldige grond voor rechtmatige verwerking is.

Artikel 8 bevat nadere voorwaarden betreffende de rechtmatigheid van de verwerking van persoonsgegevens van kinderen in het kader van diensten van de informatiemaatschappij die hun rechtstreeks worden aangeboden.

Artikel 9, dat is gebaseerd op artikel 8 van Richtlijn 95/46/EG, bevat het algemene verbod op de verwerking van speciale categorieën persoonsgegevens en de uitzonderingen op die algemene regel.

In artikel 10 wordt verduidelijkt dat de voor de verwerking verantwoordelijke niet verplicht is, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene.

3.4.3. HOOFDSTUK III - RECHTEN VAN DE BETROKKENE 3.4.3.1. Afdeling 1 – Transparantie en modaliteiten

Artikel 11 houdt in dat voor de verwerking verantwoordelijken transparante, eenvoudig toegankelijke en begrijpelijke informatie moeten verstrekken. Dit artikel is met name ingegeven door de Resolutie van Madrid over internationale normen voor de bescherming van persoonsgegevens en privacy[32].

Krachtens artikel 12 moet de voor de verwerking verantwoordelijke voorzien in procedures en mechanismen voor de uitoefening van de rechten van de betrokkene, met inbegrip van middelen voor elektronische indiening van verzoeken, een termijn voor de beantwoording van verzoeken van betrokkenen en de plicht om weigeringen te motiveren.

Artikel 13 verleent rechten aan de ontvangers. Het is gebaseerd op artikel 12, onder c), van Richtlijn 95/46/EG, maar is uitgebreid tot alle ontvangers, met inbegrip van de gezamenlijk voor de verwerking verantwoordelijken en verwerkers.

3.4.3.2. Afdeling 2 – Informatie en toegang tot gegevens

In artikel 14 wordt de mededelingsplicht die de voor de verwerking verantwoordelijke heeft ten opzichte van de betrokkene uitgewerkt. Dit artikel is gebaseerd op artikel 11 en 12 van Richtlijn 95/46/EG en bevat aanvullende bepalingen over de informatie die aan de betrokkene moet worden meegedeeld en die onder meer betrekking heeft op de opslagtermijn, het recht een klacht in te dienen, internationale doorgiften en de bron waaruit de gegevens afkomstig zijn. Ook de mogelijke uitzonderingsbepalingen van Richtlijn 95/46/EG zijn overgenomen. Zo is deze verplichting niet van toepassing als de registratie of verstrekking uitdrukkelijk bij wet is voorgeschreven. Dit zou bijvoorbeeld kunnen gelden voor procedures van mededingingsautoriteiten, belasting- of douanediensten en diensten met bevoegdheid op het gebied van de sociale zekerheid.

Artikel 15 voorziet in het recht van de betrokkene op toegang tot zijn persoonsgegevens. Dit artikel is gebaseerd op artikel 12, onder a), van Richtlijn 95/46/EG, waaraan nieuwe elementen zijn toegevoegd. Zo moet de betrokkene worden gewezen op de opslagtermijn, het recht van rectificatie, het recht van uitwissing en het recht een klacht in te dienen.

3.4.3.3. Afdeling 3 – Rectificatie en uitwissing

Artikel 16 bepaalt het recht van rectificatie van de betrokkene. Het is gebaseerd op artikel 12, onder b), van Richtlijn 95/46/EG.

Artikel 17 voorziet in het recht om te worden vergeten en het recht op uitwissing van gegevens. Het is een nadere uitwerking en invulling van het in Richtlijn 95/46/EG vervatte recht van uitwissing en verbindt voorwaarden aan het recht om te worden vergeten. Zo dient de voor de verwerking verantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, derden op de hoogte te stellen van het verzoek van de betrokkene om iedere koppeling naar en kopie of reproductie van die persoonsgegevens uit te wissen. Ook is hierin het recht opgenomen om in bepaalde gevallen de verwerking te laten beperken, waarbij de dubbelzinnige term “afschermen” is vermeden.

Bij artikel 18 wordt de betrokkene het recht verleend op gegevensoverdraagbaarheid, dat wil zeggen het recht om gegevens van het ene elektronische verwerkingssysteem naar het andere over te dragen, zonder hiervan door de voor de verwerking verantwoordelijke te worden weerhouden. Teneinde de toegang van natuurlijke personen tot hun persoonsgegevens verder te verbeteren, voorziet het artikel als een absolute voorwaarde in het recht om deze gegevens te ontvangen in een gestructureerd en algemeen gebruikt elektronisch formaat.

3.4.3.4. Afdeling 4 – Recht van bezwaar en profilering

Artikel 19 regelt het recht van bezwaar van de betrokkene. Het is gebaseerd op artikel 14 van Richtlijn 95/46/EG. Dat artikel is in een aantal opzichten gewijzigd, onder meer wat betreft de bewijslast en direct marketing.

Artikel 20 heeft betrekking op het recht van de betrokkene om niet op basis van profilering aan een maatregel te worden onderworpen. Het artikel bouwt voort op artikel 15, lid 1, van Richtlijn 95/46/EG, over geautomatiseerde individuele besluiten, maar bevat wijzigingen en aanvullende garanties. Verder is rekening gehouden met de aanbeveling over profilering van de Raad van Europa[33].

3.4.3.5. Afdeling 5 – Beperkingen

In artikel 21 wordt toelichting verschaft inzake de bevoegdheid van de Unie en de lidstaten om met betrekking tot de beginselen van artikel 5 en de in de artikelen 11-20 en 32 vervatte rechten van de betrokkene beperkingen te handhaven of in te voeren. Deze bepaling is gebaseerd op artikel 13 van Richtlijn 95/46/EG en op de vereisten die voortvloeien uit het Handvest van de grondrechten en het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd door het Hof van Justitie van de EU en het Europees Hof voor de rechten van de mens.

3.4.4. HOOFDSTUK IV - DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER 3.4.4.1. Afdeling 1 – Algemene verplichtingen

In artikel 22 krijgt de discussie over het verantwoordingsbegingsel zijn beslag en wordt uitvoerig ingegaan op de plicht van de voor de verwerking verantwoordelijke om aan deze verordening te voldoen en zulks aantoonbaar te maken, onder meer door het vaststellen van interne regelingen en mechanismen.

Artikel 23 betreft de plichten van de voor de verwerking verantwoordelijke die voortvloeien uit de beginselen inzake privacy by design en privacy by default.

Artikel 24 verduidelijkt de verantwoordelijkheden van gezamenlijk voor de verwerking verantwoordelijken wat betreft hun onderlinge verhouding en de verhouding met de betrokkene.

Krachtens artikel 25 dienen de voor de verwerking verantwoordelijken die niet in de Unie zijn gevestigd, onder bepaalde voorwaarden en voor zover hun verwerkingsactiviteiten onder de verordening vallen, een vertegenwoordiger in de Unie aan te wijzen.

Artikel 26 verduidelijkt de positie en de verplichting van verwerkers. Deze bepaling is deels gebaseerd op artikel 17, lid 2, van Richtlijn 95/46/EG, maar is uitgebreid met nieuwe elementen. Zo moet een verwerker die niet uitsluitend op instructie van de voor de verwerking verantwoordelijke handelt, als een gezamenlijk voor de verwerking verantwoordelijke worden beschouwd.

Artikel 27 heeft betrekking op verwerking onder het gezag van de voor de verwerking verantwoordelijke en de verwerker. Het artikel is gebaseerd op artikel 16 van Richtlijn 95/46/EG.

Bij artikel 28 worden voor de verwerking verantwoordelijken en verwerkers ertoe verplicht de verwerking die onder hun verantwoordelijkheid wordt verricht, te documenteren, in plaats van een algemene kennisgeving te doen toekomen aan de toezichthoudende autoriteit overeenkomstig artikel 18, lid 1, en artikel 19 van Richtlijn 95/46/EG.

Artikel 29 verduidelijkt de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker bij de samenwerking met de toezichthoudende autoriteit.

3.4.4.2. Artikel 2 – Beveiliging van gegevens

Krachtens artikel 30 moeten de voor de verwerking verantwoordelijke en de verwerker passende maatregelen treffen voor de beveiliging van de verwerking. Deze bepaling is gebaseerd op artikel 17, lid 1, van Richtlijn 95/46/EG, maar breidt de verplichting uit tot de verwerkers, ongeacht hun contract met de voor de verwerking verantwoordelijke.

Bij de artikelen 31 en 32 wordt de verplichting ingevoerd om inbreuken in verband met persoonsgegevens te melden. Deze bepaling bouwt voort op artikel 4, lid 3, van Richtlijn 2002/58/EG (e-privacyrichtlijn).

3.4.4.3. Afdeling 3 – Privacyeffectbeoordeling en voorafgaande toestemming

Artikel 33 bepaalt dat voor de verwerking verantwoordelijken en verwerkers gevoelige verwerkingsactiviteiten eerst aan een privacyeffectbeoordeling moeten onderwerpen.

Artikel 34 heeft betrekking op de gevallen waarin toestemming door en raadpleging van de toezichthoudende autoriteit geboden is vóór de verwerking. Deze bepaling bouwt voort op de voorafgaande controle overeenkomstig artikel 20 van Richtlijn 95/46/EG.

3.4.4.4. Afdeling 4 – Functionaris voor gegevensbescherming

Artikel 35 houdt in dat een functionaris voor gegevensverwerking verplicht is in de publieke sector. In de particuliere sector geldt de verplichting voor grote ondernemingen en wanneer een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingsactiviteiten waarop regelmatig en stelselmatig toezicht moet worden gehouden. Deze bepaling bouwt voort op artikel 18, lid 2, van Richtlijn 95/46/EG, op grond waarvan lidstaten de vereiste inzake algemene kennisgeving door een dergelijke verplichting mochten vervangen.

In artikel 36 wordt de positie van de functionaris voor gegevensbescherming geregeld.

Artikel 37 bepaalt de kerntaken van de functionaris voor gegevensbescherming.

3.4.4.5. Afdeling 5 – Gedragscodes en certificering

Artikel 38 heeft betrekking op gedragscodes en bouwt voort op artikel 27, lid 1, van Richtlijn 95/46/EG. De inhoud van de codes en de procedures wordt nader toegelicht en de Commissie wordt bevoegd verklaard om zich uit te spreken over de algemene geldigheid van gedragscodes.

Artikel 39 voorziet in de mogelijkheid certificeringsmechanismen en gegevensbeschermingszegels en -merktekens vast te stellen.

3.4.5. HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 40 stelt dat de verplichtingen in dat hoofdstuk van toepassing zijn op elke doorgifte van persoonsgegevens naar derde landen of internationale organisaties, met inbegrip van verdere doorgifte.

Artikel 41 bevat de criteria, voorwaarden en procedures voor de vaststelling van een besluit waarbij een beschermingsniveau door de Commissie passend wordt verklaard en is gebaseerd op artikel 25 van Richtlijn 95/46/EG. Voorts wordt bepaald aan de hand van welke criteria de Commissie beoordeelt of het beschermingsniveau al dan niet passend is, tot welke criteria uitdrukkelijk de rechtsstaat, de toegang tot rechtsmiddelen en onafhankelijk toezicht behoren. Het artikel voorziet ook uitdrukkelijk in de mogelijkheid dat de Commissie het beschermingsniveau beoordeelt dat door een gebied of een verwerkingssector in een derde land geboden wordt.

Indien de Commissie geen besluit heeft vastgesteld waarbij een beschermingsniveau passend wordt verklaard, moeten krachtens artikel 42 voor doorgifte naar derde landen passende garanties worden geboden, zoals modelbepalingen inzake gegevensbescherming, bindende bedrijfsvoorschriften en contractbepalingen. De mogelijkheid om gebruik te maken van modelbepalingen inzake gegevensbescherming van de Commissie is gebaseerd op artikel 26, lid 4, van Richtlijn 95/46/EG. Nieuw is dat dergelijke modelbepalingen inzake gegevensbescherming kunnen worden vastgesteld door een toezichthoudende autoriteit en algemeen geldig kunnen worden verklaard door de Commissie. Bindende bedrijfsvoorschriften worden nu specifiek genoemd in deze verordening. De mogelijkheid van contractbepalingen biedt de voor de verwerking verantwoordelijke of verwerker zekere flexibiliteit, maar vereist wel voorafgaande toestemming van de toezichthoudende autoriteiten.

In artikel 43 worden de voorwaarden voor doorgifte verder gespecificeerd in de vorm van bindende bedrijfsregels op basis van de huidige praktijken en vereisten van de toezichthoudende autoriteiten.

In artikel 44 worden de uitzonderingsbepalingen voor gegevensdoorgifte uiteengezet en verklaard, gebaseerd op de bestaande bepalingen van artikel 26 van Richtlijn 95/46/EG. Dit heeft in het bijzonder betrekking op doorgiften van gegevens die vereist en noodzakelijk om gewichtige redenen van algemeen belang, zoals in geval van internationale doorgifte van gegevens tussen mededingingsautoriteiten, belasting- of douanediensten, of diensten met bevoegdheid op het gebied van de sociale zekerheid of visserijbeheer. Voorts kan een gegevensdoorgifte onder beperkte voorwaarden gerechtvaardigd zijn in verband met de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of de verwerker, maar slechts nadat de omstandigheden van deze doorgifte zijn geëvalueerd en gedocumenteerd.

Artikel 45 voorziet uitdrukkelijk in mechanismen voor internationale samenwerking inzake de bescherming van persoonsgegevens tussen de Commissie en de toezichthoudende autoriteiten van derde landen, met name die waarvan het beschermingsniveau als passend is beoordeeld, rekening houdende met de aanbeveling van de Organisatie voor Economische Samenwerking en Ontwikkelinge (OESO) van 12 juni 2007 inzake grensoverschrijdende samenwerking bij de handhaving van wetgeving ter bescherming van de privacy.

3.4.6. HOOFDSTUK VI – ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN 3.4.6.1. Afdeling 1 – Onafhankelijkheid

Bij artikel 46 worden de lidstaten verplicht toezichthoudende autoriteiten in te stellen, op grond van artikel 28, lid 1, van Richtlijn 95/46/EG, en worden de taken van de toezichthoudende autoriteiten uitgebreid tot onderlinge samenwerking en samenwerking met de Commissie uitgebreid.

Artikel 47 verduidelijkt de voorwaarden voor de onafhankelijkheid van de toezichthoudende autoriteit, waarbij de jurisprudentie van het Hof van Justitie van de EU[34] wordt toegepast en is ook geïnspireerd op artikel 44 van Verordening (EG) nr. 45/2001[35].

Artikel 48 stelt algemene voorwaarden vast voor de leden van de toezichthoudende autoriteit, waarbij de jurisprudentie van het Hof van Justitie van de EU[36] wordt toegepast en is ook geïnspireerd op artikel 42, leden 2 tot en met 6, van Verordening (EG) nr. 45/2001.

Artikel 49 bevat voorschriften voor de instelling van de toezichthoudende autoriteit die de lidstaten bij de wet moeten vaststellen.

In artikel 50 wordt het beroepsgeheim van de leden en het personeel van de toezichthoudende autoriteit vastgelegd en is gebaseerd op artikel 28, lid 7, van Richtlijn 95/46/EG.

3.4.6.2. Afdeling 2 – Taken en bevoegdheden

Artikel 51 stelt de bevoegdheden van de toezichthoudende autoriteiten vast. De algemene regel, gebaseerd op artikel 28, lid 6, van Richtlijn 95/46/EG (bevoegdheid op het grondgebied van de eigen lidstaat), wordt aangevuld met de nieuwe bevoegdheid van hoofdautoriteit indien een voor de verwerking verantwoordelijke of verwerker in meerdere lidstaten is gevestigd, ten einde een uniforme toepassing te garanderen (“éénloketsysteem”). Gerechten zijn in het kader van hun gerechtelijke taken niet onderworpen aan het toezicht van de toezichthoudende autoriteit, maar wel aan de toepassing van de materiële voorschriften inzake gegevensbescherming.

Artikel 52 bepaalt de taken van de toezichthoudende autoriteit. Daartoe behoren het horen en onderzoeken van klachten en het bevorderen van de bekendheid van het publiek met de risico’s, voorschriften, waarborgen en rechten.

Artikel 53 bepaalt de bevoegdheden van de toezichthoudende autoriteit, deels voortbouwend op artikel 28, lid 3, van Richtlijn 95/46/EG en artikel 47 van Verordening (EG) nr. 45/2001, met toevoeging van een aantal nieuwe elementen, zoals de bevoegdheid om administratieve inbreuken te bestraffen.

Artikel 54 bepaalt dat de toezichthoudende autoriteiten een jaarlijks activiteitenverslag opstellen en is gebaseerd op artikel 28, lid 5, van Richtlijn 95/46/EG.

3.4.7. HOOFDSTUK VII - SAMENWERKING EN CONFORMITEIT 3.4.7.1. Afdeling 1 - Samenwerking

Artikel 55 voert expliciete voorschriften in over de verplichting tot wederzijdse bijstand, met inbegrip van consequenties in geval van het niet-ingaan op het verzoek van een andere toezichthoudende autoriteit, voortbouwend op artikel 28, lid 6, tweede alinea, van Richtlijn 95/46/EG.

Artikel 56 voert voorschriften in betreffende gezamenlijke operaties, geïnspireerd op artikel 17 van Besluit 2008/615/JBZ van de Raad[37], met inbegrip van het recht van de toezichthoudende autoriteiten om aan dergelijke operaties deel te nemen.

3.4.7.2. Afdeling 2 - Conformiteit

Artikel 57 voert een conformiteitstoetsing in voor een uniforme toepassing van de verwerkingsoperaties die betrekking kunnen hebben op betrokkenen in diverse lidstaten.

Artikel 58 bepaalt de procedures en voorwaarden voor een advies van het Europees Comité voor gegevensbescherming.

Artikel 59 betreft adviezen van de Commissie in zaken waarop de conformiteitstoetsing betrekking heeft, en waarmee een advies van het Europees Comité voor gegevensbescherming ofwel wordt bevestigd ofwel een verschil van mening met dat advies wordt uitgesproken, alsook de ontwerp-maatregel van de toezichthoudende autoriteit. Indien een zaak door het Europees Comité voor gegevensbescherming krachtens artikel 58, lid 3, is aangekaart, kan worden verwacht dat de Commissie haar discretionaire bevoegdheid zal uitoefenen en indien nodig een advies terzake zal uitbrengen.

Artikel 60 betreft besluiten van de Commissie waarmee de bevoegde autoriteit wordt verplicht haar ontwerp-maatregel op te schorten indien dit nodig is voor een correcte toepassing van deze verordening.

Artikel 61 voorziet in de mogelijkheid om voorlopige maatregelen te treffen in een spoedprocedure.

Artikel 62 stelt de vereisten vast voor uitvoeringshandelingen van de Commissie in het kader van de conformiteitstoetsing.

Artikel 63 voorziet in de verplichting om de maatregelen van een toezichhoudende autoriteit uit te voeren in alle betrokken lidstaten, en bepaalt dat de conformiteitstoetsing een absolute voorwaarde is voor de rechtsgeldigheid en de handhaving van de betrokken maatregel.

3.4.7.3. Afdeling 3 - Europees Comité voor gegevensbescherming

Bij artikel 64 wordt het Europees Comité voor gegevensbescherming opgericht, dat bestaat uit de voorzitters van de toezichthoudende autoriteit van elke lidstaat en van de Europese Toezichthouder voor gegevensbescherming. Het Europees Comité voor gegevensbescherming vervangt de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens. Er wordt verduidelijkt dat de Commissie geen lid is van het Europees Comité voor gegevensbescherming, maar het recht heeft aan de activiteiten deel te nemen en erin te zijn vertegenwoordigd.

Artikel 65 onderstreept en verduidelijkt de onafhankelijkheid van het Europees Comité voor gegevensbescherming.

Artikel 66 beschrijft de taken van het Europees Comité voor gegevensbescherming, gebaseerd op artikel 30, lid 1, van Richtlijn 95/46/EG en voorziet in aanvullende elementen, als gevolg van de grotere spanwijdte van het Europees Comité voor gegevensbescherming binnen de Unie en daarbuiten. Om in staat te zijn op dringende situaties te reageren, wordt de Commissie de mogelijkheid verleend binnen een specifieke tijdslimiet om advies te vragen.

Artikel 67 verplicht het Europees Comité voor gegevensbescherming jaarlijks verslag uit te brengen over zijn activiteiten, voortbouwend op artikel 30, lid 6, van Richtlijn 95/46/EG.

Artikel 68 bevat de besluitvormingsprocedures van het Europees Comité voor gegevensbescherming, met inbegrip van de verplichting een reglement van orde aan te nemen dat ook op de operationele regelingen betrekking heeft.

Artikel 69 bevat de bepalingen over het voorzitterschap en de vicevoorzitterschappen van het Europees Comité voor gegevensbescherming.

Artikel 70 zet de taken van het voorzitterschap uiteen.

Artikel 71 bepaalt dat het secretariaat van het Europees Comité voor gegevensbescherming wordt waargenomen door de Europese Toezichthouder voor gegevensbescherming, en specificeert de taken van het secretariaat.

Artikel 72 stelt de regels inzake vertrouwelijkheid vast.

3.4.8. HOOFDSTUK VIII – BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES

Artikel 73 voorziet in het recht van de betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit, gebaseerd op artikel 28, lid 4, van Richtlijn 95/46/EG. Het artikel bepaalt tevens welke instanties, organisaties of verenigingen een klacht mogen indienen namens de betrokkene, of, wanneer het om een inbreuk in verband met persoonsgegevens gaat, ongeacht een eventuele klacht van de betrokkene.

Artikel 74 betreft het recht om tegen een toezichthoudende autoriteit beroep bij de rechter in te stellen. Het bouwt voort op de algemene bepaling van artikel 28, lid 3, van Richtlijn 95/46/EG. Het voorziet specifiek in een beroep bij de rechter waardoor de toezichthoudende autoriteit verplicht wordt de klacht in behandeling te nemen, en verduidelijkt de bevoegdheid van de gerechten in de lidstaten waar de toezichthoudende autoriteit is gevestigd. Het voorziet tevens in de mogelijkheid dat de toezichthoudende autoriteit in de lidstaat waar de betrokkene is gevestigd, namens de betrokkene een gerechtelijke procedure mag aanspannen in een andere lidstaat waar de bevoegde toezichthoudende autoriteit is gevestigd.

Artikel 75 betreft het recht van beroep bij de rechter tegen een voor de verwerking verantwoordelijke of verwerker, voortbouwend op artikel 22 van Richtlijn 95/46/EG en de biedt de mogelijkheid te kiezen voor de rechter in de lidstaat waar de verweerder is gevestigd of in de lidstaat waar de betrokkene woont. Indien een procedure over een en dezelfde aangelegenheid wordt behandeld in het kader van de conformiteitstoetsing, kan de rechtbank de zaak opschorten, behalve in dringende aangelegenheden.

Artikel 76 stelt gemeenschappelijke voorschriften vast voor gerechtelijke procedures, inclusief het recht van organen, organisaties en verenigingen om betrokkenen voor de rechter te vertegenwoordigen, het recht van de toezichthoudende autoriteit om gerechtelijke procedures aan te spannen, het informeren van de rechtbanken over parallelle procedures in een andere lidstaat, alsook de mogelijkheid voor de rechtbanken om in een dergelijk geval de procedure op te schorten.[38] De lidstaten zijn verplicht te voorzien in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen.[39]

Artikel 77 behandelt het recht op vergoeding en de aansprakelijkheid. Het bouwt voort op artikel 23 van Richtlijn 95/46/EG, breidt dit recht uit tot schade die is veroorzaakt door verwerkers en verduidelijkt de aansprakelijkheid van gezamenlijk voor de verwerking verantwoordelijken en gezamenlijk opererende verwerkers.

Artikel 78 verplicht de lidstaten ertoe voorschriften vast te stellen inzake sancties om inbreuken op deze verordening te bestraffen, en toe te zien op de tenuitvoerlegging van die sancties.

Artikel 79 verplicht elke toezichthoudende autoriteit om de in de lijsten van deze bepaling genoemde administratieve inbreuken te bestraffen, en legt maximumboeten vast, rekening houdend met de individuele omstandigheden van elk geval.

3.4.9. HOOFDSTUK IX - BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING

Artikel 80 verplicht de lidstaten uitzonderingen op en afwijkingen van specifieke bepalingen van de verordening vast te stellen waar dat nodig is om het recht op de bescherming van persoonsgegevens te verzoenen met het recht op vrijheid van meningsuiting. Dit is gebaseerd op artikel 9 van Richtlijn 95/46/EG, als geïnterpreteerd door het Hof van Justitie van de EU.[40]

Artikel 81 verplicht de lidstaten, naast de voorwaarden voor speciale categorieën gegevens, specifieke garanties vast te stellen voor verwerking voor gezondheidsdoeleinden.

Artikel 82 machtigt de lidstaten specifieke wetgeving aan te nemen voor de verwerking van persoonsgegevens in het kader van werkgelegenheid.

Artikel 83 stelt de specifieke voorwaarden vast voor de verwerking van persoonsgegevens voor historische, statistische en wetenschappelijke onderzoeksdoeleinden.

Artikel 84 machtigt de lidstaten specifieke regels vast te stellen voor de toegang van toezichthoudende autoriteiten tot persoonsgevevens en lokalen, waar de voor de verwerking verantwoordelijken gehouden zijn tot beroepsgeheim.

Artikel 85 staat in het licht van artikel 17 van het Verdrag betreffende de werking van de Europese Unie de blijvende toepassing toe van de bestaande omvattende regels inzake gegevensbescherming van kerkgenootschappen indien deze op één lijn worden gebracht met deze verordening.

3.4.10. HOOFDSTUK X – GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 86 bevat standaardbepalingen inzake de uitvoering van bevoegdheidsdelegaties overeenkomstig artikel 290 VWEU. Dit artikel biedt de wetgever de mogelijkheid om aan de Commissie de bevoegdheid over te dragen niet-wetgevingshandelingen van algemene strekking vast te stellen ter aanvulling of wijziging van bepaalde niet-essentiële onderdelen van een wetgevingshandeling (quasiwetgevingshandelingen).

Artikel 87 voorziet in de comitéprocedure die is vereist om aan de Commissie uitvoeringsbevoegdheden toe te kennen in gevallen waarin het overeenkomstig artikel 291 VWEU nodig is dat juridisch bindende handelingen van de Unie volgens eenvormige voorwaarden worden uitgevoerd. De onderzoeksprocedure is van toepassing.

3.4.11. HOOFDSTUK XI - SLOTBEPALINGEN

Artikel 88 voorziet in intrekking van Richtlijn 95/46/EEG.

Artikel 89 verduidelijkt het verband met de e-privacy-Richtlijn 2002/58/EG en wijzigt deze.

Artikel 90 verplicht de Commissie tot evaluatie van de verordening en rapportage terzake.

Artikel 91 bepaalt de datum van inwerkingrreding van de verordening en een overgangsfase betreffende de toepassingsdatum.

4.           GEVOLGEN VOOR DE BEGROTING

De specifieke gevolgen van het voorstel voor de begroting hebben betrekking op de taken die zijn toegekend aan de Europese Toezichthouder voor gegevensbescherming, zoals gespecificeerd in het financieel memorandum bij dit voorstel. Deze gevolgen maken een herprogrammering van rubriek 5 van de financiële vooruitzichten noodzakelijk.

Het voorstel heeft geen gevolgen voor de beleidsuitgaven.

Het financieel memorandum bij dit voorstel voor een verordening bestrijkt de budgettaire gevolgen van de verordening zelf en van de richtlijn betreffende politiële en justitiële gegevensbescherming.

2012/0011 (COD)

Voorstel voor een

VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD

betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, en artikel 114, lid 1,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité[41],

Na raadpleging van de Europese Toezichthouder voor gegevensbescherming[42],

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1) De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1, van het Verdrag heeft eenieder het recht op bescherming van zijn persoonsgegevens.

(2) De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, en in het bijzonder met hun recht op bescherming van persoonsgegevens. Gegevensverwerking dient bij te dragen tot de totstandbrenging van een ruimte van vrijheid, veiligheid en recht en van een economische unie, tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het individuele welzijn.

(3) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens[43] heeft tot doel de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te garanderen.

(4) De economische en sociale integratie die het gevolg is van de werking van de interne markt heeft geleid tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens. De gegevensuitwisseling tussen economische en sociale actoren is in de publieke en de particuliere sector toegenomen. De nationale autoriteiten van de lidstaten moeten op grond van het EU-recht samenwerken en persoonsgegevens uitwisselen om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat.

(5) Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoongegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en maakt het noodzakelijk het vrije verkeer van gegevens binnen de Unie en de doorgifte naar derde landen en internationale organisaties verder te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen.

(6) In verband met deze ontwikkelingen moet een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand worden gebracht en bovendien scherp worden toegezien op de handhaving daarvan, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich op de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben en er dient meer praktische en rechtszekerheid te worden geboden aan personen, bedrijven en overheden.

(7) Richtlijn 95/46/EG is wat doelstellingen en beginselen betreft nog steeds valide, maar heeft niet voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking het beeld bestaat dat met name onlineactiviteit aanzienlijke risico´s inhoudt met betrekking tot de bescherming van natuurlijke personen. De verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid de bescherming van persoonsgegevens, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, kunnen het vrije verkeer van persoonsgegevens binnen de Unie beletten. Deze verschillen kunnen bijgevolg een belemmering vormen voor de uitoefening van economische activiteiten op EU-schaal, de mededinging vervalsen en de overheid beletten haar taak ten aanzien van de toepassing van het EU-recht te vervullen. Deze verschillende beschermingsniveaus zijn het gevolg van de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG.

(8) Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens op te heffen, dient het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

(9) Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking en nadere vaststelling van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, maar ook vergelijkbare bevoegdheden inzake toezicht en handhaving van de voorschriften inzake gegevensbescherming en vergelijkbare sancties voor overtreders in de lidstaten.

(10) Artikel 16, lid 2, van het Verdrag machtigt het Europees Parlement en de Raad om de voorschriften vast te stellen betreffende de bescherming van personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens.

(11) Teneinde personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van gegevens op de interne markt hinderen, is een verordening nodig om bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de voor de verwerking verantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Met het oog op de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordeningen een aantal uitzonderingsbepalingen. Bovendien worden de instellingen en organen van de Unie, de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen uit Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003.

(12) De bescherming die door deze verordening wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Met betrekking tot de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon, dient geen beroep op deze verordening te kunnen worden gedaan. Dit dient ook te gelden wanneer de naam van de rechtspersoon de namen van een of meer natuurlijke personen bevat.

(13) De bescherming van personen dient technologisch neutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van personen dient zowel te gelden bij automatische als manuele verwerking van persoonsgegevens, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze verordening te vallen.

(14) Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van grondrechten en fundamentele vrijheden of het vrije verkeer van gegevens in verband met niet onder het EU-recht vallende activiteiten en betreft noch de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, die onder Verordening (EG) nr. 45/2001[44] vallen, noch de gegevensverwerking die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie.

(15) Deze verordening dient niet van toepassing te zijn op de verwerking van persoonsgegevens van louter persoonlijke of huishoudelijke aard, zoals correspondentie of adressenbestanden, door een natuurlijke persoon, wanneer deze verwerking zonder commercieel belang wordt verricht en dus geen enkel verband houdt met een beroeps- of handelsactiviteit. De uitzondering dient evenmin te gelden voor de voor de verwerking verantwoordelijken en de verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.

(16) De bescherming van personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens is aan een specifiek EU-rechtsinstrument onderworpen. Deze verordening dient derhalve niet van toepassing te zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Het gebruik van overeenkomstig deze verordening door de openbare autoriteiten verwerkte gegevens met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties dient echter te worden geregeld bij het meer specifieke EU-rechtsinstrument (Richtlijn XX/YYYY).

(17) Deze verordening dient geen afbreuk te doen aan de toepassing van Richtlijn 2000/31/EG, inzonderheid de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn.

(18) Deze verordening biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(19) Verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, of de eigenlijke verwerking nu in de Unie plaatsvindt of niet. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging. De rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.

(20) Om te waarborgen dat personen niet worden uitgesloten van de bescherming waarop zij krachtens deze verordening recht hebben, dient op de verwerking van persoonsgegevens van in de Unie wonende betrokkenen door een niet in de Unie gevestigde verwerker deze verordening van toepassing te zijn wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan dergelijke betrokkenen of met het observeren van hun gedrag.

(21) Om uit te maken of een verwerking kan worden beschouwd als “observeren/volgen van gedrag” van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd met gegevensverwerkingstechnieken waarbij een “profiel” op een natuurlijke persoon wordt toegepast, in het bijzonder om besluiten over hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.

(22) Wanneer uit hoofde van het internationale publiekrecht de nationale wet van een lidstaat van toepassing is, dient deze verordening ook van toepassing te zijn op een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld actief is bij een diplomatieke vertegenwoordiging of een consulaire post.

(23) De beschermingsbeginselen moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon gelden. Om te bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door de voor de verwerking verantwoordelijke, of door ieder ander worden gebruikt om de persoon te identificeren. De beschermingsbeginselen dienen niet van toepassing te zijn op gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is.

(24) Bij het gebruik van onlinediensten kunnen natuurlijke personen worden gekoppeld aan online-identificatiemiddelen via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen en identificatiecookies. Dit kan sporen achterlaten die, in combinatie met unieke identificatoren en andere door de servers ontvangen informatie, kunnen worden gebruikt om profielen op te stellen van personen en personen te herkennen. Identificatienummers, locatiegegevens, online-identificatiemiddelen en andere specifieke factoren hoeven dus niet onder alle omstandigheden als persoonsgegevens te worden beschouwd.

(25) Toestemming dient uitdrukkelijk te worden gegeven op elke passende wijze die de gebruiker in staat stelt door middel van hetzij een verklaring, hetzij een ondubbelzinnige, actieve handeling vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, teneinde te waarborgen dat personen er zich bewust van zijn dat zij toestemming geven voor de verwerking van persoonsgegevens, bijvoorbeeld door bij een bezoek aan een internetwebsite op een vakje te klikken, of door een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilte of inactiviteit dient derhalve niet als toestemming te gelden. De toestemming dient te gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doelen dienen. Indien de betrokkene zijn toestemming moet geven na een elektronisch verzoek, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de betrokken dienst.

(26) Persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van de betrokkene, informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon; een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van de persoon geldt voor gezondheidsdoeleinden; informatie over de persoon die tijdens de verstrekking van gezondheidszorg aan hem is verzameld; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters; de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene; of informatie over bv. ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.

(27) De belangrijkste vestiging van een voor de verwerking verantwoordelijke in de Unie dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten door een vaste vestiging, waar de voornaamste besluiten worden genomen over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens. Dit criterium dient los te staan van het feit of de verwerking van de persoonsgegevens daadwerkelijk op die locatie plaatsvindt; de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om een belangrijkste vestiging gaat. De belangrijkste vestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt.

(28) Een groep van ondernemingen dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van eigendom, financiële deelneming of op haar van toepassing zijnde voorschriften, of op grond van de bevoegdheid om voorschriften inzake de bescherming van persoonsgegevens te doen uitvoeren.

(29) Kinderen verdienen met betrekking tot hun persoonsgegevens extra bescherming, aangezien zij zich allicht minder bewust zijn van de risico’s, gevolgen, beschermingsmaatregelen en rechten in verband met de verwerking van persoonsgegevens. Voor de vaststelling of een persoon een kind is, dient in deze verordening de in het VN-Verdrag inzake de rechten van het kind vervatte definitie te worden overgenomen.

(30) Elke verwerking van persoonsgegevens dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van de gegevens. De gegevens dienen adequaat, ter zake dienend te zijn en beperkt te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; derhalve dient er met name voor te worden gezorgd dat de verzamelde gegevens niet excessief zijn en dat de opslagperiode van de gegevens tot een strikt minimum wordt beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden verwezenlijkt. Alle redelijke maatregelen worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de voor de verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens of voor een periodieke toetsing.

(31) Voor rechtmatige verwerking van persoonsgegevens is toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere wetgeving van de Unie of van de lidstaten als bedoeld in deze verordening.

(32) Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene, dient het bewijs dat de betrokkene toestemming heeft gegeven voor de verwerking te worden geleverd door de voor de verwerking verantwoordelijke. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt.

(33) Om te waarborgen dat het om vrije toestemming gaat, dient duidelijk te worden gemaakt dat toestemming geen geldige rechtsgrondslag is wanneer de betrokkene geen echte vrije keuze heeft en zijn toestemming derhalve niet kan weigeren of intrekken zonder nadelige gevolgen.

(34) Toestemming kan geen rechtsgrondslag voor verwerking zijn wanneer er sprake is van een duidelijke onevenwichtigheid tussen de betrokkene en de voor de verwerking verantwoordelijke. Dit is met name het geval wanneer de betrokkene zich in een situatie van afhankelijkheid jegens de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn persoonsgegevens worden verwerkt door zijn werkgever. Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie is, zou er alleen sprake zijn van een onevenwichtigheid bij specifieke gegevensverwerkingsoperaties als deze overheidsinstantie krachtens haar overheidsbevoegdheden een verplichting kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil gegeven, gelet op het belang van de betrokkene.

(35) Verwerking die nodig is in het kader van een contract of een voorgenomen contract, dient rechtmatig te zijn.

(36) Wanneer de verwerking wordt verricht omdat de voor de verwerking verantwoordelijke hiertoe wettelijk is verplicht of wanneer de verwerking nodig is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een rechtsgrondslag te hebben in de EU-wetgeving of in een wet van de lidstaat die voldoet aan de in het Handvest van de grondrechten van de Europese Unie vervatte vereisten voor beperkingen van de rechten en vrijheden. Ook dient in de wetgeving van de Unie of de lidstaten te worden vastgesteld of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een overheidsdienst of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn.

(37) De verwerking van persoonsgegevens dient ook als geoorloofd te worden beschouwd wanneer zij nodig is voor de bescherming van een belang dat voor het leven van de betrokkene essentieel is. Het gerechtvaardigde belang van een voor de verwerking verantwoordelijke kan een rechtsgrondslag voor verwerking bieden, mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren. Hierbij is een zorgvuldige beoordeling geboden, met name wanneer de betrokkene een kind is, aangezien kinderen specifieke bescherming verdienen. De betrokkene dient het recht te hebben kosteloos bezwaar te maken tegen de verwerking op gronden die verband houden met zijn bijzondere situatie. Om transparantie te waarborgen dient de voor de verwerking verantwoordelijke te worden verplicht de betrokkene uitdrukkelijk over de gerechtvaardigde belangen die worden nagestreefd en het recht van bezwaar te informeren, en ook te worden verplicht deze gerechtvaardigde belangen te staven. Aangezien het aan de wetgever is om de rechtsgrondslag te creëren voor gegevensverwerking door overheidsinstanties, dient deze rechtsgrond niet van toepassing te zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken.

(38) De verwerking van verkeersgegevens voor zover die strikt noodzakelijk is met het oog op netwerk- en informatieveiligheid, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven gegevens in het gedrang brengen, en de beveiliging van de desbetreffende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, responsteams voor computernoodgevallen (Computer Emergency Response Teams, CERT’s), computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT’s) aanbieders van elektronische communicatienetwerken of –diensten en aanbieders van beveiligingstechnologie en -diensten, is een gerechtvaardigd belang van de voor de verwerking verantwoordelijke. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van onbevoegde toegang tot elektronischecommunicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service”- aanvallen en van schade aan computers en elektronischecommunicatiesystemen.

(39) De verwerking van persoonsgegevens voor andere doeleinden dient alleen te worden toegestaan als de verwerking verenigbaar is met de doeleinden waarvoor de gegevens in eerste instantie zijn verzameld, met name wanneer de verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek. Wanneer het andere doeleinde niet verenigbaar is met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld, dient de voor de verwerking verantwoordelijke toestemming van de betrokkene te verkrijgen voor de verwerking voor dit andere doeleinde of de verwerking op een andere rechtsgrondslag te baseren, in het bijzonder wanneer hierin wordt voorzien door de wetgeving van de Unie of door de wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Er dient in ieder geval voor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene wordt geïnformeerd over dergelijke andere doeleinden.

(40) Persoonsgegevens die door hun aard bijzonder gevoelig en kwetsbaar zijn wat betreft de grondrechten of de persoonlijke levenssfeer, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de betrokkene hier uitdrukkelijk toestemming voor geeft. Niettemin dient uitdrukkelijk in uitzonderingen op dit verbod te worden voorzien met het oog op specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van wettige activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

(41) Er dient ook van het verbod op de verwerking van categorieën gevoelige gegevens te kunnen worden afgeweken, indien de wet hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, op grond van een zwaarwegend algemeen belang en in het bijzonder voor gezondheidsdoeleinden, zoals volksgezondheid en sociale bescherming en het beheer van gezondheidsdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering of voor historisch, statistisch en wetenschappelijk onderzoek.

(42) Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belang.

(43) Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen gegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegelaten, mits er passende garanties worden vastgesteld.

(44) Wanneer de door de voor de verwerking verantwoordelijke in de door hem verwerkte gegevens geen natuurlijk persoon kan identificeren, hoeft hij niet te worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene. Bij een verzoek om toegang moet de voor de verwerking verantwoordelijke bevoegd zijn de betrokkene aanvullende informatie te vragen om de gezochte persoonsgegevens te kunnen vinden.

(45) Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of de betrokkene eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt. Dit geldt in het bijzonder voor onlineadvertenties en andere situaties waarin het door zowel het grote aantal spelers als de technologische complexiteit van de praktijk voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld. Aangezien kinderen specifieke bescherming verdienen, dient wanneer de verwerking specifiek betrekking heeft op een kind, de informatie en communicatie in zulke duidelijke en eenvoudige taal te worden gesteld dat het kind deze gemakkelijk kan begrijpen.

(46) Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening uit te oefenen, zoals mechanismen om kosteloos te verzoeken om, met name, toegang tot gegevens, rectificatie, uitwissing en uitoefening van het recht van bezwaar. De voor de verwerking verantwoordelijke dient verplicht te zijn binnen een gestelde termijn te reageren op een verzoek van de betrokkene en een eventuele weigering om gehoor te geven aan het verzoek van de betrokkene te motiveren.

(47) Overeenkomstig de beginselen van eerlijke en transparante verwerking dient de betrokkene met name te worden ingelicht over het feit dat er verwerking plaatsvindt en waartoe, en te worden gewezen op de bewaringstermijn van de gegevens, het recht van toegang, rectificatie of uitwissing, en het recht een klacht in te dienen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem te worden medegedeeld of hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens.

(48) De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, binnen redelijke tijd, naargelang de specifieke omstandigheden. Wanneer de gegevens rechtmatig kunnen worden verstrekt aan een andere ontvanger, dient de betrokkene te worden meegedeeld wanneer de gegevens voor het eerst aan de ontvanger worden verstrekt.

(49) Deze verplichting is echter overbodig wanneer de betrokkene al over deze informatie beschikt, of wanneer de vastlegging of mededeling van de gegevens uitdrukkelijk bij wet is voorgeschreven of de verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek; hierbij mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen.

(50) Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens worden verwerkt, hoe lang zij worden bewaard, welke ontvangers de gegevens ontvangen, welke logica er ten grondslag ligt aan de verwerking van de gegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen zouden kunnen zijn van een dergelijke verwerking. Dit recht dient geen afbreuk te doen aan de rechten en vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom en met name aan het auteursrecht dat de software beschermt. Deze overwegingen mogen er echter niet toe leiden dat de betrokkene alle informatie wordt onthouden.

(51) De voor de verwerking verantwoordelijke dient, met name met betrekking tot onlinediensten en online-identificatiemiddelen, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om toegang verzoekt. Een voor de verwerking verantwoordelijke dient persoonsgegevens niet uitsluitend te bewaren om op eventuele verzoeken te kunnen reageren.

(52) Eenieder dient het recht te hebben persoonsgegevens over zichzelf te laten rectificeren en het “recht om te worden vergeten”, als het bewaren van dergelijke gegevens niet in overeenstemming is met deze verordening. Betrokkenen dienen met name het recht te hebben dat hun persoonsgegevens worden uitgewist en niet verder worden verwerkt als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, als de betrokkenen hun toestemming voor de verwerking hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of als de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is uitermate relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van verwerking, en dergelijke persoonsgegevens later wil verwijderen, met name van het internet.

(53) Gegevens dienen echter langer te kunnen worden bewaard als dit nodig is voor historisch, statistisch en wetenschappelijk onderzoek, om redenen van algemeen belang op het gebied van de volksgezondheid, voor de uitoefening van het recht op vrijheid van meningsuiting, wanneer de wet dit voorschrijft of wanneer er een reden is om de verwerking van gegevens te beperken in plaats van de gegevens te wissen.

(54) Ter versterking van het “recht om te worden vergeten” door onlinetoepassingen, dient het recht op uitwissing van gegevens zodanig te worden uitgebreid, dat de voor de verwerking verantwoordelijke die de persoonsgegevens openbaar heeft gemaakt, verplicht is derden die dergelijke gegevens verwerken, ervan op de hoogte te stellen dat de betrokkene hun verzoekt iedere koppeling met, of kopie of reproductie van die persoonsgegevens uit te wissen. De voor de verwerking verantwoordelijke dient alle redelijke maatregelen te nemen, waaronder technische maatregelen, om te waarborgen dat voor gegevens waarvan de openbaarmaking zijn verantwoordelijkheid is, deze derden daadwerkelijk worden geïnformeerd. Ten aanzien van openbaarmaking van persoonsgegevens door een derde dient de voor de verwerking verantwoordelijke te worden beschouwd als verantwoordelijk voor de openbaarmaking als hij de derde toestemming heeft verleend voor de openbaarmaking.

(55) Om de controle over hun eigen gegevens en hun recht van toegang verder te versterken, dienen, wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, betrokkenen het recht te hebben om van de gegevens over hen ook een kopie in een elektronisch en algemeen gebruikt formaat te ontvangen. De betrokkenen dienen deze door hen verstrekte gegevens ook van de ene geautomatiseerde toepassing, zoals een sociaal netwerk, naar de andere te kunnen doorgeven. Dit dient van toepassing te zijn wanneer de betrokkenen de gegevens aan het geautomatiseerde verwerkingssysteem heeft verstrekt, door toestemming te geven dan wel een overeenkomst uit te voeren.

(56) Wanneer persoonsgegevens rechtmatig kunnen worden verwerkt ter vrijwaring van een vitaal belang van de betrokkene, of op grond van een algemeen belang, overheidsgezag of een wettig belang van een voor de verwerking verantwoordelijke, dient een betrokkene niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hem betrekking heeft. Het dient aan de voor de verwerking verantwoordelijke te zijn om te bewijzen dat zijn gerechtvaardigde belangen wellicht zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene.

(57) Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing, dient de betrokkene het recht te hebben om hier op eeenvoudige en doeltreffende wijze kosteloos bezwaar tegen te maken.

(58) Iedere natuurlijke persoon dient het recht te hebben niet te worden onderworpen aan een maatregel die is gebaseerd op profilering door middel van geautomatiseerde verwerking. Een dergelijke maatregel dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij de wet of wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst of wanneer de betrokkene zijn toestemming heeft gegeven. Op een dergelijke verwerking dienen passende waarborgen van toepassing te zijn, waaronder specifieke informering van de betrokkene, het recht op menselijke tussenkomst en de bepaling dat een dergelijke maatregel geen betrekking mag hebben op kinderen.

(59) In de wetgeving van de Unie of de wetgeving van de lidstaten kunnen beperkingen worden gesteld aan de specifieke beginselen en de rechten van informatie, toegang, rectificatie, uitwissing, gegevensoverdraagbaarheid en bezwaar, alsook aan maatregelen gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en aan bepaalde daarmee verband houdende verplichtingen van de voor de verwerking verantwoordelijken, wanneer dat in een democratische samenleving noodzakelijk en proportioneel is voor het beschermen van de openbare veiligheid, waaronder de bescherming van het menselijk leven – met name bij natuurlijke of door de mens veroorzaakte rampen–, voor het voorkomen, onderzoeken en vervolgen van strafbare feiten of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor het beschermen van andere algemene belangen van de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, of voor het beschermen van de betrokkene of de rechten en vrijheden van anderen. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest van de grondrechten van de Europese Unie en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

(60) Er dient te worden voorzien in alomvattende verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke. Met name dient de voor de verwerking verantwoordelijke erop toe te zien en te worden verplicht aan te tonen dat elke verwerking overeenkomstig deze verordening geschiedt.

(61) Ter bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zijn zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische en organisatorische maatregelen nodig, om te waarborgen dat aan de bepalingen van deze verordening wordt voldaan. Teneinde overeenstemming met deze verordening te waarborgen en aan te tonen, dient de voor de verwerking verantwoordelijke intern beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design en by default.

(62) Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke.

(63) Wanneer de verwerking van persoonsgegevens van in de Unie wonende betrokkenen door een niet in de Unie gevestigde verwerker verband houdt met het aanbieden van goederen of diensten aan dergelijke betrokkenen of met het observeren van hun gedrag, dient de voor de verwerking verantwoordelijke een vertegenwoordiger aan te wijzen, tenzij de voor de verwerking verantwoordelijke is gevestigd in een derde land dat een passend beschermingsniveau waarborgt, de voor de voor de verwerking verantwoordelijke een kleine of middelgrote onderneming of een overheidsinstantie of –lichaam is, of de voor de verwerking verantwoordelijke dergelijke betrokkenen slechts incidenteel goederen of diensten aanbiedt. De vertegenwoordiger dient namens de voor de verwerking verantwoordelijke op te treden en kan door iedere toezichthoudende autoriteit worden benaderd.

(64) Om uit te maken of een voor de verwerking verantwoordelijke slechts incidenteel goederen en diensten aanbiedt aan betrokkenen die in de Unie wonen, dient te worden vastgesteld of uit de algemene activiteiten van de voor de verwerking verantwoordelijke duidelijk blijkt dat het aanbieden van goederen en diensten aan dergelijke betrokkenen slechts een nevenactiviteit is.

(65) Voor het aantonen van overeenstemming met deze verordening dient de voor de verwerking verantwoordelijke of de verwerker elke verwerking te documenteren. Elke voor de verwerking verantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op verwerkingsactiviteiten.

(66) Teneinde de veiligheid te waarborgen en te voorkomen dat verwerking plaatsvindt die strijdig is met deze verordening, dienen de voor de verwerking verantwoordelijke en de verwerker de risico’s die de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico’s te beperken. Deze maatregelen dienen een passend niveau van veiligheid te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van technische normen en organisatorische maatregelen voor de veiligheid van de verwerking dient de Commissie technologische neutraliteit, interoperabiliteit en innovatie te bevorderen en zo nodig samen te werken met derde landen.

(67) Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokkene aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. Zodra een voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij de toezichthoudende autoriteit daarvan dan ook onverwijld, en waar mogelijk binnen 24 uur, op de hoogte te stellen. Wanneer dit niet binnen 24 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging. Wanneer de inbreuk negatieve gevolgen kan hebben voor de persoonsgegevens, dienen de betrokkenen daarvan zonder onnodig uitstel in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor de persoonsgegevens of de persoonlijke levenssfeer van een betrokkene, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de betrokkene mogelijke negatieve gevolgen kan beperken. De betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of andere relevante autoriteiten (zoals rechtshandhavingsautoriteiten) aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld om hun de gelegenheid te bieden een onmiddellijke bedreiging te beperken, terwijl een langere termijn gerechtvaardigd kan zijn als er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken.

(68) Om te bepalen of een inbreuk op persoonsgegevens onverwijld aan de toezichthoudende autoriteit en de betrokkene is gemeld, dient te worden vastgesteld of de voor de verwerking verantwoordelijke passende technologische beschermingsmaatregelen en organisatorische maatregelen heeft genomen om onmiddellijk uit te maken of inbreuk op persoonsgegevens heeft plaatsgevonden en de toezichthoudende autoriteiten en de betrokkene zo snel mogelijk te informeren, voordat er persoonlijke of economische belangen worden geschaad, waarbij met name rekening dient te worden gehouden met de aard en ernst van de inbreuk op de persoonsgegevens en de gevolgen en negatieve effecten daarvan voor de betrokkene.

(69) Bij de vaststelling van gedetailleerde regels betreffende het formaat en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van identiteitsfraude of andere vormen van misbreuk in de praktijk beperkt was. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten in gevallen waarin vroegtijdige verstrekking het onderzoek naar de omstandigheden van een inbreuk nodeloos zou hinderen.

(70) Richtlijn 95/46/EG voorzag in een algemene verplichting om verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Deze verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Derhalve dient deze ongedifferentieerde algemene kennisgevingsplicht te worden afgeschaft en te worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op verwerkingsoperaties die naar hun aard, reikwijdte of doeleinden waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen meebrengen. In dergelijke gevallen dient de voor de verwerking verantwoordelijke of de verwerker voorafgaand aan de verwerking een privacyeffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze verordening is voldaan.

(71) Dit dient met name te gelden voor nieuw opgezette grootschalige bestanden die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden.

(72) Onder bepaalde omstandigheden kan het verstandig en nuttig zijn dat de privacyeffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of ‑lichamen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere voor de verwerking verantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale activiteit.

(73) Privacyeffectbeoordelingen dienen te worden verricht door een overheidsinstantie of –lichaam, indien een dergelijke beoordeling niet al is uitgevoerd in het kader van de aanneming van de nationale wet waarop de vervulling van de taken van de overheidsinstantie of het overheidslichaam is gebaseerd en waarin de specifieke verwerking of reeks verwerkingen wordt geregeld.

(74) Wanneer een privacyeffectbeoordeling uitwijst dat verwerking bijvoorbeeld door het gebruik van specifieke nieuwe technologieën gepaard gaat met grote specifieke risico’s voor de rechten en vrijheden van betrokkenen, zoals het uitsluiten van personen van hun recht, dienen voor het begin van de verwerkingen de toezichthoudende autoriteiten te worden geraadpleegd over gevoelige activiteiten die mogelijk niet in overeenstemming zijn met deze verordening, en zijn voorstellen geboden om de situatie te verbeteren. Een dergelijke raadpleging dient ook te worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen.

(75) Wanneer de verwerking wordt uitgevoerd in de overheidssector of wanneer de verwerking in de particuliere sector wordt uitgevoerd door een grote onderneming, of wanneer de kernactiviteiten, ongeacht de grootte van de onderneming, verwerkingen omvatten die regelmatig en stelselmatig toezicht vereisen, dient iemand de voor de verwerking verantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, of zij nu in dienst van de voor de verwerking verantwoordelijke zijn of niet.

(76) Verenigingen en andere organen die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om gedragscodes op te stellen, binnen de grenzen van deze verordening, teneinde de doeltreffende uitvoering van deze verordening in de praktijk te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren.

(77) Teneinde de transparantie en naleving van deze verordening te versterken, dient het instellen van certificeringsmechanismen en gegevensbeschermingszegels en ‑merktekens te worden bevorderd, zodat betrokkenen snel het beschermingsniveau van relevante producten en diensten kunnen beoordelen.

(78) Grensoverschrijdend verkeer van persoonsgegevens is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie naar derde landen of internationale organisaties worden overgedragen, mag dit niet ten koste gaan van het beschermingsniveau waarvan personen in de Unie door deze verordening verzekerd zijn. Doorgifte naar derde landen mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening.

(79) Deze verordening doet geen afbreuk aan internationale overeenkomsten die de Unie en derde landen hebben gesloten om de doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de betrokkenen zijn opgenomen.

(80) De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is.

(81) Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(82) De Commissie kan tevens besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. De doorgifte van persoonsgegevens naar dat derde land dient dan te worden verboden. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de betrokken derde landen en internationale organisaties.

(83) Indien er geen besluit is genomen waarbij een beschermingsniveau passend wordt verklaard, dient de voor de verwerking verantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkenen. Dergelijke passende maatregelen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn goedgekeurd door een toezichthoudende autoriteit, of andere geschikte en evenredige maatregelen die gerechtvaardigd zijn in het licht van alle omstandigheden van een gegevensbewerking of een reeks van gegevensbewerkingen en die zijn goedgekeurd door een toezichthoudende autoriteit.

(84) Dat de voor de verwerking verantwoordelijke of verwerker kan gebruikmaken van modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de modelbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen of geen andere bepalingen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen.

(85) Een bedrijfsconcern dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde bedrijfsconcern te kunnen gebruikmaken van goedgekeurde bindende bedrijfsregels, mits daarin bepaalde essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens.

(86) Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe toestemming heeft gegeven, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer in de wetgeving van de Unie of van de lidstaat vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In het laatste geval dient bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens te worden verstrekt en wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, dient de doorgifte slechts plaats te vinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd.

(87) Deze afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de autoriteiten belast met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten.

(88) Doorgiften die niet als frequent of massaal kunnen worden aangemerkt, dienen ook mogelijk te zijn voor gerechtvaardigde belangen van door de voor de verwerking verantwoordelijke of de verwerker, indien hij alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. Met betrekking tot de verwerking voor historische, statistische of wetenschappelijke doeleinden dient rekening te worden gehouden met de gewettigde verwachting van de maatschappij dat er wordt gestreefd naar vermeerdering van kennis.

(89) Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de voor de verwerking verantwoordelijke in elk geval gebruik te maken van oplossingen die de betrokkenen ook na de doorgifte van hun gegevens verzekeren van de rechten en waarborgen die in de Unie gelden voor gegevensverwerking.

(90) Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van personen in de Unie. Doorgiften dienen alleen te kunnen plaatsvinden wanneer wordt voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer verstrekking nodig is voor een algemeen belang dat erkend is in het Unierecht of in het recht van de lidstaat waarvan de voor de verwerking verantwoordelijke onderdaan is. Het is aan de Commissie om door middel van een gedelegeerde handeling vast te stellen wanneer er sprake is van zwaarwegende algemene belangen.

(91) Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(92) Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De lidstaten hebben de mogelijkheid om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen.

(93) Wanneer een lidstaat meerdere toezichthoudende autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan de conformiteitstoetsing. De betrokken lidstaat dient met name de toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie te verzekeren.

(94) Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen en de huisvesting en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren.

(95) De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat de leden hetzij door het parlement, hetzij door de regering van de lidstaat worden benoemd, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en de positie van de leden.

(96) De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.

(97) Wanneer de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in Unie in meer dan één lidstaat plaatsvindt, dient één enkele toezichthoudende autoriteit bevoegd te zijn voor de uitoefening van het toezicht op de activiteiten van de voor de verwerking verantwoordelijke of de verwerker in de hele Unie en de daarmee samenhangende besluiten te nemen, teneinde de consequente toepassing van de richtlijn te bevorderen, rechtszekerheid te bieden en de administratieve belasting voor dergelijke voor de verwerking verantwoordelijken en verwerkers te verminderen.

(98) De bevoegde autoriteit die een dergelijk éénloketsysteem aanbiedt, dient de toezichthoudende autoriteit te zijn van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker zijn belangrijkste vestiging heeft.

(99) Hoewel deze verordening ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun gerechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken te vrijwaren. Deze ontheffing dient echter strikt beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(100) Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden. De toezichthoudende autoriteiten dienen hun onderzoeksbevoegdheden met betrekking tot toegang tot lokalen uit te oefenen conform het Unierecht en het recht van de lidstaten. Dit geldt met name voor de verplichting van voorafgaande toestemming van een rechterlijke instantie.

(101) Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, heeft een voor het specifieke geval passende reikwijdte en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt.

(102) De toezichthoudende autoriteiten dienen bij voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor de voor de verwerking verantwoordelijken en de verwerkers.

(103) De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de conformiteit van de toepassing en handhaving van deze verordening binnen de interne markt.

(104) Iedere toezichthoudende autoriteit dient het recht te hebben om deel te nemen aan gezamenlijke operaties van toezichthoudende autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren.

(105) Om te verzekeren dat deze verordening in de gehele Unie consequent wordt toegepast, dient een conformiteitstoetsing te worden vastgesteld voor samenwerking tussen de toezichthoudende autoriteiten en met de Commissie. Deze toetsing dient met name te worden toegepast wanneer een toezichthoudende autoriteit voornemens is een maatregel te nemen inzake verwerkingen die betrekking hebben op het aanbieden van goederen of diensten aan betrokkenen in meerdere lidstaten of op het toezicht op dergelijke betrokkenen, of die aanzienlijke gevolgen kunnen hebben voor het vrije verkeer van persoonsgegevens. Het dient ook van toepassing te zijn wanneer een toezichthoudende autoriteit of de Commissie verzoekt om de aangelegenheid aan de conformiteitstoetsing te onderwerpen. Deze toetsing dient geen afbreuk te doen aan maatregelen die de Commissie kan nemen in de uitoefening van de bevoegdheden die haar bij de Verdragen zijn toegekend.

(106) Bij de toepassing van de conformiteitstoetsing dient het Europees Comité voor gegevensbescherming binnen een bepaalde termijn een advies uitbrengen, indien een gewone meerderheid van stemmen van zijn leden daartoe beslist of indien een toezichthoudende autoriteit of de Commissie daarom verzoekt.

(107) Teneinde ervoor te zorgen dat de bepalingen van deze verordening worden nageleefd, kan de Commissie hierover een advies uitbrengen of een besluit vaststellen waarbij de toezichthoudende autoriteit wordt verplicht haar ontwerpmaatregel in te trekken.

(108) Er kan dringend moeten worden opgetreden om de belangen van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd. Derhalve dient een toezichthoudende autoriteit de mogelijkheid te hebben om bij het verrichten van de conformiteitstoetsing voorlopige maatregelen met een bepaalde geldigheidsduur vast te stellen.

(109) De verrichting van deze toetsing dient een voorwaarde te zijn voor de rechtsgeldigheid en handhaving van het betrokken besluit door een toezichthoudende autoriteit. In andere gevallen van grensoverschrijdende relevantie kunnen de betrokken toezichthoudende autoriteiten op bilaterale of multilaterale basis wederzijdse bijstand en gezamenlijke onderzoeken uitvoeren zonder dat de conformiteitstoetsing hoeft te worden verricht.

(110) Op het niveau van de Unie dient een Europees Comité voor gegevensbescherming te worden ingesteld. Dit comité dient de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens te vervangen. Het dient te bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming. De Commissie dient deel te nemen aan zijn activiteiten. Het Europees Comité voor gegevensbescherming dient bij te dragen tot de consistente toepassing van deze richtlijn in de Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen. Het Europees Comité voor gegevensbescherming dient bij de uitvoering van zijn taken onafhankelijk op te treden.

(111) Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene.

(112) Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit of namens betrokkenen door wie zij naar behoren zijn gemachtigd het recht op beroep in rechte uit te oefenen, en om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk op persoonsgegevens heeft voorgedaan.

(113) Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(114) Teneinde de juridische bescherming van de betrokkene te beschermen wanneer de bevoegde toezichthoudende autoriteit is gevestigd in een andere lidstaat dan die waar de betrokkene woont, kan de betrokkene alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben, vragen om namens hem in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen.

(115) Wanneer de bevoegde toezichthoudende autoriteit in een andere lidstaat is gevestigd en niet optreedt of onvoldoende maatregelen heeft getroffen naar aanleiding van een klacht, kan de betrokkene de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft, verzoeken om tegen die bevoegde toezichthoudende autoriteit een vordering in te stellen bij de bevoegde gerechtelijke instantie in de andere lidstaat. De beslissing of het passend is om gevolg te geven aan het verzoek, is aan de aangezochte toezichthoudende autoriteit en kan worden onderworpen aan rechterlijke toetsing.

(116) Voor procedures tegen een voor de verwerking verantwoordelijke of een verwerker dient de verzoeker te kunnen kiezen om de zaak aanhangig te maken bij een rechter in de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft, of dit te doen in de lidstaat waar de betrokkene woont, tenzij de voor de verwerking verantwoordelijke een overheidsinstantie is die krachtens overheidsbevoegdheid handelt.

(117) De rechters dienen te worden verplicht contact met elkaar op te nemen, wanneer er aanwijzingen zijn dat er parallelle procedures aanhangig zijn bij rechters in andere lidstaten. De rechters dienen de mogelijkheid te hebben een zaak op te schorten indien in een andere lidstaat een parallelle zaak aanhangig is. De lidstaten dienen erop toe te zien dat bij rechtsgedingen, met het oog op hun effectiviteit, snel maatregelen kunnen worden getroffen om inbreuken op deze verordening te doen eindigen of te voorkomen.

(118) De schade die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht.

(119) Er moet worden voorzien in sancties jegens iedere persoon, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht valt, die deze verordening niet naleeft. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen.

(120) Teneinde de administratieve sancties tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve overtredingen te bestraffen. In deze verordening dienen de overtredingen te worden benoemd en maxima te worden vastgesteld voor de daaraan verbonden administratieve geldboeten, die evenredig moeten zijn met de betrokken situatie en per afzonderlijk geval dienen te worden bepaald, met inachtneming van met name de aard, de ernst en de duur van de inbreuk. De conformiteitstoetsing kan ook worden gebruikt met betrekking tot verschillen bij de toepassing van administratieve sancties.

(121) Voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor artistieke en literaire doeleinden dient te worden voorzien in uitzonderingen op een aantal bepalingen van deze verordening teneinde het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting, inzonderheid het recht om inlichtingen te ontvangen of te verstrekken, zoals dat met name bij artikel 11 van het Handvest van de grondrechten van de Europese Unie wordt gewaarborgd. Dit dient met name voor de verwerking van persoonsgegevens voor audiovisuele doeleinden en in nieuws- en persarchieven te gelden. Derhalve dienen de lidstaten wettelijke maatregelen te treffen om de uitzonderingen en beperkingen vast te stellen die nodig zijn voor een juiste balans tussen deze grondrechten. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de voor de verwerking verantwoordelijke en de verwerker, de doorgifte van gegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten en samenwerking en conformiteit. Zulks mag de lidstaten er evenwel niet toe bewegen te voorzien in uitzonderingen op de andere bepalingen van deze verordening. Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd. Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten activiteiten derhalve als “journalistiek” aan te merken, indien deze activiteiten de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd.

(122) Voor de verwerking van persoonsgegevens betreffende de gezondheid, als een speciale categorie gegevens waarvoor betere bescherming is vereist, kunnen in verband met het belang van personen en de samenleving als geheel vaak gegronde redenen worden aangevoerd, zoals met name het waarborgen van de continuïteit van grensoverschrijdende gezondheidszorg. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van persoonsgegevens betreffende de gezondheid, met specifieke en passende waarborgen voor de bescherming van de grondrechten en de persoonsgegevens. Dit houdt ook in dat personen het recht dienen te hebben op toegang tot de persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medische dossier, dat informatie bevat over diagnoses, onderzoeksuitslagen, beoordelingen door behandelend artsen en verrichte behandelingen en ingrepen.

(123) Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om persoonsgegevens over gezondheid zonder toestemming van de betrokkene te verwerken. In dat verband dient “volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers, verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerkt.

(124) De algemene beginselen inzake de bescherming van personen met betrekking tot de verwerking van persoonsgegevens dienen ook van toepassing te zijn op de arbeidsverhouding. Teneinde de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding te reglementeren, dienen de lidstaten de mogelijkheid hebben om, binnen de grenzen van deze verordening, specifieke voorschriften vast te stellen voor de verwerking van persoonsgegevens in het kader van de arbeidsverhouding.

(125) Om rechtmatig te zijn, dient bij de verwerking van persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek ook andere relevante wetgeving in acht te worden genomen, zoals de wetgeving inzake klinische proeven.

(126) Voor de toepassing van deze verordening dient wetenschappelijk onderzoek fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek te omvatten en dient bovendien de doelstelling van de Unie uit hoofde van artikel 179, lid 1, van het Verdrag betreffende de werking van de Europese Unie, te weten de totstandbrenging van een Europese onderzoeksruimte, in acht te worden genomen.

(127) Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de voor de verwerking verantwoordelijke of de verwerker toegang tot persoonsgegevens en tot zijn lokalen te verkrijgen, kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke bepalingen vaststellen om het beroepsgeheim of andere, gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op bescherming van persoonsgegevens met het beroepsgeheim te verzoenen.

(128) Overeenkomstig artikel 17 van het Verdrag betreffende de werking van de Europese Unie eerbiedigt deze verordening de status die kerken en religieuze verenigingen en gemeenschappen volgens het nationaal recht in de lidstaten hebben, en doet daaraan geen afbreuk. Wanneer een kerk in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepast, dienen deze bestaande voorschriften derhalve van toepassing te blijven, wanneer zij met deze verordening in overeenstemming worden gebracht. Dergelijke kerken en religieuze verenigingen dienen verplicht te worden om voor de instelling van een volledig onafhankelijke toezichthoudende autoriteit te zorgen.

(129) Met het oog op de verwezenlijking van de doelstellingen van deze verordening, namelijk het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, dient aan de Commissie de bevoegdheid te worden verleend om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Met name dienen gedelegeerde handelingen te worden vastgesteld met betrekking tot de rechtmatigheid van verwerkingen; het vaststellen van de criteria en voorwaarden inzake de toestemming van kinderen; de verwerking van bijzondere categorieën van gegevens; de vaststelling van de criteria en voorwaarden voor de beoordeling of verzoeken en vergoedingen in verband met de uitoefening van de rechten van de betrokkene duidelijk buitensporig zijn; de criteria en vereisten voor het informeren van de betrokkene en met betrekking tot het recht van toegang; het recht om te worden vergeten en om gegevens te laten wissen; maatregelen op basis van profilering; criteria en vereisten met betrekking tot de verantwoordelijkheden van de voor de verwerking verantwoordelijke en met betrekking tot privacy by design en by default; verwerkers; criteria en vereisten voor de documentatie en de beveiliging van verwerkingen; criteria en vereisten voor de vaststelling van inbreuken in verband met persoonsgegevens en voor de melding daarvan aan de toezichthoudende autoriteit, en inzake de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de betrokkene heeft; de criteria en voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling is vereist; de criteria en vereisten voor de vaststelling van grote specifieke risico’s die voorafgaande raadpleging vereisen; de aanwijzing en de taken van de functionaris voor gegevensbescherming; gedragscodes; criteria en vereisten voor certificeringsmechanismen; criteria en vereisten voor doorgiften op grond van bindende bedrijfsvoorschriften; uitzonderingen inzake doorgifte; administratieve sancties; verwerking voor gezondheidsdoeleinden; verwerking in het kader van de arbeidsverhouding en verwerking voor historisch, statistisch en wetenschappelijk onderzoek. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden toereikende raadplegingen verricht, onder meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en de Raad.

(130) Om te zorgen voor uniforme voorwaarden voor de tenuitvoerlegging van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden verleend voor: het vaststellen van modelformulieren inzake de verwerking van persoonsgegevens van kinderen; standaardprocedures en modelformulieren voor de uitoefening van de rechten van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene, modelformulieren en –procedures inzake het recht van toegang; het recht van gegevensoverdraagbaarheid; modelformulieren inzake de verantwoordelijkheid van de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking; het standaardformaat en de standaardprocedures voor de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren[45]. In deze context dient de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging te nemen.

(131) De onderzoeksprocedure dient te worden toegepast voor de vaststelling van specifieke modelformulieren inzake de toestemming van kinderen; standaardprocedures en modelformulieren voor de uitoefening van de rechten van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene, modelformulieren en standaardprocedures inzake het recht van toegang; het recht van gegevensoverdraagbaarheid; modelformulieren inzake de verantwoordelijkheid van de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking; het standaardformaat en de standaardprocedures voor de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing, aangezien dit handelingen van algemene strekking zijn.

(132) Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt en wanneer er sprake is van aan de toezichthoudende autoriteiten in het kader van de conformiteitstoetsing gemelde aangelegenheden, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen.

(133) Aangezien de doelstellingen van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van personen en van het vrije verkeer van gegevens in de hele Unie, niet voldoende door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie kan worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan wat nodig is om deze doelstelling te verwezenlijken.

(134) Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Voor zover besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen zijn gebaseerd op Richtlijn 95/46/EG dienen zij echter van kracht te blijven.

(135) Deze verordening dient van toepassing te zijn op alle aangelegenheden die betrekking hebben op de bescherming van grondrechten en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens waarvoor de in Richtlijn 2002/58/EG opgenomen specifieke verplichtingen met dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de voor de verwerking verantwoordelijke en de rechten van natuurlijke personen. Om de verhouding tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd.

(136) Wat Noorwegen en IJsland betreft, houdt deze verordening voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling in van de bepalingen van dat acquis, als bedoeld in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[46].

(137) Wat Zwitserland betreft, houdt deze verordening voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten een ontwikkeling in van de bepalingen van dat acquis, als bedoeld in de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[47].

(138) Wat Liechtenstein betreft, houdt deze verordening voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling in van de bepalingen van dat acquis, als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis[48].

(139) Aangezien het recht op bescherming van persoonsgegevens, zoals het Hof van Justitie heeft benadrukt, geen absolute gelding heeft, maar in relatie tot de functie ervan in de samenleving moet worden beschouwd en moet worden afgewogen tegen andere grondrechten, overeenkomstig het evenredigheidsbeginsel, eerbiedigt deze verordening alle grondrechten en ‑beginselen die in het Handvest van de grondrechten van de Europese Unie zijn erkend en in de Verdragen zijn verankerd, met name het recht op de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, het recht op bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, alsook het recht op culturele, godsdienstige en taalkundige verscheidenheid,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1 Onderwerp en doelstellingen

1.           Bij deze verordening worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

2.           Deze verordening beschermt de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op de bescherming van persoonsgegevens.

3.           Het vrije verkeer van persoonsgegevens in de Unie wordt niet beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Artikel 2 Materiële werkingssfeer

1.           Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen.

2.           Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

a)      in het kader van activiteiten die buiten de werkingssfeer van het EU-recht vallen, met name activiteiten op het gebied van nationale veiligheid;

b)      door de instellingen, organen, bureaus en agentschappen van de Unie;

c)      door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van het Verdrag betreffende de Europese Unie vallen;

d)      door een natuurlijke persoon zonder commercieel belang bij de uitoefening van zijn uitsluitend persoonlijke of huishoudelijke activiteiten;

e)      door de bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

3.           Deze verordening laat de toepassing van Richtlijn 2000/31/EG, met name de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn, onverlet.

Artikel 3 Geografisch toepassingsgebied

1.           Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie.

2.           Deze verordening is van toepassing op de verwerking van persoonsgegevens van in de Unie wonende betrokkenen door een niet in de Unie gevestigde voor de verwerking verantwoordelijke, wanneer de verwerking betrekking heeft op:

a)      het aanbieden van goederen of diensten aan deze betrokkenen in de Unie; of

b)      het observeren van hun gedrag.

3.           Deze verordening is van toepassing op de verwerking van persoonsgegevens door een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar in een plaats waar krachtens het internationaal publiekrecht het nationale recht van een lidstaat van toepassing is.

Artikel 4 Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1) “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.

(2) “persoonsgegevens”: iedere informatie betreffende een betrokkene;

(3) “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het wissen of vernietigen van gegevens.

(4) “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(5) “voor de verwerking verantwoordelijke”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij EU-wetgeving of de nationale wetgeving, kan in de EU-wetgeving of de nationale wetgeving worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(6) “verwerker”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(7) “ontvanger”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan aan wie, respectievelijk waaraan de gegevens worden meegedeeld;

(8) “toestemming van de betrokkene”: elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

(9) “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, tot gevolg;

(10) “genetische gegevens”: alle gegevens, van welke aard ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen kenmerken van een persoon;

(11) “biometrische gegevens”: alle gegevens met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

(12) “gegevens over gezondheid”: alle informatie over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13) “belangrijkste vestiging”: met betrekking tot de voor de verwerking verantwoordelijke de plaats van vestiging van de voor de verwerking verantwoordelijke in de Unie waar de voornaamste besluiten over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens worden genomen; wanneer in de Unie geen besluiten over het doel van of de voorwaarden en middelen voor de verwerking van persoonsgegevens worden genomen, is de belangrijkste vestiging de plaats waar de voornaamste gegevensverwerking in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke in de Unie plaatsvindt. Met betrekking tot de verwerker is de “belangrijkste vestiging” de plaats waar zich zijn centrale administratie in de Unie bevindt;

(14) “vertegenwoordiger”: elke in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk door de voor de verwerking verantwoordelijke als zodanig is aangewezen, die namens de voor de verwerking verantwoordelijke handelt en die door de toezichthoudende autoriteiten en andere instanties in de Unie in plaats van de voor de verwerking verantwoordelijke kan worden aangesproken in verband met de verplichtingen van de voor de verwerking verantwoordelijke uit hoofde van deze verordening;

(15) “onderneming”: iedere entiteit die zich bezighoudt met een economische activiteit, ongeacht de rechtsvorm van die entiteit, met inbegrip derhalve van met name natuurlijke en rechtspersonen, personenvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;

(16) “groep van ondernemingen”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;

(17) “bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens tot inachtneming waarvan een op het grondgebied van een lidstaat of de Unie gevestigde voor de verwerking verantwoordelijke of verwerker zich heeft verplicht voor de doorgifte of een reeks van doorgiften van persoonsgegevens binnen een groep van ondernemingen naar een voor de verwerking verantwoordelijke of verwerker in een of meer derde landen;

(18) „kind”: iedere persoon die jonger is dan achttien jaar;

(19) “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 46 ingestelde overheidsinstantie.

HOOFDSTUK II BEGINSELEN

Artikel 5 Beginselen inzake de verwerking van persoonsgegevens

De persoonsgegevens moeten:

a)      worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is ten opzichte van de betrokkene;

b)      voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt;

c)      adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens;

d)      juist zijn en worden bijgewerkt; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;

e)      niet langer in een vorm die het mogelijk maakt de betrokkenen te identificeren, worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt, noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de gegevens uitsluitend voor historische, statistische of wetenschappelijke doeleinden worden verwerkt overeenkomstig de bepalingen en voorwaarden van artikel 83 en mits periodiek wordt beoordeeld of de gegevens nog steeds opgeslagen moeten blijven;

f)       worden verwerkt onder de verantwoordelijkheid van de voor de verwerking verantwoordelijke, die ervoor zorgt en aantoont dat elke verwerking voldoet aan de bepalingen van deze verordening.

Artikel 6 Rechtmatigheid van de verwerking

1.           De verwerking van persoonsgegevens is alleen rechtmatig wanneer en voor zover ten minste van een van de volgende gevallen sprake is:

a)      de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;

b)      de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene;

c)      de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke;

d)      de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;

e)      de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke is opgedragen;

f)       de verwerking is noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet boven dat belang prevaleren, met name wanneer de betrokkene een kind is. Dit is niet van toepassing op de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.           De verwerking van persoonsgegevens die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden is rechtmatig mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen.

3.           In de grondslag voor de in lid 1, onder c) en e), bedoelde verwerking moet worden voorzien in:

a)      EU-wetgeving, of

b)       de wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is.

Het recht van de lidstaat moet beantwoorden aan een doelstelling van algemeen belang of noodzakelijk zijn om de rechten en vrijheden van anderen te beschermen, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel.

4.           Wanneer het doel van verdere verwerking niet verenigbaar is met het doel waarvoor de persoonsgegevens zijn verzameld, moet de verwerking minstens in een van de in lid 1, onder a) tot en met e), genoemde gronden een rechtsgrondslag hebben. Dit is met name van toepassing op iedere wijziging van de clausules en algemene voorwaarden van een overeenkomst.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder f), bedoelde voorwaarden, voor diverse sectoren en situaties op het gebied van gegevensverwerking, onder meer ten aanzien van de verwerking van persoonsgegevens met betrekking tot kinderen.

Artikel 7 Voorwaarden voor toestemming

1.           De voor de verwerking verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor welbepaalde doeleinden.

2.           Wanneer de betrokkene zijn toestemming moet geven in het kader van een schriftelijke verklaring die ook op een andere aangelegenheid betrekking heeft, moet het vereiste van toestemming duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven.

3.           De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De intrekking van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet.

4.           Toestemming biedt geen rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en die van de voor de verwerking verantwoordelijke.

Artikel 8 Verwerking van persoonsgegevens van kinderen

1.           In geval van het rechtstreeks aanbieden van diensten van de informatiemaatschappij aan kinderen is de verwerking van persoonsgegevens van een kind jonger dan 13 jaar in het kader van deze verordening slechts rechtmatig wanneer en voor zover de ouder of voogd van het kind daartoe toestemming heeft gegeven of machtiging tot toestemming heeft verleend. Met inachtneming van de beschikbare technologie doet de voor de verwerking verantwoordelijke dat wat redelijkerwijze van hem kan worden verwacht om verifieerbare toestemming te verkrijgen.

2.           Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van een overeenkomst ten opzichte van een kind, onverlet.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de methoden ter verkrijging van de in lid 1 bedoelde verifieerbare toestemming. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging.

4.           De Commissie kan standaardformulieren vaststellen voor specifieke methoden ter verkrijging van de in lid 1 bedoelde verifieerbare toestemming. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 9 Verwerking van bijzondere categorieën persoonsgegevens

1.           De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging, of het lidmaatschap van een vakvereniging blijkt, en de verwerking van genetische gegevens of gegevens over gezondheid of seksueel gedrag of strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen, zijn verboden.

2.           Lid 1 is niet van toepassing wanneer:

a)      de betrokkene toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits aan de voorwaarden van de artikelen 7 en 8 is voldaan en de EU-wetgeving of de nationale wetgeving niet bepaalt dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; of

b)      de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de voor de verwerking verantwoordelijke op het gebied van arbeidsrecht, voor zover zulks is toegestaan bij EU-wetgeving of de nationale wetgeving en deze adequate garanties biedt; of

c)      de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

d)      de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met de nodige waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar streefdoelen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; of

e)      de verwerking betrekking heeft op persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt; of

f)       de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

g)      de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang, op grond van EU-wetgeving of de nationale wetgeving waarbij passende maatregelen worden vastgesteld ter bescherming van de gerechtvaardigde belangen van de betrokkene. of

h)      de verwerking van gegevens over gezondheid noodzakelijk is voor gezondheidsdoeleinden, mits de in artikel 81 genoemde voorwaarden en waarborgen in acht worden genomen; of

i)       de verwerking noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen; of

j)       de verwerking van gegevens betreffende strafrechtelijke veroordelingen of daarmee verband houdende veiligheidsmaatregelen wordt uitgevoerd onder toezicht van de overheid of wanneer de verwerking noodzakelijk is om een wettelijke verplichting van de voor de verwerking verantwoordelijke na te komen of voor de vervulling van een taak om gewichtige redenen van algemeen belang, en voor zover zulks is toegestaan bij EU-wetgeving of de nationale wetgeving en deze wetgeving passende garanties biedt. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria, de voorwaarden en de passende garanties voor de verwerking van de in lid 1 genoemde bijzondere categorieën persoonsgegevens en de in lid 2 vastgestelde uitzonderingen.

Artikel 10 Verwerking waarbij identificatie niet mogelijk is

Wanneer de door de voor de verwerking verantwoordelijke verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon te identificeren, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene.

HOOFDSTUK III RECHTEN VAN DE BETROKKENE

AFDELING 1 TRANSPARANTIE EN MODALITEITEN

Artikel 11 Transparante informatieverstrekking en communicatie

1.           Het beleid van de voor de verwerking verantwoordelijke met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene dient transparant en eenvoudig toegankelijk te zijn.

2.           De voor de verwerking verantwoordelijke verschaft de betrokkene in begrijpelijke vorm alle informatie en mededelingen over de verwerking van persoonsgegevens, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt, met name in geval van informatie die specifiek voor kinderen is bedoeld.

Artikel 12 Procedures en mechanismen voor de uitoefening van de rechten van de betrokkene

1.           De voor de verwerking verantwoordelijke stelt procedures vast voor het verstrekken van de in artikel 14 bedoelde informatie en voor de uitoefening van de in artikel 13 en de artikelen 15 tot en met 19 genoemde rechten van de betrokkene. De voor de verwerking verantwoordelijke zorgt met name voor mechanismen die het verzoek om de in de artikel 13 en de artikelen 15 tot en met 19 bedoelde acties vereenvoudigen. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, zorgt de voor de verwerking verantwoordelijke ook voor middelen om verzoeken elektronisch in te dienen.

2.           De voor de verwerking verantwoordelijke informeert de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek, of er al dan niet actie is ondernomen overeenkomstig artikel 13 en de artikelen 15 tot en met 19, en verstrekt de gevraagde informatie. Deze termijn kan met één maand worden verlengd wanneer verschillende betrokkenen hun rechten uitoefenen en hun samenwerking binnen redelijke grenzen noodzakelijk is om een onnodige en onevenredige inspanning van de voor de verwerking verantwoordelijke te vermijden. De informatie wordt schriftelijk verstrekt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

3.           Wanneer de voor de verwerking verantwoordelijk weigert om actie te ondernemen naar aanleiding van het verzoek van de betrokkene, deelt de voor de verwerking verantwoordelijke de betrokkene de redenen voor de weigering mee en informeert hij hem over de mogelijkheden een klacht in te dienen bij de toezichthoudende autoriteit en beroep in rechte in te stellen.

4.           De in lid 1 bedoelde informatie en op verzoek verrichte acties zijn gratis. Wanneer verzoeken duidelijk buitensporig zijn, met name vanwege hun repetitieve karakter, kan de voor de verwerking verantwoordelijke een vergoeding voor het verstrekken van de informatie of het verrichten van de gevraagde actie in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het duidelijk buitensporige karakter van het verzoek op de voor de verwerking verantwoordelijke.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden waaraan moet worden voldaan wil er sprake zijn van duidelijk buitensporige verzoeken en voor de in lid 4 bedoelde vergoedingen.

6.           De Commissie kan standaardformulieren en standaardprocedures vaststellen voor de in lid 2 bedoelde mededeling, ook met betrekking het elektronische model daarvan. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 13 Rechten met betrekking tot ontvangers

De voor de verwerking verantwoordelijke stelt iedere ontvanger aan wie gegevens zijn verstrekt op de hoogte van elke overeenkomstig de artikelen 16 en 17 uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.

AFDELING 2 INFORMATIE EN TOEGANG TOT GEGEVENS

Artikel 14 Informatieverstrekking aan de betrokkene

1.           Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene ten minste de volgende informatie:

a)      de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke en van de functionaris voor gegevensbescherming;

b)      de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd, met inbegrip van de clausules en algemene voorwaarden van de overeenkomst wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder b), en de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder f);

c)      de periode gedurende welke de persoonsgegevens worden opgeslagen;

d)      het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissen van de persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken;

e)      het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

f)       de ontvangers of categorieën ontvangers van de persoonsgegevens;

g)      in voorkomend geval het voornemen van de voor de verwerking verantwoordelijke tot doorgifte van persoonsgegevens naar een derde land of een internationale organisatie en het door dat derde land of die internationale organisatie geboden beschermingsniveau onder verwijzing naar een besluit van de Commissie waarbij het beschermingsniveau passend wordt verklaard;

h)      alle verdere informatie die, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen.

2.           Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

3.           Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee uit welke bron de persoonsgegevens afkomstig zijn.

4.           De voor de verwerking verantwoordelijke verstrekt de in de leden 1, 2 en 3 bedoelde informatie:

a)      op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen; of

b)      wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verzameld of anderszins verwerkt, of, wanneer verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het moment van de eerste verstrekking van de gegevens.

5.           De leden 1 tot en met 4 zijn niet van toepassing wanneer:

a)      de betrokkene reeds over de in de leden 1, 2 en 3 bedoelde informatie beschikt; of

b)      de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen; of

c)      de gegevens niet worden verzameld bij de betrokkene en de vastlegging of verstrekking uitdrukkelijk bij wet is voorgeschreven; of

d)      de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie afbreuk zal doen aan de rechten en vrijheden van anderen, als gedefinieerd in EU-wetgeving of de nationale wetgeving overeenkomstig artikel 21.

6.           In het in lid 5, onder b), bedoelde geval neemt de voor de verwerking verantwoordelijke passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen.

7.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria voor de in lid 1, onder f), bedoelde categorieën ontvangers, de voorschriften voor de in lid 1, onder g), bedoelde kennisgeving inzake de mogelijkheid van toegang, de criteria voor de in artikel 1, onder h), bedoelde noodzakelijke verdere informatie voor specifieke sectoren en situaties en de voorwaarden en passende waarborgen voor de in lid 5, onder b), vermelde uitzonderingen. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen.

8.           De Commissie kan standaardformulieren vaststellen voor het verstrekken van de in de leden 1 tot en met 3 bedoelde informatie, voor zover nodig met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 15 Recht van toegang van de betrokkene

1.           De betrokkene heeft het recht om te allen tijde op verzoek uitsluitsel van de voor de verwerking verantwoordelijke te verkrijgen omtrent het al dan niet plaatsvinden van verwerkingen van hem betreffende gegevens. Wanneer verwerkingen van deze persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de volgende informatie:

a)      de doeleinden van de verwerking;

b)      de betrokken categorieën persoonsgegevens;

c)      de ontvangers of categorieën ontvangers aan wie de gegevens moeten worden verstrekt of verstrekt zijn, met name ontvangers in derde landen;

d)      de periode gedurende welke de persoonsgegevens worden opgeslagen;

e)      het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of het wissen van persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken;

f)       het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)      de persoonsgegevens waarvan verwerkingen plaatsvinden en alle beschikbare informatie over de bron van die gegevens;

h)      het belang en de verwachte gevolgen van deze verwerking, op zijn minst in het geval van de in artikel 20 bedoelde maatregelen.

2.           De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke hem meedeelt van welke persoonsgegevens verwerking plaatsvindt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de mededeling aan de betrokkene van de inhoud van de in lid 1, onder g), bedoelde persoonsgegevens.

4.           De Commissie kan standaardformulieren en standaardprocedures vaststellen voor het verzoek om en de verlening van toegang tot de in lid 1 bedoelde informatie, onder andere voor de controle van de identiteit van de betrokkene en voor het meedelen van de persoonsgegevens aan de betrokkene, met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

AFDELING 3

RECTIFICATIE EN HET WISSEN VAN GEGEVENS

Artikel 16 Recht van rectificatie

De betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens door de voor de verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke persoonsgegevens, onder meer door toevoeging van een rectificerende verklaring.

Artikel 17 Recht om te worden vergeten en om gegevens te laten wissen

1. De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke ervoor zorgt dat hem betreffende gegevens worden gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft, met name waar het gaat om persoonsgegevens die door de betrokkene als kind beschikbaar zijn gesteld, wanneer een van de volgende gronden van toepassing is:

a)      de gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt;

b)      de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, onder a), is gebaseerd, in of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor de verwerking van de gegevens ontbreekt;

c)      de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19;

d)      de verwerking van de gegevens voldoet op andere gronden niet aan deze verordening.

2.           Wanneer de in lid 1 bedoelde voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt, neemt hij alle redelijke maatregelen, waaronder technische maatregelen, ten aanzien van de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde derden die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen. Wanneer de voor de verwerking verantwoordelijke toestemming heeft gegeven voor openbaarmaking van persoonsgegevens door een derde, wordt de voor de verwerking verantwoordelijke voor die openbaarmaking verantwoordelijk geacht.

3.           De voor de verwerking verantwoordelijke gaat onverwijld tot het wissen over, zij het niet voor zover het nodig is de persoonsgegevens te bewaren:

(a) voor de uitoefening van het recht op vrijheid van meningsuiting overeenkomstig artikel 80;

(b) om redenen van algemeen belang op het gebied van de volksgezondheid overeenkomstig artikel 81;

(c) voor historische, statistische of wetenschappelijke doeleinden overeenkomstig artikel 83;

(d) ter voldoening aan een wettelijke verplichting tot bewaring van de persoonsgegevens op grond van EU-wetgeving of de wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is; de nationale wetgeving moet beantwoorden aan een doelstelling van algemeen belang, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel.

(e) in de in lid 4 bedoelde gevallen.

4.           De voor de verwerking verantwoordelijke beperkt de verwerking van persoonsgegevens in plaats van deze te wissen wanneer:

a)      de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te controleren;

b)      de voor de verwerking verantwoordelijke de persoonsgegevens niet langer voor de uitvoering van zijn taken nodig heeft, maar die gegevens nog moeten worden bewaard ten behoeve van bewijsvoering;

c)      de verwerking ervan onrechtmatig is en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt;

d)      de betrokkene verzoekt om doorgifte van de persoonsgegevens naar een ander geautomatiseerd verwerkingssysteem overeenkomstig artikel 18, lid 2.

5.           De in lid 4 bedoelde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang.

6.           Wanneer de verwerking van persoonsgegevens op grond van artikel 4 is beperkt, informeert de voor de verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de verwerking op te heffen.

7.           De voor de verwerking verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen.

8.           Wanneer de persoonsgegevens worden gewist, verwerkt de voor de verwerking verantwoordelijke deze gegevens niet anderszins.

9.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van:

a)      de criteria en de vereisten voor de toepassing van lid 1 met betrekking tot specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking.

b)      de voorwaarden voor het verwijderen van koppelingen naar, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten als bedoeld in lid 2;

c)      de criteria en voorwaarden voor het beperken van de verwerking van persoonsgegevens als bedoeld in lid 4.

Artikel 18 Recht van gegevensoverdraagbaarheid

1.           Wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, heeft de betrokkene het recht om van de voor de verwerking verantwoordelijke een kopie te krijgen van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt en verder door de betrokkene kan worden gebruikt.

2.           Wanneer de betrokkene persoonsgegevens heeft verstrekt en de verwerking daarvan plaatsvindt op basis van toestemming of een overeenkomst, heeft de betrokkene het recht om deze persoonsgegevens en alle andere informatie die hij heeft verstrekt en die door middel van een geautomatiseerd verwerkingssysteem wordt bewaard, in een algemeen gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd verwerkingssysteem, zonder daarbij door de voor de verwerking verantwoordelijke bij wie de persoonsgegevens zijn weggehaald, te worden belemmerd.

3.           De Commissie kan het in lid 1 bedoelde elektronische formaat en de technische normen, de modaliteiten en de procedures voor het overeenkomstig lid 2 overdragen van persoonsgegevens, nader bepalen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4

RECHT VAN BEZWAAR EN PROFILERING

Artikel 19 Recht van bezwaar

1.           De betrokkene heeft het recht te allen tijde op gronden die verband houden met zijn bijzondere situatie bezwaar te maken tegen de verwerking op basis van artikel 6, lid 1, onder d), e) en f), van persoonsgegevens, tenzij de voor de verwerking verantwoordelijke dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan de belangen of de grondrechten en fundamentele vrijheden van de betrokkene.

2.           Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene het recht om kosteloos bezwaar te maken tegen de verwerking van zijn persoonsgegevens voor deze marketing. Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informatie kunnen worden onderscheiden.

3.           Wanneer een bezwaar op grond van de leden 1 en 2 gegrond wordt verklaard, worden de betrokken persoonsgegevens door de voor de verwerking verantwoordelijke niet langer gebruikt of anderszins verwerkt.

Artikel 20 Maatregelen op basis van profilering

1.           Iedere natuurlijke persoon heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen.

2. Onverminderd het bepaalde in de overige artikelen van deze verordening mag een persoon alleen aan een maatregel als bedoeld in lid 1 worden onderworpen, wanneer de verwerking:

a)      wordt uitgevoerd in het kader van het sluiten of het uitvoeren van een overeenkomst en aan het door de betrokkene ingediende verzoek tot het sluiten of het uitvoeren van de overeenkomst is voldaan of passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene, zoals het recht op menselijke tussenkomst; of

b)      uitdrukkelijk is toegestaan op grond van EU-wetgeving of nationale wetgeving en in die wetgeving ook passende maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van de betrokkene; of

c)      plaatsvindt op grond van de toestemming van de betrokkene, mits aan de voorwaarden van artikel 7 wordt voldaan en passende waarborgen worden geboden.

3. De geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van de persoonlijkheid van een natuurlijke persoon te beoordelen, wordt niet uitsluitend gebaseerd op de in artikel 9 bedoelde bijzondere categorieën persoonsgegevens.

4.           In de in lid 2 bedoelde gevallen omvat de informatie die op grond van artikel 14 door de voor de verwerking verantwoordelijke moet worden verstrekt, informatie over de eventuele verwerking voor een maatregel in de zin van lid 1 en de met deze verwerking beoogde gevolgen voor de betrokkene.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor passende maatregelen ter bescherming van de in lid 2 bedoelde gerechtvaardigde belangen van de betrokkene.

AFDELING 5 Beperkingen

Artikel 21 Beperkingen

1.           De reikwijdte van de in artikel 5, onder a) tot en met e), en de artikelen 11 tot en met 20 en artikel 32 neergelegde verplichtingen en rechten mogen bij EU-wetgeving of nationale wetgeving door middel van een wettelijke maatregel worden beperkt, wanneer een dergelijke beperking in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)      de openbare veiligheid;

b)      de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten;

c)      andere algemene belangen van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden en de bescherming van de marktstabiliteit en –integriteit;

d)      de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

e)      een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder a), b), c) en d), bedoelde gevallen;

f)       de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2.           De in lid 1 bedoelde wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking tot ten minste de doelstellingen die met de verwerking moeten worden nagestreefd en de vaststelling van de voor de verwerking verantwoordelijke.

HOOFDSTUK IV

DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER

AFDELING 1 ALGEMENE VERPLICHTINGEN

Artikel 22 Verantwoordelijkheden van de voor de verwerking verantwoordelijke

1.           De voor de verwerking verantwoordelijke stelt beleid vast en voert passende maatregelen uit om ervoor te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd.

2.           De in lid 1 bedoelde maatregelen betreffen met name:

(f) het bewaren van documentatie overeenkomstig artikel 28;

(g) het voldoen aan de in artikel 30 vastgestelde vereisten inzake gegevensbeveiliging;

(h) het uitvoeren van een privacyeffectbeoordeling overeenkomstig artikel 33;

(i) het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig artikel 34, leden 1 en 2;

(j) het aanwijzen van een functionaris voor gegevensbescherming overeenkomstig artikel 35, lid 1.

3.           De voor de verwerking verantwoordelijke stelt mechanismen in om ervoor te zorgen dat de doeltreffendheid van de in de leden 1 en 2 bedoelde maatregelen wordt getoetst. Deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs, indien die maatregel evenredig is.

4.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van eventuele nadere criteria en vereisten voor andere in lid 1 bedoelde passende maatregelen dan die welke reeds in lid 2 worden genoemd, van de voorwaarden voor de in lid 3 bedoelde toetsings- en controlemechanismen en van de criteria voor evenredigheid als bedoeld in lid 3, waarbij de mogelijkheid van specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging wordt genomen.

Artikel 23 Privacy by design en by default

1.           Met inachtneming van de stand van de techniek en de uitvoeringskosten legt de voor de verwerking verantwoordelijke, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer dat de verwerking aan de voorwaarden van deze verordening voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is.

2.           De voor de verwerking verantwoordelijke stelt mechanismen in om ervoor te zorgen dat in beginsel alleen de persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van de verwerking nodig zijn en met name het verzamelen of het bewaren van die gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen zorgen met name ervoor dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in de leden 1 en 2 bedoelde passende maatregelen en mechanismen, met name de vereisten voor gegevensbescherming by design die voor alle sectoren, producten en diensten van toepassing zijn.

4.           De Commissie kan technische normen vaststellen voor de in de leden 1 en 2 vermelde vereisten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 24 Gezamenlijk voor de verwerking verantwoordelijken

Wanneer een voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt, stellen de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling hun respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen uit hoofde van deze verordening, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene.

Artikel 25 Vertegenwoordigers van niet in de Unie gevestigde voor de verwerking verantwoordelijken

1.           In de in artikel 3, lid 2, bedoelde situatie wijst de voor de verwerking verantwoordelijke een vertegenwoordiger in de Unie aan.

2.           Deze verplichting is niet van toepassing op:

a)      een in een derde land gevestigde voor de verwerking verantwoordelijke, wanneer de Commissie overeenkomstig artikel 41 heeft besloten dat het derde land een passend beschermingsniveau waarborgt; of

b)      een onderneming met minder dan 250 werknemers; of

c)      een overheidsinstantie of –orgaan; of

d)      een voor de verwerking verantwoordelijke die slechts incidenteel goederen of diensten aanbiedt aan in de Unie wonende betrokkenen.

3.           De vertegenwoordiger is gevestigd in een van de lidstaten waar de betrokkenen waarvan de persoonsgegevens in verband met het hun aanbieden van goederen of diensten worden verwerkt of waarvan het gedrag wordt geobserveerd, wonen.

4.           De aanwijzing van een vertegenwoordiger door de voor de verwerking verantwoordelijke laat de vorderingen die tegen de voor de verwerking verantwoordelijke zelf zouden kunnen worden ingesteld, onverlet.

Artikel 26 Verwerker

1.           Wanneer een verwerking namens de voor de verwerking verantwoordelijke moet worden uitgevoerd, kiest de voor de verwerking verantwoordelijke een verwerker die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking voldoet aan de vereisten van deze verordening en de bescherming van de rechten van de betrokkene gewaarborgd is, met name met betrekking tot de technische beveiligingsmaatregelen en de organisatorische maatregelen inzake de te verrichten verwerking, en zorgt hij ervoor dat deze maatregelen in acht worden genomen.

2.           De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een andere rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat de verwerker:

a)      slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van de persoonsgegevens is verboden;

b)      slechts personeel in dienst neemt dat zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of een wettelijke vertrouwelijkheidsplicht heeft;

c)      alle uit hoofde van artikel 30 vereiste maatregelen neemt;

d)      slechts met voorafgaande toestemming van de voor de verwerking verantwoordelijke een andere verwerker in dienst neemt;

e)      voor zover dit gelet op de aard van de verwerking mogelijk is, met akkoord van de voor de verwerking verantwoordelijke de nodige technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan nakomen;

f)       de voor de verwerking verantwoordelijk bijstaat om ervoor te zorgen de verplichtingen uit hoofde van de artikelen 30 tot en met 34 worden nagekomen;

g)      de voor de verwerking verantwoordelijke na de beëindiging van de verwerking alle resultaten overhandigt en de persoonsgegevens niet anderszins verwerkt;

h)      de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen te controleren.

3.           De voor de verwerking verantwoordelijke en de verwerker leggen de instructies van de voor de verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2 zijn genoemd, vast in een document.

4.           Wanneer een verwerker persoonsgegevens verwerkt anders dan volgens de instructies van de voor de verwerking verantwoordelijke, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 24 neergelegde regels voor gezamenlijk voor de verwerking verantwoordelijken gelden.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verantwoordelijkheden, plichten en taken met betrekking tot een verwerker overeenkomstig lid 1, en van de voorwaarden ter bevordering van de verwerking van persoonsgegevens binnen een groep van ondernemingen, met name met het oog op controle en verslaglegging.

Artikel 27 Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

De verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de voor de verwerking verantwoordelijke, tenzij hij op grond van de EU-wetgeving of de nationale wetgeving tot de verwerking verplicht is.

Artikel 28 Documenten

1.           Alle voor de verwerking verantwoordelijken, verwerkers alsmede, in voorkomend geval, vertegenwoordigers van de voor de verwerking verantwoordelijke bewaren de documenten inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden.

2.           De documenten bevatten ten minste de volgende gegevens:

a)      de naam en de contactgegevens van de voor de verwerking verantwoordelijke of de eventuele gezamenlijk voor de verwerking verantwoordelijke of verwerker, en van de vertegenwoordiger, in voorkomend geval;

b)      de naam en de contactgegevens van de functionaris voor gegevensbescherming, in voorkomend geval;

c)      de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder f);

d)      een beschrijving van de categorieën betrokkenen en van de categorieën hen betreffende persoonsgegevens;

e)      de ontvangers of categorieën ontvangers van persoonsgegevens, met inbegrip van de voor de verwerking verantwoordelijken aan wie de persoonsgegevens zijn verstrekt met het oog op de door hen nagestreefde gerechtvaardigde belangen;

f)       indien van toepassing, de doorgifte van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 44, lid 1, onder h), bedoelde doorgiften, de documenten inzake de passende garanties;

g)      een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist;

h)      de beschrijving van de in artikel 22, lid 3, bedoelde mechanismen.

3.           De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de documenten op verzoek ter beschikking.

4.           De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op de volgende voor de verwerking verantwoordelijken en verwerkers:

a)      een natuurlijke persoon die zonder commerciële belangen persoonsgegevens verwerkt; of

b)      een onderneming of organisatie met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bedoelde documenten, teneinde met name de verantwoordelijkheden in acht te nemen van de voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke.

6.           De Commissie kan standaardformulieren vaststellen voor de in lid 1 bedoelde documenten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 29 Medewerking met de toezichthoudende autoriteit

1.           De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke verlenen op verzoek hun medewerking aan met de toezichthoudende autoriteit bij de uitoefening van diens taken, met name door het verstrekken van de in artikel 53, lid 2, onder a), bedoelde informatie en door het verschaffen van toegang als bepaald in dat lid, onder b).

2.           Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 53, lid 2, uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke, door de toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten.

AFDELING 2 GEGEVENSBEVEILIGING

Artikel 30 Beveiliging van de verwerking

1.           De voor de verwerking verantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een gelet op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek en met de kosten van uitvoering van de maatregelen.

2.           De voor de verwerking verantwoordelijke en de verwerker nemen, na een evaluatie van de risico’s, de in lid 1 bedoelde maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, of tegen verlies en om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor de in de leden 1 en 2 bedoelde technische en organisatorische maatregelen, waaronder de vaststelling van de stand van techniek, voor specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking, waarbij met name rekening wordt gehouden met technologische ontwikkelingen en oplossingen inzake privacy by design en gegevensbescherming by default, tenzij lid 4 van toepassing is.

4.           De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde voorschriften toe te snijden op verschillende situaties, met name om:

a)      ongeoorloofde toegang tot persoonsgegevens te voorkomen;

b)      te voorkomen dat persoonsgegevens ongeoorloofd worden verstrekt, gelezen, gekopieerd, gewijzigd, gewist of verwijderd;

c)      ervoor te zorgen dat de rechtmatigheid van verwerkingen wordt geverifieerd.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 31 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.           In geval van een inbreuk in verband met persoonsgegevens meldt de voor de verwerking verantwoordelijke de toezichthoudende autoriteit deze inbreuk zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding aan de toezichthoudende autoriteit niet binnen 24 plaatsvindt, gaat deze vergezeld van een motivering.

2.           In overeenstemming met artikel 26, lid 2, onder f), waarschuwt en informeert de verwerker de voor de verwerking verantwoordelijke onmiddellijk na de vaststelling van een inbreuk in verband met persoonsgegevens.

3.           De in lid 1 bedoelde melding bevat ten minste:

a)      een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords;

b)      de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)      aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)      een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens;

e)      een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken.

4.           De voor de verwerking verantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documenten moeten de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te controleren. De documenten omvatten uitsluitend de voor dat doel noodzakelijke informatie.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens en voor de bijzondere omstandigheden waarin een voor de verwerking verantwoordelijke en een verwerker verplicht zijn de inbreuk in verband met persoonsgegevens te melden.

6.           De Commissie kan het model vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documenten, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 32 Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.           Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de bescherming van de persoonsgegevens of de privacy van de betrokkene heeft, deelt de voor de verwerking verantwoordelijke na de in artikel 31 bedoelde melding, de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.           De in lid 1 bedoelde mededeling aan de betrokkene bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 31, lid 3, onder b) en c), voorgeschreven informatie en aanbevelingen.

3.           De melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij de passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de gegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.

4.           Onverminderd de verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te hebben overwogen, de voor de verwerking verantwoordelijk gelasten de inbreuk in verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste dat nog niet heeft gedaan.

5.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten met betrekking tot de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de in lid 1 bedoelde persoonsgegevens.

6.           De Commissie kan het model van de in lid 1 bedoelde melding aan de betrokkene en de op die melding toepasselijke procedure vaststellen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

AFDELING 3 PRIVACYEFFECTBEOORDELING EN VOORAFGAANDE TOESTEMMING

Artikel 33 Privacyeffectbeoordeling

1.           Wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen, voert de voor de verwerking verantwoordelijke of de verwerker die ten behoeve van de voor de verwerking verantwoordelijke optreedt een beoordeling uit van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens.

2.           Met name de volgende verwerkingen houden de in lid 1 bedoelde specifieke risico’s in:

a)      een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon, bijvoorbeeld om met name zijn economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen, die is gebaseerd op geautomatiseerde verwerking en waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen;

b)      de verwerking van gegevens over het seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden van gezondsheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

c)      de bewaking van openbaar toegankelijke ruimten, met name wanneer op grote schaal optisch-elektronische apparatuur (videobewaking) wordt gebruikt;

d)      de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens;

e)      andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de toezichthoudende autoriteit moet worden geraadpleegd.

3.           De beoordeling bevat minstens een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen, de maatregelen die worden beoogd om de risico’s te beperken, en de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen.

4.           De voor de verwerking verantwoordelijke neemt de opmerkingen van betrokkenen en hun vertegenwoordigers over de voorgenomen verwerking in ontvangst, zonder inbreuk te maken op de bescherming van commerciële of algemene belangen of de beveiliging van de verwerkingen.

5.           Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie of –orgaan is en de verwerking het gevolg is van een in de EU-wetgeving geregelde wettelijke verplichting in de zin van artikel 6, lid 1, onder c), waarbij voorschriften en procedures inzake de verwerkingen zijn vastgesteld, zijn de leden 1 tot en met 4 niet van toepassing, tenzij de lidstaten het nodig achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

6.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging.

7.           De Commissie kan normen en procedures vaststellen voor de uitvoering en de interne en externe toetsing van de in lid 3 bedoelde beoordeling. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 34 Voorafgaande toestemming en voorafgaande raadpleging

1.           De voor de verwerking verantwoordelijke en, in voorkomend geval, de verwerker verkrijgen voorafgaand aan de verwerking van persoonsgegevens toestemming van de toezichthoudende autoriteit om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer een voor de verwerking verantwoordelijke of een verwerker contractbepalingen vaststelt uit hoofde van artikel 42, lid 2, onder d), of niet in een juridisch bindend instrument passende garanties voor de bescherming van persoonsgegevens biedt als bedoeld in artikel 42, lid 5, voor de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie.

2.           De voor de verwerking verantwoordelijke of de verwerker die ten behoeve van de voor de verwerking verantwoordelijke optreedt, raadpleegt de toezichthoudende autoriteit voorafgaand aan de verwerking van de persoonsgegevens om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer:

a)      een privacyeffectbeoordeling als bedoeld in artikel 33 aangeeft dat verwerkingen vanwege hun aard, hun omvang of hun doel waarschijnlijk grote specifieke risico’s met zich brengen; of

b)      de toezichthoudende autoriteit het nodig acht om vooraf tot raadpleging over te gaan over verwerkingen die naar hun aard, hun omvang en/of hun doel waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen met zich brengen en die overeenkomstig lid 4 zijn gespecificeerd.

3.           Wanneer de toezichthoudende autoriteit van mening is dat de voorgenomen verwerking niet aan deze verordening voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende voorstellen om alsnog aan deze verordening te voldoen.

4.           De toezichthoudende autoriteit stelt een lijst op van verwerkingen waarover uit hoofde van lid 2, onder b), voorafgaande raadpleging moet plaatsvinden en publiceert deze. De toezichthoudende autoriteit deelt deze lijsten mee aan het Europees Comité voor gegevensbescherming.

5.           Wanneer de in lid 4 bedoelde lijst betrekking heeft op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of op het observeren van hun gedrag, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de toezichthoudende autoriteit voorafgaand aan de vaststelling van de lijst de in artikel 57 bedoelde conformiteitstoetsing toe.

6.           De voor de verwerking verantwoordelijke of de verwerker verstrekt de toezichthoudende autoriteit de in artikel 33 bedoelde privacyeffectbeoordeling en, op verzoek, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

7.           De lidstaten raadplegen de toezichthoudende autoriteit bij de voorbereiding van een door het nationale parlement vast te stellen wettelijke maatregel of een op een dergelijke wettelijke maatregel gebaseerde maatregel die de aard van de verwerking bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name de betrokken risico’s voor de betrokkenen te beperken.

8.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor het bepalen van de in lid 2, onder a), bedoelde grote specifieke risico’s.

9.           De Commissie kan standaardformulieren en –procedures vaststellen voor de in de leden 1 en 2 bedoelde voorafgaande goedkeuring en raadpleging en standaardformulieren en –procedures voor het verstrekken van informatie aan de toezichthoudende autoriteiten overeenkomstig lid 6. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

AFDELING 4 FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 35 Aanwijzing van de functionaris voor gegevensbescherming

1.           De voor de verwerking verantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a)      de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of

b)      de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers; of

c)      een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen.

2.           In het in lid 1, onder b), bedoelde geval kan een groep van ondernemingen één functionaris voor gegevensbescherming benoemen.

3.           Wanneer de voor de verwerking verantwoordelijke of de verwerker een overheidsinstantie of –orgaan is, kan de functionaris voor gegevensbescherming voor verschillende entiteiten van die instantie of dat orgaan worden aangewezen, met inachtneming van de organisatiestructuur van de overheidsinstantie of het overheidsorgaan.

4.           In andere dan de in lid 1 bedoelde gevallen kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen.

5.           De functionaris voor gegevensbescherming wordt door de voor de verwerking verantwoordelijke of de verwerker aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.

6.           De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat alle andere beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming en niet tot een belangenconflict leiden.

7.           De voor de verwerking verantwoordelijke of de verwerker wijst een functionaris voor gegevensbescherming aan voor een periode van tenminste twee jaar. De functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.

8.           De functionaris voor gegevensbescherming kan in dienst zijn van de voor de verwerking verantwoordelijke of de verwerker dan wel zijn taken op grond van een dienstverleningscontract verrichten.

9.           De voor de verwerking verantwoordelijke of de verwerker deelt de toezichthoudende autoriteit en het publiek de naam en de contactgegevens van de functionaris voor gegevensbescherming mee.

10.         Betrokkenen hebben het recht om met de functionaris voor gegevensbescherming contact op te nemen over alle aangelegenheden die verband houden met de verwerking van de gegevens van de betrokkene en om te verzoeken om de uitoefening van de rechten uit hoofde van deze verordening.

11.         De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1, onder c), bedoelde hoofdactiviteiten van de voor de verwerking verantwoordelijke of de verwerker en van de criteria voor de in lid 5 bedoelde professionele kwaliteiten van de functionaris voor gegevensbescherming.

Artikel 36 Positie van de functionaris voor gegevensbescherming

1.           De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.           De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming zijn plichten en taken onafhankelijk vervult en geen instructies ontvangt met betrekking tot de uitoefening van de functie. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de leiding van de voor de verwerking verantwoordelijke of de verwerker.

3.           De voor de verwerking verantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van zijn taken en zorgen voor personeel, kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling van de in artikel 37 bedoelde plichten en taken.

Artikel 37 Taken van de functionaris voor gegevensbescherming

1.           De voor de verwerking verantwoordelijke en de verwerker dragen de functionaris voor gegevensbescherming ten minste de volgende taken op:

a)      het informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze verordening en het documenteren van deze activiteit en de ontvangen antwoorden;

b)      het toezien op de uitvoering en toepassing van het beleid van de voor de verwerking verantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)      het toezien op de uitvoering en de toepassing van deze verordening, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van deze verordening;

d)      ervoor zorgen dat de in artikel 28 bedoelde documenten worden bewaard;

e)      het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 en 32;

f)       het toezien op de uitvoering van de privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek om voorafgaande toestemming of raadpleging, voor zover daartoe op grond van de artikelen 33 en 34 een verplichting bestaat;

g)      het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)      het optreden als contactpunt voor de toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking en het op eigen initiatief in voorkomend geval raadplegen van de toezichthoudende autoriteit.

2.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de lid 1 genoemde functionaris voor gegevensbescherming.

AFDELING 5 GEDRAGSCODES EN CERTIFICERING

Artikel 38 Gedragscodes

1.           De lidstaten, de toezichthoudende autoriteiten en de Commissie bevorderen de opstelling van gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren, moeten bijdragen tot de juiste toepassing van deze verordening en met name met betrekking tot:

a)      eerlijke en transparante gegevensverwerking;

b)      de verzameling van gegevens;

c)      het informeren van het publiek en de betrokkenen:

d)      verzoeken van betrokkenen in het kader van de uitoefening van hun rechten;

e)      het informeren en de bescherming van kinderen;

f)       doorgifte van gegevens naar derde landen of naar internationale organisaties;

g)      mechanismen voor het toezicht op en de verzekering van de naleving van de code door de voor de verwerking verantwoordelijken die deze hebben onderschreven;

h)      buitengerechtelijke procedures en andere procedures voor geschillenbeslechting tussen voor de verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens, onverminderd de rechten van de betrokkenen op grond van de artikelen 73 en 75.

2.           Verenigingen en andere organen die in een lidstaat categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen en die het voornemen hebben om een gedragscode op te stellen of bestaande gedragscodes te wijzigen of uit te breiden, kunnen deze voor advies aan de toezichthoudende autoriteit in die lidstaat voorleggen. De toezichthoudende autoriteit kan een advies uitbrengen over de verenigbaarheid van de ontwerpgedragscode of de wijziging daarvan met deze verordening. De toezichthoudende autoriteit neemt de opmerkingen van de betrokkenen of hun vertegenwoordigers over deze ontwerpen in ontvangst.

3.           Verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken in verschillende lidstaten vertegenwoordigen, kunnen ontwerpgedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes aan de Commissie voorleggen.

4.           De Commissie kan uitvoeringshandelingen vaststellen waarbij gedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes die haar op grond van lid 3 zijn voorgelegd, algemeen geldig worden verklaard binnen de Unie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

5.           De Commissie zorgt ervoor dat aan de codes die zij overeenkomstig lid 4 algemeen geldig heeft verklaard, passende bekendheid wordt gegeven.

Artikel 39 Certificering

1.           De lidstaten en de Commissie bevorderen, met name op Europees niveau, de vaststelling van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en –merktekens, zodat betrokkenen snel het door de voor de verwerking verantwoordelijken en verwerkers geboden niveau van gegevensbescherming kunnen beoordelen. De certificeringsmechanismen voor gegevensbescherming dragen bij tot de juiste toepassing van deze verordening, met inachtneming van de specifieke kenmerken van de verschillende sectoren en verwerkingen.

2.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bedoelde certificeringsmechanismen voor gegevensbescherming, met inbegrip van de voorwaarden voor toekenning en intrekking, en van de vereisten voor erkenning binnen de Unie en in derde landen.

3.           De Commissie kan technische normen vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels en –merktekens en mechanismen ter bevordering en erkenning van certificeringsmechanismen en gegevensbeschermingszegels en –merktekens. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

HOOFDSTUK V DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 40 Algemeen beginsel inzake doorgiften

Persoonsgegevens die aan verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de naleving van de andere bepalingen van deze verordening, de voor de verwerking verantwoordelijke en de verwerker de in dit hoofdstuk neergelegde voorwaarden hebben nageleefd; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie naar een ander derde land of een andere internationale organisatie.

Artikel 41 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.           Een doorgifte kan plaatsvinden wanneer de Commissie heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere toestemming nodig.

2.           Bij de beoordeling van de vraag of er een passend beschermingsniveau is, houdt de Commissie rekening met de volgende aspecten:

a)      de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, de beroepscodes en de veiligheidsmaatregelen die in het betrokken derde land of de betrokken internationale organisatie worden nageleefd, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)      het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; en

c)      de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan.

3.           De Commissie kan bij besluit vaststellen dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

4.           In de uitvoeringshandeling worden het geografische en het sectorale toepassingsgebied vastgelegd en wordt, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

5.           De Commissie kan bij besluit vaststellen dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 87, lid 3, bedoelde procedure.

6.           Wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, worden alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie verboden, onverminderd de artikelen 42 tot en met 44. De Commissie pleegt te gepasten tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

7.           De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.           De besluiten die de Commissie op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij door de Commissie worden gewijzigd, vervangen of ingetrokken.

Artikel 42 Doorgiften op basis van passende garanties

1.           Wanneer de Commissie geen besluit overeenkomstig artikel 41 heeft vastgesteld, kan een voor de verwerking verantwoordelijke of een verwerker persoonsgegevens naar een derde land of een internationale organisatie doorgeven, indien hij in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens biedt.

2.           De in lid 1 bedoelde passende garanties zijn met name:

a)      bindende bedrijfsvoorschriften overeenkomstig artikel 43; of

b)      modelbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure; of

c)      modelbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld in het kader van de in artikel 57 bedoelde conformiteitstoetsing, wanneer die door de Commissie overeenkomstig artikel 62, lid 1, onder b), algemeen geldig zijn verklaard; of

d)      contractuele bepalingen tussen de voor de verwerking verantwoordelijke of de verwerker en de ontvanger van de gegevens, die door een toezichthoudende autoriteit overeenkomstig lid 4 zijn goedgekeurd.

3.           Voor een doorgifte op basis van modelbepalingen inzake gegevensbescherming of bindende bedrijfsvoorschriften als bedoeld in lid 2, onder a), b) of c), is geen verdere toestemming nodig.

4.           Voor een doorgifte op basis van contractuele bepalingen als bedoeld in lid 2, onder d), verkrijgt de voor de verwerking verantwoordelijke of de verwerker overeenkomstig artikel 34, lid 1, onder a), voorafgaande toestemming van de contractuele bepalingen van de toezichthoudende autoriteit. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing.

5.           Wanner er geen passende garanties in verband met de bescherming van persoonsgegevens in een juridisch bindend instrument worden geboden, verkrijgt de voor de verwerking verantwoordelijke of de verwerker voorafgaande toestemming voor de doorgifte, voor een categorie doorgiften of voor bepalingen die moeten worden opgenomen in de administratieve regelingen die de basis voor een dergelijke doorgifte vormen. Die toestemming van de toezichthoudende autoriteit moet met artikel 34, lid 1, in overeenstemming zijn. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing. Toestemmingen die een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig, totdat zij door die toezichthoudende autoriteit worden gewijzigd, vervangen of ingetrokken.

Artikel 43 Doorgiften op grond van bindende bedrijfsvoorschriften

1.           Een toezichthoudende autoriteit keurt in het kader van de in artikel 58 bedoelde conformiteitstoetsing bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

a)      juridisch bindend zijn voor en van toepassing zijn op alle leden van de groep van ondernemingen van de voor de verwerking verantwoordelijke of de verwerker, met inbegrip van hun werknemers, en dat deze leden op de naleving ervan toezien;

b)      betrokkenen uitdrukkelijk afdwingbare rechten toekennen;

c)      voldoen aan de in lid 2 vastgestelde vereisten.

2.           In de bindende bedrijfsvoorschriften worden minimaal de volgende elementen vastgelegd:

a)      de structuur en de contactgegevens van de groep van ondernemingen en haar leden;

b)      de gegevensdoorgiften of categorie doorgiften, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen en de naam van het betrokken derde land of de betrokken derde landen;

c)      het intern en extern juridisch bindende karakter;

d)      de algemene beginselen inzake gegevensbescherming, namelijk de doelbinding, de kwaliteit van de gegevens, de rechtsgrondslag voor verwerking, de verwerking van gevoelige persoonsgegevens, de maatregelen om de beveiliging van de gegevens te waarborgen en de vereisten die worden gesteld bij verdere doorgiften aan organisaties die niet door de bedrijfsvoorschriften zijn gebonden;

e)      de rechten van betrokkenen en de middelen om deze rechten uit te oefenen, waaronder het recht niet te worden onderworpen aan een maatregel op basis van profilering overeenkomstig artikel 20, het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit of een vordering in te stellen bij de bevoegde gerechtelijke instanties van de lidstaten overeenkomstig artikel 75, en, in voorkomend geval, een vergoeding te ontvangen voor een inbreuk op de bindende bedrijfsvoorschriften;

f)       de aanvaarding door een in een lidstaat gevestigde voor de verwerking verantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd lid van de groep van ondernemingen; de voor de verwerking verantwoordelijke of de verwerker kan alleen geheel of gedeeltelijk van deze aansprakelijkheid worden ontheven, indien hij bewijst dat de schade niet aan dat lid kan worden toegerekend;

g)      de wijze waarop betrokkenen overeenkomstig artikel 11 informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name de onder d), e) en f) bedoelde bepalingen;

h)      de taken van de overeenkomstig artikel 35 aangewezen functionaris voor gegevensbescherming, waaronder het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen de groep van ondernemingen, op de opleiding en op de behandeling van klachten;

i)       de binnen de groep van ondernemingen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;

j)       de procedures om veranderingen in het beleid te melden en te registreren en die verandering bij de toezichthoudende autoriteit aan te melden;

k)      de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van de groep van ondernemingen de bindende bedrijfsvoorschriften naleven, onder meer door de resultaten van de onder i) bedoelde controles aan de toezichthoudende autoriteit mee te delen.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor bindende bedrijfsvoorschriften in de zin van dit artikel, waaronder de criteria voor hun goedkeuring en de toepassing van lid 2, onder b), d), e) en f), op de bindende bedrijfsvoorschriften van verwerkers, en de andere vereisten die nodig zijn om de bescherming van de persoonsgegevens van de betrokkenen te waarborgen.

4.           De Commissie kan het model en de procedures voor de elektronische uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen voor de verwerking verantwoordelijken, verwerkers en toezichthoudende autoriteiten nader vastleggen. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 44 Afwijkingen

1.           Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig artikel 41 of passende garanties overeenkomstig artikel 42, kan een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land of een internationale organisatie slechts plaatsvinden op voorwaarde dat:

a)      de betrokkene met de voorgestelde doorgifte heeft ingestemd, na over de risico’s van dergelijke doorgiften bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard en passende garanties te zijn geïnformeerd; of

b)      de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; of

c)      de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een andere natuurlijke of rechtspersoon gesloten overeenkomst; of

d)      de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang; of

e)      de doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

f)       de doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

g)      de doorgifte geschiedt vanuit een openbaar register dat krachtens de EU-wetgeving of de nationale wetgeving bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de voorwaarden van de EU-wetgeving of de nationale wetgeving voor raadpleging; of

h)      de doorgifte noodzakelijk is voor de gerechtvaardigde belangen die door de voor de verwerking verantwoordelijke of de verwerker worden nagestreefd, en niet als frequent of massaal kan worden beschouwd, en de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of de categorie gegevensdoorgiften heeft beoordeeld en, indien nodig, op basis van die beoordeling passende garanties biedt voor de bescherming van de persoonsgegevens.

2.           Een doorgifte overeenkomstig lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.

3.           Bij verwerking overeenkomstig lid 1, onder h), besteedt de voor de verwerking verantwoordelijke of de verwerker bijzondere aandacht aan de aard van de gegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsook aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en, indien nodig, aan de geboden passende garanties in verband met de bescherming van persoonsgegevens.

4.           Lid 1, onder b), c) en h), is niet van toepassing op activiteiten die worden verricht door autoriteiten in de uitoefening van het overheidsgezag.

5.           Het in lid 1, onder d), bedoelde openbaar belang moet erkend zijn in de EU-wetgeving of de nationale wetgeving van de lidstaat waaronder de voor de verwerking verantwoordelijke ressorteert.

6.           De voor de verwerking verantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, onder h), bedoelde passende garanties met bewijsstukken door middel van de in artikel 28 bedoelde documenten en stelt de toezichthoudende autoriteit in kennis van de doorgifte.

7.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van het begrip “gewichtige redenen van algemeen belang” in de zin van lid 1, onder d), en de criteria en de vereisten voor de in lid 1, onder h), bedoelde passende garanties.

Artikel 45 Internationale samenwerking voor de bescherming van persoonsgegevens

1.           In verband met derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten de nodige maatregelen om:

a)      procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt;

b)      internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en grondvrijheden bestaan;

c)      belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking in de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)      de uitwisseling en het documenteren van de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te bevorderen.

2.           Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 41, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

HOOFDSTUK VI ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1 ONAFHANKELIJKHEID

Artikel 46 Toezichthoudende autoriteit

1.           Elke lidstaat zorgt ervoor dat één of meer overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.           Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met de in artikel 57 bedoelde conformiteitstoetsing naleven.

3.           Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig dit hoofdstuk vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 47 Onafhankelijkheid

1.           De toezichthoudende autoriteit treedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk op.

2.           Bij de uitvoering van hun taken vragen noch aanvaarden de leden van de toezichthoudende autoriteit instructies van wie dan ook.

3.           De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen andere al dan niet bezoldigde beroepswerkzaamheden.

4.           Na beëindiging van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

5.           Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit kan beschikken over passende menselijke, technische en financiële middelen, en de huisvesting en infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te oefenen.

6.           Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn leiding staan.

7.           De lidstaten zorgen ervoor dat het financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid niet in het gedrang brengt. De lidstaten zorgen ervoor dat de toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De begroting wordt openbaar gemaakt.

Artikel 48 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.           De lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de regering van de betrokken lidstaat worden benoemd.

2.           De leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de uitvoering van hun taken, met name op het gebied van de bescherming van persoonsgegevens.

3.           De taken van een lid worden beëindigd bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig lid 5.

4.           Een lid kan door de bevoegde nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan komende voordelen vervallen worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is tekortgeschoten.

5.           Een lid waarvan de ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren totdat een nieuw lid is benoemd.

Artikel 49 Oprichting van de toezichthoudende autoriteit

Binnen de grenzen van deze verordening regelt elke lidstaat bij wet:

a)      de oprichting en het statuut van de toezichthoudende autoriteit;

b)      de kwalificaties, de ervaring en de vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende autoriteit uit te voeren;

c)      de voorschriften en de procedures voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de voorschriften in verband met handelingen en activiteiten die met de taken van het ambt onverenigbaar zijn;

d)      de ambtstermijn van de leden van de toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;

e)      of de leden van de toezichthoudende autoriteit opnieuw kunnen worden benoemd;

f)       het statuut en de gemeenschappelijke voorwaarden in verband met de taken van de leden en de personeelsleden van de toezichthoudende autoriteit;

g)      de voorschriften en de procedures voor de beëindiging van de taken van de leden van de toezichthoudende autoriteit, onder meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten.

Artikel 50 Beroepsgeheim

Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun officiële taken ter kennis is gekomen, geldt voor de leden en de personeelsleden van de toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim.

AFDELING 2 TAKEN EN BEVOEGDHEDEN

Artikel 51 Competentie

1.           Elke toezichthoudende autoriteit oefent op het grondgebied van haar lidstaat de bevoegdheden uit die haar overeenkomstig deze verordening zijn toegekend.

2.           Wanneer de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, en de voor de verwerking verantwoordelijke of de verwerker is in meer dan één lidstaat gevestigd, is de toezichthoudende autoriteit van de belangrijkste vestiging van de voor de verwerking verantwoordelijke of de verwerker bevoegd voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of de verwerker in alle lidstaten, onverminderd de bepalingen van hoofdstuk VII van deze verordening.

3.           De toezichthoudende autoriteit is niet bevoegd om toe te zien op verwerkingen door gerechtelijke instanties in het kader van hun gerechtelijke taken.

Artikel 52 Taken

1.           De toezichthoudende autoriteit:

a)      ziet toe op en waarborgt de toepassing van deze verordening;

b)      neemt kennis van klachten van betrokkenen of van verenigingen die overeenkomstig artikel 73 betrokkenen vertegenwoordigen, onderzoekt de aangelegenheid in de mate waarin dat nodig is en stelt de betrokkene of de vereniging binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

c)      deelt informatie mee en biedt wederzijdse bijstand aan andere toezichthoudende autoriteiten en zorgt voor de samenhang in de toepassing en de handhaving van deze verordening;

d)      verricht onderzoeken hetzij op eigen initiatief, hetzij op basis van een klacht of op verzoek van een andere toezichthoudende autoriteit, en stelt de betrokkene, als die bij die toezichthoudende autoriteit een klacht heeft ingediend, binnen een redelijke termijn in kennis van het resultaat van de onderzoeken;

e)      volgt de relevante ontwikkelingen voorzover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkelingen in de informatie- en communicatietechnologieën en de handelspraktijken;

f)       wordt geraadpleegd door de instellingen en organen van de lidstaat over wettelijke en bestuursrechtelijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens;

g)      verleent toestemming voor de in artikel 34 bedoelde verwerkingen en wordt dienaangaande geraadpleegd;

h)      brengt overeenkomstig artikel 38, lid 2, advies uit over de ontwerpgedragscodes;

i)       keurt overeenkomstig artikel 43 bindende bedrijfsvoorschriften goed;

j)       neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming.

2.           Elke toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de risico’s, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens. Er wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten.

3.           De toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe, indien nodig, samen met de toezichthoudende autoriteiten van andere lidstaten.

4.           Voor de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

5.           De prestaties van de toezichthoudende autoriteit zijn kosteloos voor de betrokkene.

6.           Wanneer verzoeken kennelijk buitensporig zijn, met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een vergoeding in rekening brengen of ervoor opteren om de door de betrokkene gevraagde maatregelen niet te nemen. De bewijslast met betrekking tot het kennelijk buitensporige karakter van het verzoek rust op de toezichthoudende autoriteit.

Artikel 53 Bevoegdheden

1.           Elk toezichthoudende autoriteit is bevoegd om:

a)      de voor de verwerking verantwoordelijke of de verwerker in kennis te stellen van een vermeende inbreuk op de voorschriften inzake de verwerking van persoonsgegevens en, indien nodig, de voor de verwerking verantwoordelijke of de verwerker te gelasten die inbreuk met bepaalde maatregelen ongedaan te maken, teneinde de bescherming van de betrokkene te verbeteren;

b)      de voor de verwerking verantwoordelijke of de verwerker te gelasten aan de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening te voldoen;

c)      de voor de verwerking verantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger te gelasten alle voor de uitvoering van haar taken relevante informatie te verstrekken;

d)      erop toe te zien dat de in artikel 34 bedoelde voorafgaande toestemmingen en voorafgaande raadplegingen worden nageleefd;

e)      de voor de verwerking verantwoordelijke of de verwerker te waarschuwen of te berispen;

f)       de rectificatie, wissing of vernietiging van alle gegevens te gelasten indien deze in strijd met de bepalingen van deze verordening verwerkt zijn, en te gelasten dat van dergelijke handelingen mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn;

g)      een tijdelijk of definitief verwerkingsverbod op te leggen;

h)      gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie op te schorten;

i)       adviezen uit te brengen over alle aangelegenheden in verband met de bescherming van persoonsgegevens;

j)       het nationale parlement, de regering of andere politieke instellingen, alsook het grote publiek te informeren over alle aangelegenheden in verband met de bescherming van persoonsgegevens.

2.           Elke toezichthoudende autoriteit kan op grond van haar onderzoeksbevoegdheid van de voor de verwerking verantwoordelijke of de verwerker verlangen dat zij:

a)      toegang krijgt tot alle persoonsgegevens en alle informatie die zij nodig heeft voor de uitvoering van haar taken;

b)      toegang krijgt tot alle gebouwen en terreinen van de voor de verwerking verantwoordelijke of de verwerker, met inbegrip van alle installaties en middelen voor gegevensverwerking, wanneer er redelijke grond bestaat om aan te nemen dat er in strijd met deze verordening een activiteit wordt verricht.

De onder b) bedoelde bevoegdheden worden conform de EU-wetgeving en de nationale wetgeving uitgeoefend.

3.           Elke toezichthoudende autoriteit is bevoegd om schendingen van deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en daartegen in rechte op te treden, met name overeenkomstig artikel 74, lid 4, en artikel 75, lid 2.

4.           Elke toezichthoudende autoriteit is bevoegd om administratieve inbreuken te bestraffen, met name die welke in artikel 79, leden 4, 5 en 6, zijn vermeld.

Artikel 54 Activiteitenverslag

Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op. Het verslag wordt ingediend bij het nationale parlement, ter beschikking gesteld van de Commissie en het Europees Comité voor gegevensbescherming, en openbaar gemaakt.

HOOFDSTUK VII

SAMENWERKING EN CONFORMITEIT

AFDELING 1 SAMENWERKING

Artikel 55 Wederzijdse bijstand

1.           De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om effectief met elkaar samen te werken. De wederzijdse samenwerking bestrijkt met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemmingen en raadplegingen, inspecties en de snelle mededeling van informatie over de opening en het verloop van dossiers wanneer een verwerking betrekking kan hebben op betrokkenen in verschillende lidstaten.

2.           Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om het verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na de ontvangst van het verzoek te beantwoorden. Daarbij kan het met name gaan om de toezending van relevante informatie over het verloop van een onderzoek of de handhavingsmaatregelen die zijn genomen om verwerkingen die in strijd met deze verordening plaatsvinden, te doen staken of te verbieden.

3.           Het verzoek om informatie bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor de aangelegenheid waarvoor om die informatie verzocht is.

4.           Een toezichthoudende autoriteit tot wie een verzoek om bijstand is gericht, kan dit verzoek slechts afwijzen, indien:

a)      zij niet bevoegd is voor het verzoek; of

b)      het verzoek onverenigbaar is met de bepalingen van de verordening.

5.           De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de vooruitgang van de maatregelen die zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit te voldoen.

6.           De toezichthoudende autoriteiten delen de door andere toezichthoudende autoriteiten gevraagde informatie elektronisch en binnen de kortst mogelijke termijn mee met gebruikmaking van een standaardformulier.

7.           De maatregelen die na een verzoek om wederzijdse bijstand worden genomen, zijn kosteloos.

8.           Wanneer een toezichthoudende autoriteit niet binnen één maand op een verzoek van een andere toezichthoudende autoriteit reageert, is de verzoekende toezichthoudende autoriteit bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen en legt zij de aangelegenheid volgens de in artikel 57 bedoelde procedure voor aan het Europees Comité voor gegevensbescherming.

9.           De toezichthoudende autoriteit legt vast hoe lang een dergelijke voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee.

10.         De Commissie kan het model en de procedures vastleggen voor de wederzijdse bijstand overeenkomstig dit artikel, alsook de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, waaronder het in lid 6 bedoelde standaardformulier. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

Artikel 56 Gezamenlijke maatregelen van toezichthoudende autoriteiten

1.           Om de samenwerking en de wederzijdse bijstand te versterken, voeren de toezichthoudende autoriteiten gezamenlijke onderzoeksmissies uit en nemen zij gezamenlijke handhavingsmaatregelen en andere gezamenlijke maatregelen, waaraan aangewezen leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten deelnemen.

2.           In gevallen waarin een verwerking betrekking heeft op betrokkenen in verschillende lidstaten heeft de toezichthoudende autoriteit van elk van die lidstaten het recht aan de gezamenlijke onderzoeksmissies of de gezamenlijke maatregelen deel te nemen. De bevoegde toezichthoudende autoriteit nodigt de toezichthoudende autoriteit van elk van die lidstaten uit tot deelname aan de respectieve gezamenlijke onderzoeksmissies of gezamenlijke maatregelen en beantwoordt onverwijld het verzoek van een toezichthoudende autoriteit om daaraan deel te nemen.

3.           Elke toezichthoudende autoriteit kan als ontvangende toezichthoudende autoriteit overeenkomstig haar nationale recht en met toestemming van de ondersteunende toezichthoudende autoriteit, aan de aan gezamenlijke maatregelen deelnemende leden of personeelsleden van de ondersteunende toezichthoudende autoriteit uitvoeringsbevoegdheden toekennen, onder meer in verband met het uitvoeren van onderzoeksmissies, of, voor zover het nationale recht van de ontvangende toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit toestaan om hun uitvoeringsbevoegdheden overeenkomstig het recht van de ondersteunende toezichthoudende autoriteit uit te oefenen. Deze uitvoerende bevoegdheden mogen hierbij uitsluitend onder leiding en, in beginsel, in aanwezigheid van leden of personeelsleden van de ontvangende toezichthoudende autoriteit worden uitgeoefend. De leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit zijn onderworpen aan het nationale recht van de ontvangende toezichthoudende autoriteit. Hun optreden valt onder de verantwoordelijkheid van de ontvangende toezichthoudende autoriteit.

4.           De toezichthoudende autoriteiten stellen de praktische aspecten van specifieke samenwerkingsmaatregelen vast.

5.           Wanneer een toezichthoudende autoriteit niet binnen één maand aan de in lid 2 vastgestelde verplichting voldoet, zijn de andere toezichthoudende autoriteiten bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen.

6.           De toezichthoudende autoriteit legt vast hoe lang een in lid 5 bedoelde voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee en legt de aangelegenheid voor in het kader van de in artikel 57 bedoelde toetsing.

AFDELING 2 CONFORMITEIT

Artikel 57 Conformiteitstoetsing

Voor de in artikel 46, lid 1, genoemde doeleinden werken de toezichthoudende autoriteiten in het kader van de in deze afdeling beschreven conformiteitstoetsing samen met elkaar en met de Commissie.

Artikel 58 Advies van het Europees Comité voor gegevensbescherming

1.           Alvorens een toezichthoudende autoriteit een in lid 2 bedoelde maatregel neemt, deelt zij de ontwerpmaatregel mee aan het Europees Comité voor gegevensbescherming en de Commissie.

2.           De in lid 1 genoemde verplichting is van toepassing op een maatregel die rechtsgevolgen in het leven moet roepen en die:

a)      betrekking heeft op verwerkingen die verband houden met het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of met het observeren van hun gedrag; of

b)      van aanzienlijke invloed kan zijn op het vrije verkeer van persoonsgegevens binnen de Unie; of

c)      de vaststelling beoogt van een lijst van verwerkingen waarvoor overeenkomstig artikel 34, lid 5, voorafgaande raadpleging moet plaatsvinden; of

d)      de vaststelling beoogt van de in artikel 42, lid 2, bedoelde modelbepalingen inzake gegevensbescherming; of

e)      de toestemming beoogt voor de in artikel 42, lid 2, bedoelde contractuele bepalingen; of

f)       de goedkeuring beoogt van bindende bedrijfsvoorschriften in de zin van artikel 43.

3.           Elke toezichthoudende autoriteit of het Europees Comité voor gegevensbescherming kan verzoeken dat een aangelegenheid aan de conformiteitstoetsing wordt onderworpen, met name wanneer een toezichthoudende autoriteit geen in lid 2 bedoelde ontwerpmaatregel meedeelt of niet voldoet aan de verplichting tot wederzijdse bijstand overeenkomstig artikel 55 of de verplichting inzake gezamenlijke maatregelen overeenkomstig artikel 56.

4.           Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie verzoeken dat een aangelegenheid aan de conformiteitstoetsing wordt onderworpen.

5.           De toezichthoudende autoriteiten en de Commissie delen elektronisch door middel van een standaardformulier alle relevante informatie mee, waaronder naargelang van het geval een samenvatting van de feiten, de ontwerpmaatregel en de redenen waarom een dergelijke maatregel moet worden genomen.

6.           De voorzitter van het Europees Comité voor gegevensbescherming stelt de leden van het Europees Comité voor gegevensbescherming en de Commissie onmiddellijk elektronisch door middel van een standaardformulier in kennis van alle relevante informatie die het comité heeft ontvangen. De voorzitter van het Europees Comité voor gegevensbescherming verstrekt indien nodig vertalingen van relevante informatie.

7.           Het Europees Comité voor gegevensbescherming brengt over de aangelegenheid een advies uit, indien het Europees Comité daartoe beslist met gewone meerderheid van stemmen van zijn leden of indien een toezichthoudende autoriteit of de Commissie binnen één week nadat de relevante informatie overeenkomstig lid 5 is verstrekt, daarom verzoekt. Het advies wordt binnen één maand vastgesteld met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming. De voorzitter van het Europees Comité voor gegevensbescherming stelt zonder onnodige vertraging de in de leden 1 en 3 bedoelde toezichthoudende autoriteit, de Commissie en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit in kennis van het advies en maakt dat advies bekend.

8.           De in lid 1 bedoelde toezichthoudende autoriteit en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit nemen het advies van het Europees Comité voor gegevensbescherming in aanmerking en delen de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het advies door de voorzitter van het Europees Comité voor gegevensbescherming ter kennis is gebracht, elektronisch door middel van een standaardformulier mee of zij hun ontwerpmaatregel handhaven of wijzigen en delen in voorkomend geval de gewijzigde ontwerpmaatregel mee.

Artikel 59 Advies van de Commissie

1.           Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie binnen tien weken nadat een aangelegenheid overeenkomstig artikel 58 is voorgelegd, of uiterlijk binnen zes weken in het geval van artikel 61, een advies vaststellen in verband met aangelegenheden die haar overeenkomstig de artikelen 58 of 61 zijn voorgelegd.

2.           Wanneer de Commissie overeenkomstig lid 1 een advies heeft vastgesteld, neemt de betrokken toezichthoudende autoriteit het advies van de Commissie zoveel mogelijk in aanmerking en deelt zij de Commissie en het Europees Comité voor gegevensbescherming mee of zij voornemens is haar ontwerpmaatregel te handhaven of te wijzigen.

3.           Tijdens de in lid 1 bedoelde periode stelt de toezichthoudende autoriteit de ontwerpmaatregel niet vast.

4.           Wanneer de betrokken toezichthoudende autoriteit niet voornemens is het advies van de Commissie te volgen, stelt zij de Commissie en het Europees Comité voor gegevensbescherming daarvan binnen de in lid 1 bedoelde termijn in kennis. In dat geval wordt de ontwerpmaatregel gedurende nog één maand niet vastgesteld.

Artikel 60 Schorsing van een ontwerpmaatregel

1.           Binnen één maand na de in artikel 59, lid 4, bedoelde mededeling kan de Commissie, wanneer zij ernstig betwijfelt of de ontwerpmaatregel voor correcte toepassing van deze verordening zorgt of anderszins tot inconsequente toepassing zou leiden, een met redenen omkleed besluit vaststellen, waarin de toezichthoudende autoriteit gevraagd wordt de vaststelling van de ontwerpmaatregel te schorsen, rekening houdend met het advies dat overeenkomstig artikel 58, lid 7, of artikel 61, lid 2, door het Europees Comité voor gegevensbescherming is uitgebracht, indien dat nodig lijkt om:

a)      de uiteenlopende standpunten van de toezichthoudende autoriteit en het Europees Comité voor gegevensbescherming te verzoenen, als dat nog mogelijk blijkt; of

b)      overeenkomstig artikel 62, lid 1, onder a), een maatregel vast te stellen.

2.           De Commissie legt de duur van de schorsing vast, die evenwel niet langer mag zijn dan twaalf maanden.

3.           Tijdens de in lid 2 bedoelde periode mag de toezichthoudende autoriteit de ontwerpmaatregel niet vaststellen.

Artikel 61 Spoedprocedure

1.           In buitengewone omstandigheden kan een toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk kan worden belemmerd door een verandering in de bestaande toestand, om grote nadelen af te wenden of om andere redenen, in afwijking van de in artikel 58 bedoelde procedure onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur nemen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee.

2.           Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Europees Comité voor gegevensbescherming met opgave van redenen, waaronder de redenen waarom de definitieve maatregelen spoedeisend zijn, om een dringend advies verzoeken.

3.           Een toezichthoudende autoriteit kan met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies verzoeken, wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen.

4.           In afwijking van artikel 58, lid 7, wordt een in de leden 2 en 3 bedoeld dringend advies binnen twee weken met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming vastgesteld.

Artikel 62 Uitvoeringshandelingen

1.           De Commissie kan uitvoeringshandelingen vaststellen om:

a)      te besluiten over de correcte toepassing van deze verordening overeenkomstig haar doelstellingen en vereisten in verband met aangelegenheden die overeenkomstig artikel 58 of artikel 61 door toezichthoudende autoriteiten zijn meegedeeld, een aangelegenheid waarvoor overeenkomstig artikel 60, lid 1, een met redenen omkleed besluit is vastgesteld of een aangelegenheid waarvoor een toezichthoudende autoriteit geen ontwerpmaatregel indient en zij heeft meegedeeld dat zij niet voornemens is het overeenkomstig artikel 59 door de Commissie vastgestelde advies te volgen;

b)      binnen de in artikel 59, lid 1, bedoelde termijn te besluiten of zij in artikel 58, lid 2, onder d), bedoelde ontwerp‑modelbepalingen inzake gegevensbescherming algemeen geldig verklaart;

c)      het model en de procedures voor de toepassing van de in deze afdeling bedoelde conformiteitstoetsing vast te leggen;

d)      de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, met name het in artikel 58, leden 5, 6 en 8, bedoelde standaardformulier, vast te leggen.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

2.           De Commissie stelt om dwingende en gegronde redenen van spoedeisendheid die verband houden met de belangen van betrokkenen in de in lid 1, onder a), bedoelde gevallen, onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in artikel 87, lid 3, bedoelde procedure. Die handelingen blijven geldig voor een duur die niet langer mag zijn dan twaalf maanden.

3.           De vaststelling of niet-vaststelling van een maatregel overeenkomstig deze afdeling doet geen afbreuk aan andere maatregelen die de Commissie overeenkomstig het Verdrag heeft vastgesteld.

Artikel 63 Tenuitvoerlegging

1.           Voor de toepassing van deze verordening wordt een uitvoerbare maatregel van de toezichthoudende autoriteit van een lidstaat in alle betrokken lidstaten ten uitvoer gelegd.

2.           Wanneer een toezichthoudende autoriteit voor een ontwerpmaatregel in strijd met artikel 58, leden 1 tot en met 5, de conformiteitstoetsing niet naleeft, wordt die maatregel niet rechtsgeldig en uitvoerbaar geacht.

AFDELING 3 EUROPEES COMITÉ VOOR GEGEVENSBESCHERMING

Artikel 64 Europees Comité voor gegevensbescherming

1.           Er wordt een Europees Comité voor gegevensbescherming ingesteld.

2.           Het Europees Comité voor gegevensbescherming bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming.

3.           Wanneer in een lidstaat meer dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing van de bepalingen van deze verordening, wordt de voorzitter van één van deze toezichthoudende autoriteiten als gezamenlijke vertegenwoordiger aangewezen.

4.           De Commissie heeft het recht deel te nemen aan de activiteiten en bijeenkomsten van het Europees Comité voor gegevensbescherming en wijst een vertegenwoordiger aan. De voorzitter van het Europees Comité voor gegevensbescherming informeert de Commissie onverwijld over alle activiteiten van het Europees Comité voor gegevensbescherming.

Artikel 65 Onafhankelijkheid

1.           Het Europees Comité voor gegevensbescherming treedt bij de uitvoering van zijn taken overeenkomstig de artikelen 66 en 67 onafhankelijk op.

2.           Onverminderd de in artikel 66, lid 1, onder b), en artikel 66, lid 2, bedoelde verzoeken van de Commissie, vraagt noch aanvaardt het Europees Comité voor gegevensbescherming instructies van wie dan ook.

Artikel 66 Taken van het Europees Comité voor gegevensbescherming

1.           Het Europees Comité voor gegevensbescherming zorgt ervoor dat deze verordening consequent wordt toegepast. Daartoe verricht het Europees Comité voor gegevensbescherming op eigen initiatief of op verzoek van de Commissie de volgende activiteiten:

a)      adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze verordening;

b)      onderzoeken van, op eigen initiatief of op verzoek van één van zijn leden of op verzoek van de Commissie, van alle kwesties in verband met de toepassing van deze verordening en opstellen van richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten, teneinde te bevorderen dat deze verordening consequent wordt toegepast;

c)      evalueren van de praktische toepassing van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken en hierover regelmatig verslag uitbrengen bij de Commissie;

d)      uitbrengen van adviezen over ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van de in artikel 57 bedoelde conformiteitstoetsing;

e)      bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van de informatie en praktijken tussen de toezichthoudende autoriteiten;

f)       bevorderen van gemeenschappelijke opleidingsprogramma’s en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend geval, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;

g)      bevorderen van de uitwisseling van kennis en documentatie over de wetgeving en praktijken op het gebied van gegevensbescherming met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd.

2.           Wanneer de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij een termijn bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid.

3.           Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 87 bedoelde comité en maakt deze bekend.

4.           De Commissie informeert het Europees Comité voor gegevensbescherming over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Europees Comité voor gegevensbescherming heeft genomen.

Artikel 67 Rapportage

1.           Het Europees Comité voor gegevensbescherming informeert de Commissie regelmatig en tijdig over de resultaten van zijn activiteiten. Het stelt een jaarverslag op over de situatie in verband met de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de Unie en in derde landen.

Het verslag omvat de in artikel 66, lid 1, onder c), bedoelde evaluatie van de richtsnoeren, aanbevelingen en beste praktijken.

2.           Het verslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.

Artikel 68 Procedure

1.           Het Europees Comité voor gegevensbescherming neemt besluiten met gewone meerderheid van zijn leden.

2.           Het Europees Comité voor gegevensbescherming stelt zijn reglement van orde en zijn eigen werkregelingen vast. Het comité zorgt er met name voor dat het zijn activiteiten kan voortzetten wanneer de ambtstermijn van een lid afloopt of een lid ontslag neemt, dat er voor specifieke kwesties of sectoren subgroepen worden opgericht en dat er voor de in artikel 57 bedoelde conformiteitstoetsing procedures worden vastgesteld.

Artikel 69 Voorzitter

1.           Het Europees Comité voor gegevensbescherming kiest uit zijn leden een voorzitter en twee vicevoorzitters. De Europese Toezichthouder voor gegevensbescherming is een van de twee vicevoorzitters, tenzij hij tot voorzitter is gekozen.

2.           De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden verlengd.

Artikel 70 Taken van de voorzitter

1.           De voorzitter heeft de volgende taken:

a)      het samenroepen van de bijeenkomsten van het Europees Comité voor gegevensbescherming en het voorbereiden van de agenda daarvan;

b)      ervoor zorgen dat de taken van het Europees Comité voor gegevensbescherming tijdig worden uitgevoerd, met name wat de in artikel 57 bedoelde conformiteitstoetsing betreft.

2.           Het Europees Comité voor gegevensbescherming stelt in zijn reglement van orde de taakverdeling tussen de voorzitter en de vicevoorzitters vast.

Artikel 71 Secretariaat

1.           Het Europees Comité voor gegevensbescherming heeft een secretariaat. De Europese Toezichthouder voor gegevensbescherming zorgt voor dat secretariaat.

2.           Het secretariaat biedt het Europees Comité voor gegevensbescherming onder leiding van zijn voorzitter analytische, administratieve en logistieke ondersteuning.

3.           Het secretariaat is met name belast met:

a)      de dagelijkse werking van het Europees Comité voor gegevensbescherming;

b)      de communicatie tussen de leden van het Europees Comité voor gegevensbescherming, zijn voorzitter en de Commissie en de communicatie met andere instellingen en het brede publiek;

c)      het gebruik van elektronische middelen voor interne en externe communicatie;

d)      de vertaling van relevante informatie;

e)      de voorbereiding en follow‑up van de bijeenkomsten van het Europees Comité voor gegevensbescherming;

f)       de voorbereiding, het opstellen en de bekendmaking van de adviezen en andere teksten die door het Europees Comité voor gegevensbescherming worden aangenomen.

Artikel 72 Vertrouwelijkheid

1.           De besprekingen van het Europees Comité voor gegevensbescherming zijn vertrouwelijk.

2.           De documenten die aan de leden van het Europees Comité voor gegevensbescherming, deskundigen en vertegenwoordigers van derde partijen worden voorgelegd, zijn vertrouwelijk, tenzij daartoe overeenkomstig Verordening (EG) nr. 1049/2001 toegang is verleend of het Europees Comité voor gegevensbescherming deze op een andere wijze bekendmaakt.

3.           De leden van het Europees Comité voor gegevensbescherming alsmede de deskundigen en de vertegenwoordigers van derde partijen zijn verplicht de in dit artikel vastgestelde vertrouwelijkheidsplicht na te leven. De voorzitter zorgt ervoor dat de deskundigen en de vertegenwoordigers van derde partijen in kennis worden gesteld van de voor hen geldende vertrouwelijkheidsvereisten.

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 73 Recht een klacht in te dienen bij een toezichthoudende autoriteit

1.           Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan deze verordening voldoet.

2.           Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die op geldige wijze volgens het recht van een lidstaat zijn opgericht, hebben het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat namens een of meer betrokkenen, indien zij van mening zijn dat de rechten van betrokkenen uit hoofde van deze verordening geschonden zijn als gevolg van de verwerking van persoonsgegevens.

3.           Onafhankelijk van een klacht van een betrokkene, hebben alle in lid 2 bedoelde organen, organisaties of verenigingen het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden.

Artikel 74 Recht een beroep in rechte in te stellen tegen een toezichthoudende autoriteit

1.           Iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen.

2.           Iedere betrokkene heeft het recht een beroep in rechte in te stellen teneinde de toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer de toezichthoudende autoriteit hem niet overeenkomstig artikel 52, lid 1, onder b), binnen drie maanden van de vooruitgang of het resultaat van de klacht in kennis heeft gesteld.

3.           Een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

4.           Een betrokkene waarop een besluit van een toezichthoudende autoriteit van een andere lidstaat dan die waar hij gewoonlijk verblijft, betrekking heeft, kan de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft vragen om namens hem in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen.

5.           De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer.

Artikel 75 Recht een beroep in rechte in te stellen tegen een voor de verwerking verantwoordelijke of een verwerker

1.           Onverminderd andere mogelijkheden van administratief beroep, waaronder het in artikel 73 bedoelde recht een klacht in te dienen bij een toezichthoudende autoriteit, heeft iedere natuurlijke persoon het recht een beroep in rechte in te stellen, indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.

2.           Een vordering tegen een voor de verwerking verantwoordelijke of een verwerker wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft. Een dergelijke vordering kan ook worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de voor de verwerking verantwoordelijke een autoriteit is die optreedt in de uitoefening van het overheidsgezag.

3.           Wanneer dezelfde maatregel, hetzelfde besluit of dezelfde praktijk het voorwerp uitmaakt van de in artikel 58 bedoelde conformiteitstoetsing, kan een gerechtelijke instantie het voor haar aanhangige geding schorsen, tenzij het op grond van spoedeisendheid voor de bescherming van de rechten van betrokkene niet mogelijk is om te wachten op het resultaat van de conformiteitstoetsing.

4.           De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer.

Artikel 76 Gemeenschappelijke voorschriften voor beroepen in rechte

1.           Alle in artikel 73, lid 2, bedoelde organen, organisaties of verenigingen hebben het recht de in de artikelen 74 en 75 bedoelde rechten namens één of meer betrokkenen uit te oefenen.

2.           Elke toezichthoudende autoriteit heeft het recht in rechte op te treden en bij een gerechtelijke instantie een vordering in te stellen om de bepalingen van deze verordening te doen naleven of om de conformiteit van de bescherming van persoonsgegevens in de Unie te garanderen.

3.           Wanneer een bevoegde gerechtelijke instantie van een lidstaat gegronde redenen heeft om aan te nemen dat er tegelijkertijd in een andere lidstaat een vordering is ingesteld, neemt het contact op met de bevoegde gerechtelijke instantie in de andere lidstaat om zich ervan te vergewissen dat er een dergelijk parallel geding bestaat.

4.           Wanneer een dergelijk parallel geding in een andere lidstaat dezelfde maatregel, hetzelfde besluit of dezelfde praktijk betreft, kan de gerechtelijke instantie het geding schorsen.

5.           De lidstaten zorgen ervoor dat hun nationale wetgeving voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.

Artikel 77 Recht op vergoeding en aansprakelijkheid

1.           Iedere persoon die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met deze verordening strijdig is, heeft het recht om van de voor de verwerking verantwoordelijke of de verwerker vergoeding te ontvangen.

2.           Wanneer meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn alle voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden tot volledige vergoeding van de schade.

3.           De voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 78 Sancties

1.           De lidstaten stellen de regels inzake sancties vast die van toepassing zijn op schendingen van deze verordening en treffen alle maatregelen die nodig zijn om de daadwerkelijke toepassing van die sancties te garanderen, onder meer in het geval waarin de voor de verwerking verantwoordelijke de verplichting om een vertegenwoordiger aan te wijzen niet heeft nageleefd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2.           Wanneer de voor de verwerking verantwoordelijke een vertegenwoordiger heeft aangewezen, worden alle sancties op de vertegenwoordiger toegepast, onverminderd de sanctieprocedures die tegen de voor de verwerking verantwoordelijke kunnen worden ingesteld.

3.           Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 79 Administratieve sancties

1.           Elke toezichthoudende autoriteit is bevoegd om overeenkomstig dit artikel administratieve sancties op te leggen.

2.           De administratieve sanctie is in elke zaak doeltreffend, evenredig en afschrikkend. Het bedrag van de administratieve geldboete wordt vastgesteld op grond van de aard, de ernst en de duur van de inbreuk, het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd, de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en reeds vorige inbreuken heeft gepleegd, de technische en organisatorische maatregelen en procedures die overeenkomstig artikel 23 ten uitvoer zijn gelegd en de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen.

3.           Bij een eerste en niet‑opzettelijke niet‑naleving van deze verordening kan een schriftelijke waarschuwing worden gegeven zonder dat er een sanctie wordt opgelegd, wanneer:

a)      een natuurlijke persoon persoonsgegevens verwerkt zonder commerciële belangen; of

b)      een onderneming of organisatie met minder dan 250 werknemers persoonsgegevens slechts als nevenactiviteit verwerkt.

4.           De toezichthoudende autoriteit legt een geldboete tot 250 000 euro op of, bij een onderneming, een geldboete van 0,5 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)      niet voorziet in mechanismen voor de uitoefening van de rechten van betrokkenen of niet onmiddellijk of in de vereiste vorm betrokkenen antwoordt overeenkomstig artikel 12, leden 1 en 2;

b)      in strijd met artikel 12, lid 4, een vergoeding aanrekent voor informatie of voor het beantwoorden van verzoeken van betrokkenen.

5.           De toezichthoudende autoriteit legt een geldboete tot 500 000 euro op of, bij een onderneming, een geldboete van 1 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)      de betrokkene geen informatie verstrekt, of onvolledige informatie verstrekt, of de informatie niet op voldoende transparante wijze verstrekt overeenkomstig artikel 11, artikel 12, lid 3, en artikel 14;

b)      de betrokkene geen toegang verstrekt overeenkomstig artikel 15, persoonsgegevens niet rectificeert overeenkomstig artikel 16 of een ontvanger relevante informatie niet meedeelt overeenkomstig artikel 13;

c)      het recht om te worden vergeten of het recht op uitwissing van gegevens niet eerbiedigt, geen mechanismen invoert om ervoor te zorgen dat de termijnen worden nageleefd, of niet alle nodige maatregelen neemt om derde partijen in kennis te stellen van verzoeken van betrokkenen om koppelingen naar of kopieën of reproducties van persoonsgegevens uit te wissen overeenkomstig artikel 17;

d)      in strijd met artikel 18 geen elektronische kopie van persoonsgegevens verstrekt of de betrokkene verhindert om persoonsgegevens naar een andere toepassing over te dragen;

e)      niet of niet voldoende de respectieve verantwoordelijkheden van gemeenschappelijk voor de verwerking verantwoordelijken vaststelt overeenkomstig artikel 24;

f)       geen of niet voldoende documenten bewaart overeenkomstig artikel 28, artikel 31, lid 4, en artikel 44, lid 3;

g)      in gevallen waarin geen bijzondere categorieën gegevens worden verwerkt, de voorschriften in verband met de vrijheid van meningsuiting of de verwerking in het kader van de arbeidsverhouding, of de voorwaarden voor verwerking voor historische, statistische of wetenschappelijke doeleinden niet naleeft overeenkomstig de artikelen 80, 82 en 93.

6.           De toezichthoudende autoriteit legt een geldboete tot 1 000 000 euro op of, bij een onderneming, een geldboete van 2 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)      persoonsgegevens verwerkt zonder of zonder toereikende rechtsgrondslag voor de verwerking of de voorwaarden voor toestemming niet naleeft overeenkomstig de artikelen 6, 7 en 8;

b)      in strijd met de artikelen 9 en 81 bijzondere categorieën gegevens verwerkt;

c)      geen gevolg geeft aan een bezwaar of een verplichting overeenkomstig artikel 19;

d)      de voorwaarden in verband met de maatregelen op basis van profilering niet naleeft overeenkomstig artikel 20;

e)      geen intern beleid vaststelt of geen passende maatregelen uitvoert om voor naleving te zorgen en die naleving te kunnen aantonen overeenkomstig de artikelen 22, 23 en 30;

f)       geen vertegenwoordiger aanwijst overeenkomstig artikel 25;

g)      persoonsgegevens verwerkt, of opdracht tot de verwerking van persoonsgegevens geeft, in strijd met de verplichtingen inzake verwerking namens een voor de verwerking verantwoordelijke overeenkomstig de artikelen 26 en 27;

h)      de toezichthoudende autoriteit of de betrokkene niet waarschuwt bij een inbreuk in verband met persoonsgegevens of die inbreuk niet tijdig of niet volledig meldt overeenkomstig de artikelen 31 en 32;

i)       geen privacyeffectbeoordeling verricht, of persoonsgegevens verwerkt zonder voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig de artikelen 33 en 34;

j)       geen gegevensbeschermingsfunctionaris aanwijst of niet de voorwaarden in het leven roept voor de uitvoering van diens taken overeenkomstig de artikelen 35, 36 en 37;

k)      misbruik maakt van een gegevensbeschermingszegel of ‑merktekens in de zin van artikel 39;

l)       een gegevensdoorgifte naar een derde land of een internationale organisatie verricht, of opdracht daartoe geeft, die niet is toegestaan op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard of passende garanties of een afwijking overeenkomstig de artikelen 40 tot en met 44;

m)     een bevel of een tijdelijk of definitief verwerkingsverbod of een opschorting van gegevensstromen door de toezichthoudende autoriteit niet naleeft overeenkomstig artikel 53, lid 1;

n)      de verplichtingen inzake het assisteren van, het geven van antwoord of het verstrekken van relevante informatie aan, of het verlenen van toegang aan de toezichthoudende autoriteit tot gebouwen en terreinen niet naleeft overeenkomstig artikel 28, lid 3, artikel 29, artikel 34, lid 6, en artikel 53, lid 2;

o)      de voorschriften inzake het bewaren van het beroepsgeheim niet naleeft overeenkomstig artikel 84.

7.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen teneinde de bedragen van de in de leden 4, 5 en 6 bedoelde geldboeten te actualiseren, rekening houdend met de in lid 2 bedoelde criteria.

HOOFDSTUK IX BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING

Artikel 80 Verwerking van persoonsgegevens en vrijheid van meningsuiting

1.           De lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke en literaire doeleinden in uitzonderingen op of afwijkingen van de bepalingen inzake de algemene beginselen in hoofdstuk II, de rechten van de betrokkenen in hoofdstuk III, de voor de verwerking verantwoordelijke en de verwerker in hoofdstuk IV, de doorgifte van persoonsgegevens naar derde landen en internationale organisaties in hoofdstuk V, de onafhankelijke toezichthoudende autoriteiten in hoofdstuk VI en samenwerking en conformiteit in hoofdstuk VII, om het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting.

2.           Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 81 Verwerking van persoonsgegevens over gezondheid

1.           Binnen de grenzen van deze verordening en overeenkomstig artikel 9, lid 2, onder h), moeten verwerkingen van persoonsgegevens over gezondheid worden verricht op grond van EU-wetgeving of nationale wetgeving waarin passende en specifieke waarborgen voor de bescherming van de gerechtvaardigde belangen van de betrokkene zijn opgenomen, en moeten deze verwerkingen noodzakelijk zijn:

a)      voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van zorg of behandelingen of het beheren van gezondheidsdiensten, mits die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige vertrouwelijkheidsplicht geldt; of

b)      om redenen van openbaar belang op het gebied van volksgezondheid, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen voor de gezondheid of het garanderen van hoge kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen of medische hulpmiddelen; of

c)      om andere redenen van openbaar belang op gebieden als sociale bescherming, vooral voor wat betreft het waarborgen van de kwaliteit en de rentabiliteit van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering.

2.           De verwerking van persoonsgegevens over gezondheid die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, zoals patiëntenregisters om de diagnoses te verbeteren, soortgelijke typen ziekten te onderscheiden en studies voor therapieën voor te bereiden, is onderworpen aan de in artikel 83 genoemde voorwaarden en waarborgen.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder b), bedoelde andere redenen van openbaar belang op het gebied van volksgezondheid, en van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden.

Artikel 82 Verwerking in het kader van de arbeidsverhouding

1.           Binnen de grenzen van deze verordening kunnen de lidstaten bij wet specifieke voorschriften vaststellen voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, met name met het oog op aanwerving, de uitvoering van het arbeidscontract, met inbegrip van de naleving van wettelijke of uit collectieve overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de organisatie van de arbeid, en gezondheid en veiligheid op het werk, met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding.

2.           Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden.

Artikel 83 Verwerking voor historische, statistische en wetenschappelijke doeleinden

1.           Binnen de grenzen van deze verordening mogen persoonsgegevens alleen voor historische, statistische of wetenschappelijke doeleinden worden verwerkt, wanneer:

a)      deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd;

b)      gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie, voor zover deze doeleinden op die manier kunnen worden bereikt.

2.           Organen die historisch, statistisch of wetenschappelijk onderzoek verrichten, mogen persoonsgegevens alleen publiceren of op andere wijze bekendmaken, wanneer:

a)      de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven;

b)      de publicatie van persoonsgegevens nodig is om de onderzoeksresultaten te presenteren of het onderzoek te vergemakkelijken, mits de belangen of de grondrechten en grondvrijheden van de betrokkene geen voorrang hebben boven deze belangen; of

c)      de betrokkene de gegevens heeft bekendgemaakt.

3.           De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verwerking van persoonsgegevens voor de in de leden 1 en 2 bedoelde doeleinden, van de nodige beperkingen van het recht op informatie en toegang van de betrokkene, en van de in die omstandigheden geldende voorwaarden en waarborgen voor de rechten van de betrokkene.

Artikel 84 Geheimhoudingsplicht

1.           Binnen de grenzen van deze verordening kunnen de lidstaten specifieke voorschriften vaststellen voor de in artikel 53, lid 2, bedoelde onderzoeksbevoegdheden van de toezichthoudende autoriteiten in verband met voor de verwerking verantwoordelijken of verwerkers die onderworpen zijn aan het in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of een andere gelijkwaardige geheimhoudingsplicht, wanneer dit noodzakelijk en evenredig is om het recht op bescherming van persoonsgegevens te verzoenen met de geheimhoudingsplicht. Deze voorschriften zijn slechts van toepassing op persoonsgegevens die de voor de verwerking verantwoordelijke of de verwerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen.

2.           Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de voorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 85 Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen

1.           Wanneer kerken en religieuze verenigingen of gemeenschappen in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepassen, kunnen dergelijke voorschriften van toepassing blijven, mits deze in overeenstemming worden gebracht met de bepalingen van deze verordening.

2.           Kerken en religieuze verenigingen die overeenkomstig lid 1 uitgebreide voorschriften toepassen, voorzien in de oprichting van een onafhankelijke toezichthoudende autoriteit overeenkomstig hoofdstuk VI van deze verordening.

HOOFDSTUK X GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 86 Uitoefening van de bevoegdheidsdelegatie

1.           De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel vastgestelde voorwaarden.

2.           De in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 39, lid 2, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 81, lid 3, artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor onbepaalde duur vanaf de datum van inwerkingtreding van deze verordening.

3.           De in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 39, lid 2, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 81, lid 3, artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheidsdelegatie kan te allen tijde door het Europees Parlement of door de Raad worden ingetrokken. Het besluit tot intrekking maakt een einde aan de delegatie van de bevoegdheden die in het besluit worden vermeld. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.           Zodra de Commissie een gedelegeerde handeling vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in kennis.

5.           Een overeenkomstig artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 39, lid 2, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 81, lid 3, artikel 82, lid 3, en artikel 83, lid 3, vastgestelde gedelegeerde handeling treedt alleen in werking indien noch het Europees Parlement, noch de Raad binnen een termijn van twee maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van deze termijn de Commissie hebben meegedeeld dat zij geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee maanden verlengd.

Artikel 87 Comitéprocedure

1.           De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.           Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.           Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 88 Intrekking van Richtlijn 95/46/EG

1.           Richtlijn 95/46/EG wordt ingetrokken.

2.           Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.

Artikel 89 Verhouding tot en wijziging van Richtlijn 2002/58/EG

1.           Deze verordening legt natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking tot de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronischecommunicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.

2            Artikel 1, lid 2, van Richtlijn 2002/58/EG wordt geschrapt.

Artikel 90 Evaluatie

De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna worden de volgende verslagen om de vier jaar ingediend. Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen en andere rechtsinstrumenten aan te passen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij. Deze verslagen worden gepubliceerd.

Artikel 91 Inwerkingtreding en toepassing

1.           Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.           Zij is van toepassing met ingang van [twee jaar na de in lid 1 genoemde datum].

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te Brussel, op 25.1.2012

Voor het Europees Parlement                       Voor de Raad

De voorzitter                                                  De voorzitter

FINANCIEEL MEMORANDUM

1.           KADER VAN HET VOORSTEL/INITIATIEF

              1.1.    Benaming van het voorstel/initiatief

              1.2.    Betrokken beleidsterrein(en) in de ABM/ABB-structuur

              1.3.    Aard van het voorstel/initiatief

              1.4.    Doelstelling(en)

              1.5.    Motivering van het voorstel/initiatief

              1.6.    Duur en financiële gevolgen

              1.7.    Voorgenomen beheersvorm(en)

2.           BEHEERSMAATREGELEN

              2.1.    Regels inzake het toezicht en de verslagen

              2.2.    Beheers- en controlesysteem

              2.3.    Maatregelen ter voorkoming van fraude en onregelmatigheden

3.           GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF

              3.1.    Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonde(e)l(en) voor uitgaven

              3.2.    Geraamde gevolgen voor de uitgaven

              3.2.1. Samenvatting van de geraamde gevolgen voor de uitgaven

              3.2.2. Geraamde gevolgen voor de beleidskredieten

              3.2.3. Geraamde gevolgen voor de administratieve kredieten

              3.2.4. Verenigbaarheid met het huidige meerjarige financiële kader

              3.2.5. Bijdragen van derden aan de financiering

              3.3.    Geraamde gevolgen voor de ontvangsten

FINANCIEEL MEMORANDUM

4. KADER VAN HET VOORSTEL/INITIATIEF

Dit financieel memorandum geeft in detail de voorschriften aan voor de administratieve uitgaven ter verwezenlijking van de hervorming van de gegevensbescherming, zoals in de daarmee overeenstemmende effectbeoordeling wordt uitgelegd. Deze hervorming omvat twee wetgevingsvoorstellen, een algemene verordening betreffende gegevensbescherming en een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties. Dit financieel memorandum bestrijkt de gevolgen voor de begroting van beide instrumenten.

Volgens de taakverdeling zijn er middelen nodig voor de Commissie en voor de Europese Toezichthouder voor gegevensbescherming.

Wat de Commissie betreft, zijn de nodige middelen reeds opgenomen in de voorgestelde financiële vooruitzichten voor 2014-2020. Gegevensbescherming is een van de doelstellingen van het programma “Grondrechten en burgerschap” dat ook maatregelen zal steunen om het wettelijke kader in de praktijk om te zetten. De administratieve kredieten met inbegrip van de behoeften voor personeel zijn opgenomen in de administratieve begroting voor DG JUST.

Wat de Europese Toezichthouder voor gegevensbescherming betreft, zal in de jaarlijkse begrotingen voor de toezichthouder telkens rekening moeten worden gehouden met de nodige middelen. De middelen worden gedetailleerd in de bijlage bij dit financieel memorandum. Om te zorgen voor de middelen die nodig zijn voor de nieuwe taken van het Europees Comité voor gegevensbescherming, waarvoor de Europese Toezichthouder voor gegevensbescherming het secretariaat zal verzorgen, zal een herprogrammering van Rubriek 5 van de financiële vooruitzichten 2014-2020 noodzakelijk zijn.

4.1. Benaming van het voorstel/initiatief

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming).

Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

4.2. Betrokken beleidsterrein(en) in de ABM/ABB-structuur[49]

Justitie – Bescherming van persoonsgegevens

De gevolgen voor de begroting hebben betrekking op de Commissie en de Europese Toezichthouder voor gegevensbescherming. De gevolgen voor de begroting van de Commissie worden gedetailleerd in de tabellen van dit financieel memorandum. De beleidsuitgaven zijn een onderdeel van het programma “Grondrechten en burgerschap” en er is bij het financieel memorandum voor dat programma reeds rekening mee gehouden, aangezien de administratieve uitgaven binnen de enveloppe van DG Justitie vallen. De elementen die betrekking hebben op de Europese Toezichthouder voor gegevensbescherming, worden in de bijlage aangegeven.

4.3. Aard van het voorstel/initiatief

¨ Het voorstel/initiatief betreft een nieuwe actie

¨ Het voorstel/initiatief betreft een nieuwe actie na een proefproject/voorbereidende actie[50]

þ Het voorstel/initiatief betreft de verlenging van een bestaande actie

¨ Het voorstel/initiatief betreft een actie die wordt omgebogen naar een nieuwe actie

4.4. Doelstellingen 4.4.1. De met het voorstel/initiatief beoogde strategische meerjarendoelstelling(en) van de Commissie

De hervorming heeft tot doel de oorspronkelijke doelstellingen te verwezenlijken, rekening houdend met nieuwe ontwikkelingen en problemen, t.w.:

- grotere doeltreffendheid van het fundamentele recht op gegevensbescherming en controle van de betrokkenen daarop, meer bepaald in de context van technologische ontwikkelingen en de toenemende globalisering;

- versterking van de interne-martktdimensie van gegevensbescherming door beperking van de fragmentering, grotere consistentie en vereenvoudigde regelgeving, waardoor onnodige kosten worden vermeden en de bureaucratische rompslomp wordt verminderd.

Voorts biedt de inwerkingtreding van het Verdrag van Lissabon, meer bepaald de invoering van een nieuwe rechtsgrondslag (artikel 16 VWEU) de gelegenheid een nieuwe doelstelling te bereiken, nl.

- het opzetten van een omvattend kader voor gegevensbescherming dat alle gebieden bestrijkt.

4.4.2. Specifieke doelstelling(en) en betrokken ABM/ABB-activiteit(en)

Specifieke doelstelling nr. 1

Consistente toepassing verzekeren van de regelgeving inzake gegevensbescherming

Specifieke doelstelling nr. 2

Rationaliseren van het huidige bestuurssysteem voor een meer consistente toepassing

Betrokken ABM/ABB-activiteit(en)

[…]

4.4.3. Verwacht(e) resulta(a)t(en) en gevolgen

Vermeld de gevolgen die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen

Wat de voor de verwerking verantwoordelijken betreft, zullen zowel publieke als particuliere entiteiten hun voordeel doen met de grotere rechtszekerheid, door geharmoniseerde en duidelijke EU-regelgeving en procedures inzake gegevensbescherming, gelijke behandeling en consistente toepassing van de regelgeving inzake gegevensbescherming, alsook een aanzienlijke reductie van de administratieve rompslomp.

Individuele personen zullen beter toezicht hebben op hun persoonsgegevens en vertrouwen hebben in de digitale omgeving; zij blijven beschermd ook wanneer hun persoonsgegevens in het buitenland worden verwerkt. Ook de verantwoordingsplicht van de verwerkers van persoonsgegevens zal blijken te zijn versterkt.

Daarnaast zullen politie en justitie worden bestreken door een omvattend systeem voor gegevensbescherming, met inbegrip van de derde pijler en daarbuiten.

4.4.4. Resultaat- en effectindicatoren

Vermeld de indicatoren aan de hand waarvan kan worden nagegaan in hoeverre het voorstel/initiatief is uitgevoerd.

(zie effectbeoordeling, afdeling 8)

De indicatoren worden geregeld geëvalueerd en omvatten de volgende elementen:

•        tijd en kosten besteed door de voor de verwerking verantwoordelijken bij het toepassen van de wetgeving “in andere lidstaten”;

•        middelen toegewezen aan gegevensbeschermingsautoriteiten;

•        vaste functionarissen voor gegevensbescherming in openbare en particuliere organisaties;

•        gebruik dat wordt gemaakt van de effectbeoordeling gegevensbescherming;

•        aantal klachten van betrokkenen en vergoedingen van betrokkenen;

•        aantal gevallen die leiden tot vervolging van voor de verwerking verantwoordelijken;

•        boeten opgelegd aan voor de verwerking verantwoordelijken voor inbreuken op de gegevensbescherming.

4.5. Motivering van het voorstel/initiatief 4.5.1. Behoefte(n) waarin op korte of lange termijn moet worden voorzien

De bestaande verschillen in de tenuitvoerlegging, interpretatie en toepassing van de richtlijn door de lidstaten zijn een belemmering voor het functioneren van de interne markt en de samenwerking tussen de overheden in verband met het EU-beleid. Dit gaat in tegen de fundamentele doelstelling van de richtlijn om het vrije verkeer van persoonsgegevens op de interne markt te vergemakkelijken. De snelle ontwikkeling van nieuwe technologieën en de globalisering verscherpen dit probleem nog.

Individuele personen hebben verschillende rechten inzake gegevensbescherming, ten gevolge van de fragmentering en de inconsistente tenuitvoerlegging en toepassing in de verschillende lidstaten. Voorts zijn individuele personen veelal niet op de hoogte van wat met hun persoonsgegevens gebeurt, noch kunnen zij daar controle over uitoefenen, waardoor zij hun rechten niet doeltreffend waarnemen.

4.5.2. Toegevoegde waarde van de deelname van de EU

De problemen met de huidige situatie kunnen niet door de lidstaten alleen worden verholpen. Dat geldt vooral voor problemen die ontstaan door de fragmentatie van de nationale wetgevingen ter uitvoering van het EU-regelgevingskader voor gegevensbescherming. Om die reden is er een sterke beweegreden voor een wettelijk kader voor gegevensbescherming op EU-niveau. Er is een specifieke noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen waardoor vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd.

4.5.3. Ervaring die bij soortgelijke activiteiten in het verleden is opgedaan

Onderhavige voorstellen bouwen voort op de ervaringen met Richtlijn 95/46/EG en de geconstateerde problemen ten gevolge van de gefragmenteerde omzetting en tenuitoverlegging van die richtlijn, waardoor de doelstellingen ervan niet konden worden bereikt, nl. een hoog niveau van gegevensbescherming en een interne markt voor gegevensbescherming.

4.5.4. Samenhang en eventuele synergie met andere relevante instrumenten

Onderhavig hervormingspakket voor de gegevensbescherming beoogt een sterk, consistent en modern kader voor gegevensbescherming op EU-niveau op te zetten, technologisch neutraal, en voor de volgende decennia bestand tegen de toekomst. Het pakket zal individuele personen ten goede komen, door hun rechten van gegevensbescherming te versterken, meer bepaald in een digitale omgeving, en zal voor bedrijven en de overheid de wetgeving vereenvoudigen, waardoor de digitale economie op de interne markt van de EU en daarbuiten wordt gestimuleerd, overeenkomstig de doelstellingen van de strategie Europa 2020.

De kernelementen van het hervormingspakket voor de gegevensbescherming omvatten:

–        een verordening ter vervanging van Richtlijn 95/46/EG;

–        een richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens.

Deze wetgevingsvoorstellen worden vergezeld van een verslag over de tenuitvoerlegging door de lidstaten van het thans vigerende belangrijkste EU-gegevensbeschermingsinstrument op het gebied van politiële en gerechtelijke samenwerking in strafzaken, nl. Kaderbesluit 2008/977/JBZ.

4.6. Duur en financiële gevolgen

¨ Voorstel/initiatief met een beperkte geldigheidsduur

¨ Voorstel/initiatief is van kracht vanaf [DD/MM]JJJJ tot en met [DD/MM]JJJJ

¨ Financiële gevolgen vanaf JJJJ tot en met JJJJ

þ Voorstel/initiatief met een onbeperkte geldigheidsduur

Uitvoering met een opstartperiode vanaf 2014 tot en met 2016,

gevolgd door een volledige uitvoering.

4.7. Beheersvorm(en)[51]

þ Direct gecentraliseerd beheer door de Commissie

¨ Indirect gecentraliseerd beheer door delegatie van uitvoeringstaken aan:

¨ uitvoerende agentschappen

¨ door de Unie opgerichte organen[52]

¨ nationale publiekrechtelijke organen of organen met een openbaredienstverleningstaak

¨ personen aan wie de uitvoering van specifieke acties in het kader van titel V van het Verdrag betreffende de Europese Unie is toevertrouwd en die worden genoemd in het betrokken basisbesluit in de zin van artikel 49 van het Financieel Reglement

¨ Gedeeld beheer met de lidstaten

¨ Gedecentraliseerd beheer met derde landen

¨ Gezamenlijk beheer met internationale organisaties (geef aan welke)

Verstrek, indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”.

Opmerkingen

5. BEHEERSMAATREGELEN 5.1. Regels inzake het toezicht en de verslagen

Vermeld frequentie en voorwaarden.

De eerste evaluatie wordt vier jaar na de inwerkingtreding van de wettelijke instrumenten verricht. Een expliciete toetsingssclausule voor toetsing door de Commissie van de tenuitvoerlegging is in de wettelijke instrumenten opgenomen. De Commissie zal daarna over deze evaluatie verslag uitbrengen bij het Europees Parlement en de Raad. Verdere evaluaties dienen alle vier jaar plaats te hebben. De methode van de Commissie voor evaluaties zal worden toegepast. Deze evaluaties zullen worden verricht met behulp van doelgerichte onderzoeken over de tenuitvoerlegging van de wettelijke instrumenten, vragenlijsten voor nationale gegevensbeschermingsautoriteiten, discussies onder deskundigen, workshops, Eurobarometer-enquêtes, enzovoort.

5.2. Beheers- en controlesysteem 5.2.1. Mogelijks risico’s

Er werd bijgaand bij de voorstellen voor verordeningen en de richtlijn een effectbeoordeling uitgevoerd voor de hervorming van het gegevensbeschermingskader in de EU.

Het nieuwe wettelijke instrument zal een conformiteitstoetsing invoeren, waardoor wordt verzekerd dat de toezichtshoudende autoriteiten in de lidstaten het kader op een consistente en coherente manier toepassen. De toetsing zal geschieden via het Europees Comité voor gegevensbescherming dat is samengesteld uit de hoofden van de nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming, en dat de huidige Groep artikel 29 zal vervangen. De Europese Toezichthouder voor gegevensbescherming verzorgt het secretariaat voor dit orgaan.

Indien de autoriteiten van de lidstaten uiteenlopende besluiten treffen, zal het Europees Comité voor gegevensbescherming worden geraadpleegd om een advies terzake uit te brengen. Indien deze procedure faalt, of indien een toezichthoudende autoriteit weigert zich bij het advies neer te leggen, kan de Commissie met het oog op een correcte en consistente toepassing van deze verordening een advies uitbrengen, of indien nodig een besluit vaststellen, waar zij ernstige twijfels heeft of de ontwerp-maatregel een correcte toepassing van de verordening verzekert, dan wel anderszins resulteert in een niet-consistente toepassing.

De conformiteitstoetsing vereist aanvullende middelen voor de Europese Toezichthouder voor gegevensbescherming (12 VTE en aangepaste administratieve en beleidskredieten, bv. voor IT-systemen en -operaties), voor het secretariaat en voor de Commissie (5 VTE en desbetreffende administratieve en beleidskredieten), voor de behandeling van de consistentiegevallen.

5.2.2. Controlemiddel(en)

De bestaande controlemiddelen van de Europese Toezichthouder voor gegevensbescherming en de Commissie bestrijken de extra kredieten.

5.3. Maatregelen ter voorkoming van fraude en onregelmatigheden

Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen.

De bestaande fraudepreventiemiddelen van de Europese Toezichthouder voor gegevensbescherming en de Commissie bestrijken de extra kredieten.

6. GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF 6.1. Rubriek(en) van het meerjarige financiële kader en betrokken begrotingsonde(e)l(en) voor uitgaven

Bestaande begrotingsonderdelen voor uitgaven

In volgorde van de rubrieken van het meerjarige financiële kader en de begrotingsonderdelen.

Rubriek van het meerjarige financiële kader || Begrotingsonderdeel || Soort uitgave || Bijdrage

Nummer [Beschrijving……………………...……….] || GK/ NGK ([53]) || van EVA-landen[54] || van kandidaat-lidstaten[55] || van derde landen || in de zin van artikel 18, lid 1, onder a bis), van het Financieel Reglement

|| || || || || ||

6.2. Geraamde gevolgen voor de uitgaven 6.2.1. Samenvatting van de geraamde gevolgen voor de uitgaven

in miljoenen euro’s (tot op 3 decimalen)

Rubriek van het meerjarige financiële kader: || Nummer ||

|| || || Jaar N[56]= 2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL

Ÿ Beleidskredieten || || || || || || || ||

Nummer begrotingsonderdeel || Vastleggingen || (1) || || || || || || || ||

Betalingen || (2) || || || || || || || ||

Nummer begrotingsonderdeel || Vastleggingen || (1a) || || || || || || || ||

Betalingen || (2a) || || || || || || || ||

Administratieve kredieten gefinancierd  uit het budget van specifieke programma’s[57] || || || || || || || ||

Nummer begrotingsonderdeel || || (3) || || || || || || || ||

TOTAAL kredieten voor DG || Vastleggingen || =1+1a +3 || || || || || || || ||

Betalingen || =2+2a+3 || || || || || || || ||

Ÿ TOTAAL beleidskredieten || Vastleggingen || (4) || || || || || || || ||

Betalingen || (5) || || || || || || || ||

Ÿ TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten || (6) || || || || || || || ||

TOTAAL kredieten onder RUBRIEK 3 van het meerjarige financiële kader || Vastleggingen || =4+ 6 || || || || || || || ||

Betalingen || =5+ 6 || || || || || || || ||

Wanneer het voorstel/initiatief gevolgen heeft voor meerdere rubrieken:

Ÿ TOTAAL beleidskredieten || Vastleggingen || (4) || || || || || || || ||

Betalingen || (5) || || || || || || || ||

Ÿ TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten || (6) || || || || || || || ||

TOTAAL kredieten onder RUBRIEKEN 1 tot 4 van het meerjarige financiële kader (Referentiebedrag ) || Vastleggingen || =4+ 6 || || || || || || || ||

Betalingen || =5+ 6 || || || || || || || ||

Rubriek van het meerjarige financiële kader: || 5 || “Administratieve uitgaven”

in miljoenen euro’s (tot op 3 decimalen)

|| || || Jaar N= 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020 || TOTAAL

DG: JUST ||

Ÿ Personeel || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Ÿ Andere administratieve uitgaven || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

TOTAAL DG JUST || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

TOTAAL kredieten onder RUBRIEK 5 van het meerjarige financiële kader || (totaal vastleggingen = totaal betalingen) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

in miljoenen euro’s (tot op 3 decimalen)

|| || || Jaar N[58] || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL

TOTAAL kredieten onder RUBRIEKEN 1 tot 5 van het meerjarige financiële kader || Vastleggingen || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Betalingen || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

6.2.2. Geraamde gevolgen voor de beleidskredieten

þ Voor het voorstel/initiatief zijn geen beleidskredieten nodig

Een hoge mate van bescherming van persoonsgegevens is ook een van de doelstellingen van het programma “Grondrechten en burgerschap”.

¨ Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals hieronder nader wordt beschreven:

Vastleggingskredieten, in miljoenen euro’s (tot op 3 decimalen)

Vermeld doelstellingen en outputs ò || || || Jaar N=2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL

OUTPUTS

Soort output[59] || Gem. kosten van de output || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Totaal outputs || Totale kosten

SPECIFIEKE DOELSTELLING NR. 1 ||

Output || Dossiers[60] || || || || || || || || || || || || || || || || ||

Subtotaal voor specifieke doelstelling nr. 1 || || || || || || || || || || || || || || || ||

SPECIFIEKE DOELSTELLING NR. 2 ||

Output || Gevallen[61] || || || || || || || || || || || || || || || || ||

Subtotaal voor specifieke doelstelling nr. 2 || || || || || || || || || || || || || || || ||

TOTALE KOSTEN || || || || || || || || || || || || || || || ||

6.2.3. Geraamde gevolgen voor de administratieve kredieten 6.2.3.1. Samenvatting

¨ Voor het voorstel/initiatief zijn geen administratieve kredieten nodig

þ Voor het voorstel/initiatief zijn administratieve kredieten nodig, zoals hieronder nader wordt beschreven:

in miljoenen euro’s (tot op 3 decimalen)

|| Jaar N[62] 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020 || TOTAAL

RUBRIEK 5 van het meerjarige financiële kader || || || || || || || ||

Personeel || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454

Andere administratieve uitgaven || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885

Subtotaal RUBRIEK 5 van het meerjarige financiële kader || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

Buiten RUBRIEK 5[63] van het meerjarige financiële kader || || || || || || || ||

Personeel || || || || || || || ||

Andere administratieve uitgaven || || || || || || || ||

Subtotaal buiten RUBRIEK 5 van het meerjarige financiële kader || || || || || || || ||

TOTAAL || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339

6.2.3.2.  Geraamde personeelsbehoeften

¨ Voor het voorstel/initiatief zijn geen personele middelen nodig

þ Voor het voorstel/initiatief zijn personele middelen nodig, zoals hieronder nader wordt beschreven:

Raming in voltijdequivalenten (of met hoogstens 1 decimaal)

|| Jaar 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020

Ÿ Posten opgenomen in de lijst van het aantal ambten (ambtenaren en tijdelijke functionarissen)

XX 01 01 01 (hoofdzetel en vertegenwoordigingen van de Commissie) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (delegaties) || || || || || || ||

Ÿ Extern personeel (in voltijdequivalenten: VTE)[64]

XX 01 02 01 (CA, INT,SNE van de “totale financiële middelen”) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (CA, INT, JED, LA en SNE in de delegaties) || || || || || || ||

XX 01 04 jj[65] || - hoofdzetel[66] || || || || || || ||

- delegaties || || || || || || ||

XX 01 05 02 (CA, INT, SNE – onderzoek door derden) || || || || || || ||

10 01 05 02 (CA, INT, SNE – eigen onderzoek) || || || || || || ||

Ander begrotingsonderdeel (te vermelden) || || || || || || ||

TOTAAL || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX is het beleidsterrein of de begrotingstitel.

Met deze hervorming zal de Commissie nieuwe taken moeten vervullen op het gebied van de bescherming van persoonsgegevens van individuele personen bij de verwerking daarvan, naast de reeds vandaag vervulde taken. Deze extra taken hebben voornamelijk betrekking op de uitvoering van de nieuwe conformiteitstoetsing waarmee de coherente toepassing van de geharmoniseerde wetgeving inzake gegevensbescherming wordt verzekerd, de evaluatie van de passendheid van het beschermingsniveau in derde landen waarvoor de Commissie alleen verantwoordelijkheid zal dragen, en de voorbereiding van uitvoeringsmaatregelen en gedelegeerde handelingen. De andere taken die de Commissie momenteel uitvoert (bv. beleidsontwikkeling, toezicht op de omzetting, bewustmaking, klachten, enz.) zullen ook daarna blijven.

De benodigde personele middelen zullen worden gefinancierd uit de middelen die reeds voor het beheer van deze actie zijn toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met middelen die in het kader van de jaarlijkse toewijzingsprocedure met inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden toegewezen.

Beschrijving van de uit te voeren taken:

Ambtenaren en tijdelijke functionarissen || Dossierbehandelaars die de conformiteitstoetsing uitvoeren om een eenvormige toepassing van de gegevensbeschermingsregels van de EU te garanderen. De taken omvatten onderzoek en studie van gevallen die voor het treffen van een besluit worden ingediend door de autoriteiten van de lidstaten, onderhandelingen met de lidstaten en voorbereiding van de besluiten van de Commissie. Gebaseerd op recente ervaringen kunnen 5 tot 10 gevallen per jaar de inroeping van de conformiteitstoetsing vereisen. De afhandeling van verzoeken tot passendverklaring van het beschermingsniveau vereist een directe interactie met het verzoekende land, mogelijk het beheer van deskundigenonderzoek over de toestand in het land, evaluatie van deze toestand, voorbereiding van de relevante besluiten van de Commissie en van de procedure, met inbegrip van bijstand door het comité van de Commissie en indien nodig van deskundigengroepen. Gebaseerd op de bestaande ervaringen kunnen per jaar ongeveer 4 verzoeken tot passendverklaring van het beschermingsniveau worden verwacht. De procedure voor de goedkeuring van uitvoeringsmaatregelen omvat voorbereidende maatregelen, zoals rapporten, onderzoek en openbaar overleg, alsook het opstellen van het eigenlijke instrument en het beheer van het onderhandelingsproces in de relevante comités en andere groepen, alsook contacten met belanghebbenden in het algemeen. Op die gebieden waar een meer precieze sturing noodzakelijk is, kunnen tot drie uitvoeringsmaatregelen per jaar worden behandeld, terwijl de procedure kan oplopen tot 24 maanden, naargelang van de intensiteit van het overleg.

Extern personeel || Administratieve en technische bijstand

6.2.4. Verenigbaarheid met het huidige meerjarige financiële kader

¨ Het voorstel/initiatief is verenigbaar met het volgende meerjarige financiële kader.

þ Het voorstel/initiatief vergt herprogrammering van de betrokken rubriek van het meerjarige financiële kader.

Onderstaande tabel toont de bedragen van de financiële middelen die jaarlijks nodig zijn voor de nieuwe taken van de Europese Toezichthouder voor gegevensbescherming (verzekeren van het secretariaat van het Europees Comité voor gegevensbescherming) en de gerelateerde procedures en hulpmiddelen voor de periode van de volgende financiële vooruitzichten, naast de middelen die reeds in de planning zijn.

Jaar || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totaal

Personeel enz. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Werking || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250

Totaal || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073

¨ Het voorstel/initiatief vergt toepassing van het flexibiliteitsinstrument of herziening van het meerjarige financiële kader[67].

6.2.5. Bijdragen van derden aan de financiering

þHet voorstel/initiatief voorziet niet in medefinanciering door derden.

¨Het voorstel/initiatief voorziet in medefinanciering, zoals hieronder wordt geraamd:

Kredieten in miljoenen euro’s (tot op 3 decimalen)

|| Jaar N || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || Totaal

Medefinancieringsbron || || || || || || || ||

TOTAL medegefinancierde kredieten || || || || || || || ||

6.3. Geraamde gevolgen voor de ontvangsten

þ Het voorstel/initiatief heeft geen financiële gevolgen voor de ontvangsten.

¨ Het voorstel/initiatief heeft de hieronder beschreven financiële gevolgen:

· ¨         voor de eigen middelen

· ¨         voor de diverse ontvangsten

in miljoenen euro’s (tot op 3 decimalen)

Begrotingsonderdeel voor ontvangsten: || Voor het lopende begrotingsjaar beschikbare kredieten || Gevolgen van het voorstel/initiatief[68]

Jaar N || Jaar N+1 || Jaar N+2 || Jaar N+3 || … zoveel jaren invullen als nodig is om de duur van de gevolgen weer te geven (zie punt 1.6)

|| || || || || || || ||

Vermeld voor de diverse ontvangsten die worden toegewezen het (de) betrokken begrotingsonderde(e)l(en) voor uitgaven.

Vermeld de wijze van berekening van de gevolgen voor de ontvangsten.

Bijlage bij het financieel memorandum van het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Toegepaste methode en voornaamste basisaannamen

De kosten die verband houden met de nieuwe taken van de Europese Toezichthouder voor gegevensbescherming voortvloeiend uit beide voorstellen, werden qua personeelsuitgaven geraamd op basis van de kosten die de Commissie voor vergelijkbare taken oploopt.

De Europese Toezichthouder voor gegevensbescherming zal het secretariaat van het Europees Comité voor gegevensbescherming huisvesten dat de Groep artikel 29 vervangt. Op basis van de huidige werkbelasting van de Commissie voor deze taak wordt geraamd dat drie extra VTE nodig zijn met de bijbehorende administratieve en beleidsuitgaven. Deze werkbelasting gaat in bij het inwerkingtreden van de verordening.

Voorts zal de Europese Toezichthouder voor gegevensbescherming een rol hebben in de conformiteitstoetsing, waarvoor naar verwachting 5 VTE nodig zijn, en bij de ontwikkeling en inwerkingstelling van een gezamenlijk IT-hulpmiddel voor de nationale toezichthoudende autoriteiten, waarvoor 2 extra personeelsleden nodig zijn.

De berekeningsmethode van de toename van de vereiste begroting voor personeel voor de eerste zeven jaar wordt meer in detail toegelicht in de tabel hierna. Een tweede tabel toont het vereiste operationele budget. Dit zal zijn weerslag vinden in de EU-begroting in Afdeling IX – Europese Toezichthouder voor gegevensbescherming.

Kostensoort || Berekening || Bedrag (in duizenden euro’s)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totaal

Salarissen en vergoedingen || || || || || || || || ||

- van de Europese Toezichthouder voor gegevensbescherming || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100

- waarvan ambtenaren en tijdelijke functionarissen || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223

- waarvan gedetacheerde nationale deskundigen || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511

- waarvan arbeidscontractanten || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896

Uitgaven voor aanwerving || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113

Kosten voor dienstreizen || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630

Andere uitgaven, opleiding || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350

Totale administratieve uitgaven || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823

Beschrijving van de uit te voeren taken:

Ambtenaren en tijdelijke functionarissen || Functionarissen belast met het secretariaat van het Comité voor gegevensbescherming. Behalve logistieke steun, inclusief budgettaire en contractuele kwesties, omvat dit de voorbereiding van de agenda van vergaderingen en de uitnodiging van deskundigen, onderzoek over de onderwerpen die op de agenda van het comité staan, beheer van de documenten die verband houden met de werkzaamheden van het comité, met inbegrip van de relevante gegevensbescherming, vertrouwelijkheid en vereisten van publieke toegang. Met inbegrip van alle subgroepen en deskundigengroepen kunnen tot 50 vergaderingen en besluitprocedures per jaar nodig zijn. Dossierbehandelaars die de conformiteitstoetsing uitvoeren om een eenvormige toepassing van de gegevensbeschermingsregels van de EU te garanderen. De taken omvatten onderzoek en studie van gevallen die voor het treffen van een besluit worden ingediend door de autoriteiten van de lidstaten, onderhandelingen met de lidstaten en voorbereiding van de besluiten van de Commissie. Gebaseerd op recente ervaringen kunnen 5 tot 10 gevallen per jaar de inroeping van de conformiteitstoetsing vereisen. Het IT-hulpmiddel moet de operationele interactie tussen de nationale toezichthoudende autoriteiten en de voor de verwerking verantwoordelijken die verplicht zijn met de overheid informatie uit te wisselen, vergemakkelijken. De verantwoordelijke personeelsleden verzekeren kwaliteitscontrole, projectbeheer en budgettaire vervolgcontrole van de IT-procedures inzake vereisten, opbouw, uitvoering en werking van de systemen.

Extern personeel || Administratieve en secretariaatsbijstand

Uitgaven voor de Europese Toezichthouder voor gegevensbescherming in verband met specifieke taken

Vermeld doelstellingen en outputs ò || || || Jaar N=2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL

OUTPUTS

Soort output[69] || Gemiddelde kosten van de output || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Number Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Totaal outputs || Totale kosten

SPECIFIEKE DOELSTELLING nr. 1[70] || Secretariaat van het Comité voor gegevensbescherming

Output || Gevallen[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

Subtotaal voor specifieke doelstelling nr. 1 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200

SPECIFIEKE DOELSTELLING NR. 2 || Conformiteitstoetsing

Output || Dossiers[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

Subtotaal voor specifieke doelstelling nr. 2 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950

SPECIFIEKE DOELSTELLING NR. 3 || Gezamenlijk IT-hulpmiddel voor toezichthoudende autoriteiten (Europese Toezichthouder voor gegevensbescherming)

Output || Gevallen[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

Subtotaal voor specifieke doelstelling nr. 3 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100

TOTALE KOSTEN || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250

[1]               “Safeguarding Privacy in a Connected World – A European Data Protection Framework for the 21st Century”, COM(2012) 9 definitief.

[2]               COM(2012) 10 definitief.

[3]               Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.

[4]               Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, PB L 350 van 30.12.2008, blz. 60 (hierna “het Kaderbesluit” genoemd).

[5]               COM(2010) 245 definitief.

[6]               COM(2010) 2020 definitief.

[7]               “Het programma van Stockholm – Een open en veilig Europa ten dienste en ter bescherming van de burger”, PB C 115 van 4.5.2010, blz. 1.

[8]               Resolutie van het Europees Parlement van 25 november 2009 over de mededeling van de Commissie aan het Europees Parlement en de Raad − Een ruimte van vrijheid, veiligheid en recht ten dienste van de burger − programma van Stockholm, goedgekeurd op 25 november 2009 (P7_TA(2009)0090).

[9]               COM(2010) 171 definitief.

[10]             COM(2010) 609 definitief.

[11]             Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             De niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de Commissie: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Europees Agentschap voor netwerk- en informatiebeveiliging, verantwoordelijk voor veiligheidskwesties op het gebied van communicatienetwerken en informatiesystemen.

[18]             Europees Agentschap voor netwerk- en informatiebeveiliging, verantwoordelijk voor veiligheidskwesties op het gebied van communicatienetwerken en informatiesystemen.

[19]             Speciale Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf .

[20]             Zie de studie over de economische voordelen van privacybevorderende technologieën en de vergelijkende studie over verschillende benaderingen van de nieuwe privacyproblemen, in het bijzonder in het licht van de technologische ontwikkelingen, januari 2010.          (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             De Groep artikel 29 is opgericht in 1996 (bij artikel 29 van Richtlijn 95/46/EG) en heeft een adviserende taak; hij is samengesteld uit vertegenwoordigers van de nationale toezichthoudende autoriteiten inzake gegevensbescherming, de Europese Toezichthouder voor gegevensbescherming en de Commissie. Zie voor nadere informatie over de werkzaamheden:   http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Zie met name de adviezen over de toekomst van privacy (2009, WP 168), de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (1/2010, WP 169), over online reclame op basis van surfgedrag (‘behavioural advertising’) (2/2010, WP 171), het verantwoordingsbeginsel (3/2010, WP 173), toepasselijk recht (8/2010, WP 179), over toestemming (15/2011, WP 187). Op verzoek van de Commissie heeft de groep ook drie adviezen vastgesteld over respectievelijk aanmelding, gevoelige gegevens en de toepassing van artikel 28, lid 6, van de richtlijn gegevensbescherming. Al deze adviezen zijn beschikbaar op: http://ec.europa.eu/justice/newsroom/data-protection/opinion/-29_en.htm.

[23]             Het advies is beschikbaar op de website van de Europese Toezichthouder: http://www.edps.europa.eu/EDPSWEB.

[24]             Resolutie van het EP van 6 juli 2011 over een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie (2011/2025(INI)):   http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=NL&ring=A7-2011-0244 (rapporteur Axel Voss (EPP/DE).

[25]             SEC(2012) 72.

[26]             CESE 999/2011.

[27]             Arrest van het Hof van Justitie van de EU van 9.11.2011 in gevoegde zaken C-92/09 en C-93/09, Volker und Markus Schecke en Eifert [2010], Jurispr. blz. I-0000.

[28]             Artikel 52, lid 1, van het Handvest van de grondrechten bepaalt dat beperkingen op de uitoefening van het recht op gegevensbescherming bij wet moeten worden vastgesteld en de wezenlijke inhoud van die rechten en vrijheden moeten eerbiedigen, en dat, met inachtneming van het evenredigheidsbeginsel slechts beperkingen kunnen worden vastgesteld, indien zij noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

[29]             Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PB L 201 van 31.7.2002, blz. 37.

[30]             Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (voor de EER relevante tekst), PB L 337 van 18.12.2009, blz. 11.

[31]             Goedgekeurd en opengesteld voor ondertekening, ratificatie en toetreding bij Resolutie nr. 44/25 van de Algemene Vergadering van 20 november 1989.

[32]             Goedgekeurd op de internationale conferentie van commissarissen voor de bescherming van gegevens en de persoonlijke levenssfeer op 5 november 2009. Zie ook artikel 13, lid 3, van het voorstel voor een verordening inzake een gemeenschappelijk Europees verkooprecht (COM(2011) 635 definitief).

[33]             CM/Rec (2010)13.

[34]             Hof van Justitie van de EU, arrest van 9.3.2010 in zaak C-518/01 Commissie / Duitsland, Jurispr. 2010, blz. I-1885.

[35]             Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

[36]             Op. cit., voetnoot 34.

[37]             Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz. 1).

[38]             Voortbouwend op artikel 5, lid 1, van Kaderbesluit 2009/948/JBZ van de Raad van 30 november 2009 over het voorkomen en beslechten van geschillen over de uitoefening van rechtsmacht bij strafprocedures, PB L 328 van 15.12.2009, blz. 42; en artikel 13, lid 1, van Verordening (EG) nr. 1/2003 van de Raad van 16 december 2002 betreffende de uitvoering van de mededingingsregels van de artikelen 81 en 82 van het Verdrag, PB L 1 van 4.1.2003, blz. 1.

[39]             Voortbouwend op artikel 18, lid 1, van Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (‘Richtlijn inzake elektronische handel’), PB L 178 van 17.7.2000, blz. 1.

[40]             Zie voor de interpretatie, bv. Hof van Justitie van de EU, arrest van 16 december 2008, Satakunnan Markkinapörssi en Satamedia (C-73/07, Jurispr. 2008 blz. I-9831).

[41]             PB C […] van [...], blz. […].

[42]             PB C […] van [...], blz. […].

[43]             PB L 281 van 23.11.1995, blz. 31.

[44]             PB L 8 van 12.1.2001, blz. 1.

[45]             Verordening (EU) nr. 2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz.. 13).

[46]             PB L 176 van 10.7.1999, blz. 36.

[47]             PB L 53 van 27.2.2008, blz. 52.           

[48]             PB L 160 van 18.6.2011, blz. 19.

[49]             ABM: Activity Based Management – ABB: Activity Based Budgeting.

[50]             Als bedoeld in artikel 49, lid 6, onder a) of b), van het Financieel Reglement.

[51]             Nadere informatie over beheerswijzen en verwijzingen naar het Financieel Reglement zijn te vinden op de BudgWeb-site: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[52]             In de zin van artikel 185 van het Financieel Reglement.

[53]             GK = gesplitste kredieten/NGK = niet-gesplitste kredieten.

[54]             EVA: Europese Vrijhandelsassociatie.

[55]             Kandidaat-lidstaten en, in voorkomend geval, potentiële kandidaat-lidstaten van de Westelijke Balkan.

[56]             Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen.

[57]             Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), indirect onderzoek, direct onderzoek.

[58]             Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen.

[59]             Outputs zijn de te verstrekken producten en diensten (bv.: aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen, enz.).

[60]             Adviezen, besluiten, procedures, vergaderingen van het comité.

[61]             Gevallen behandeld in het kader van de conformiteitstoetsing.

[62]             Het jaar N is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen.

[63]             Technische en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), indirect onderzoek, direct onderzoek.

[64]             CA = Agent Contractuel (arbeidscontractant); INT = Intérimaire (uitzendkracht); JED = Jeune Expert en Délégation (jonge deskundige in delegaties); LA = Local Agent (plaatselijk functionaris); SNE = Seconded National Expert (gedetacheerd nationaal deskundige).

[65]             Submaximum voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen).

[66]             Vooral voor structuurfondsen, Europees Landbouwfonds voor Plattelandsontwikkeling (ELFPO) en Europees Visserijfonds (EVF).

[67]             Zie de punten 19 en 24 van het Interinstitutioneel Akkoord.

[68]             Voor traditionele eigen middelen (douanerechten en suikerheffingen), moeten nettobedragen worden vermeld, d.w.z. na aftrek van 25% aan inningskosten.

[69]             Outputs zijn de te verstrekken producten en diensten (bv.: aantal gefinancierde studentenuitwisselingen, aantal km aangelegde wegen, enz.).

[70]             Zoals beschreven in punt 1.4.2 “Specifieke doelstelling(en)…”.

[71]             Gevallen behandeld in het kader van de conformiteitstoetsing.

[72]             Adviezen, besluiten, procedures, vergaderingen van het comité.

[73]             De totalen voor elk jaar zijn een raming van de inspanningen voor ontwikkeling en werking van de IT-hulpmiddelen.