EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012PC0011
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)
/* COM/2012/011 final - 2012/0011 (COD) */
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) /* COM/2012/011 final - 2012/0011 (COD) */
TOELICHTING
1.
ACHTERGROND VAN HET VOORSTEL
In deze toelichting wordt nader ingegaan op
het nieuwe EU-rechtskader voor persoonsgegevensbescherming dat wordt
voorgesteld in Mededeling COM(2012) 9 definitief[1]. Het voorgestelde rechtskader omvat twee
wetgevingsvoorstellen: –
een voorstel voor een verordening van het Europees
Parlement en de Raad betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens (Algemene verordening gegevensbescherming); en –
een voorstel voor een richtlijn van het Europees
Parlement en de Raad betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met
het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van
strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en
betreffende het vrije verkeer van die gegevens[2]. Deze toelichting heeft betrekking op het
wetgevingsvoorstel voor een algemene verordening gegevensbescherming. Richtlijn 95/46/EG[3], de
hoeksteen van de huidige EU-wetgeving inzake persoonsgegevensbescherming, werd
in 1995 vastgesteld en had twee doelstellingen: het fundamentele recht op
gegevensbescherming waarborgen en het vrije verkeer van persoonsgegevens tussen
de lidstaten garanderen. De richtlijn werd aangevuld door Kaderbesluit
2008/977/JBZ, een algemeen EU-instrument voor de bescherming van
persoonsgegegevens op het gebied van politiële en justitiële samenwerking in
strafzaken[4].
Door snelle technologische ontwikkelingen zijn
nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate
waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door
technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten
meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun
persoongegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de
economie als het maatschappelijke leven ingrijpend veranderd. Het is voor de economische ontwikkeling
cruciaal om vertrouwen in de onlineomgeving tot stand te brengen. Een gebrek
aan vertrouwen zal consumenten doen aarzelen om online te kopen en nieuwe
vormen van dienstverlening te accepteren. Dit zou de ontwikkeling van
innovatieve toepassingen van nieuwe technologieën kunnen vertragen. Daarom is
de bescherming van persoonsgegevens een kernaspect van de Digitale Agenda voor
Europa[5],
en draagt het meer in het algemeen bij tot de Europa 2020-strategie[6]. Artikel 16, lid 1, van het Verdrag betreffende
de werking van de Europese Unie (VWEU), zoals ingevoerd door het Verdrag van
Lissabon, bepaalt dat eenieder recht heeft op bescherming van zijn
persoonsgegevens. Bovendien is bij het Verdrag van Lissabon in artikel 16, lid
2, VWEU een specifieke rechtsgrondslag voor de vaststelling van
EU-voorschriften inzake gegevensbescherming ingevoerd. Bescherming van
persoonsgegevens is als grondrecht verankerd in artikel 8 van het Handvest van
de grondrechten van de EU. De Europese Raad heeft de Commissie verzocht
om de werking van de EU-instrumenten inzake gegevensbescherming te beoordelen
en zo nodig met nadere initiatieven van wetgevende en niet-wetgevende aard te
komen[7].
In zijn resolutie over het programma van Stockholm[8] juichte
het Europees Parlement een integrale regeling voor de bescherming van
persoonsgegevens in de EU toe en drong het onder meer aan op herziening van het
kaderbesluit. De Commissie benadrukte in haar actieplan ter uitvoering van het
programma van Stockholm[9]
dat bescherming van persoonsgegevens een grondrecht is dat consequent bij het
gehele EU-beleid moet worden toegepast. In haar mededeling “Een integrale aanpak van
de bescherming van persoonsgegevens in de Europese Unie”[10]
concludeerde de Commissie dat de EU een meer integraal en coherent beleid
inzake het grondrecht op bescherming van persoonsgegevens nodig heeft. Het huidige rechtskader is nog steeds valide
wat zijn doelstellingen en beginselen betreft, maar heeft niet voorkomen dat
persoonsgegevens in de Unie op gefragmenteerde wijze worden beschermd, er
sprake is van rechtsonzekerheid en in brede lagen van de bevolking het beeld
bestaat dat met name onlineactiviteit aanzienlijke risico’s inhoudt[11]. Het is
dan ook tijd om een krachtiger en coherenter kader voor gegevensbescherming in
de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving
daarvan, zodat de digitale economie zich op de hele interne markt kan
ontwikkelen, burgers zelf bepalen wat er met hun gegevens gebeurt en er meer
praktische en rechtszekerheid wordt geboden aan bedrijven en overheden.
2.
RESULTATEN VAN DE RAADPLEGING VAN BELANGHEBBENDEN EN
EFFECTBEOORDELING
Dit initiatief is het resultaat van uitgebreid
overleg met alle belangrijke belanghebbenden over een herziening van het
huidige rechtskader voor de bescherming van persoonsgegevens. Dit overleg nam
meer dan twee jaar in beslag en omvatte een conferentie op hoog niveau in mei
2009[12]
en twee fasen van openbare raadpleging: –
van 9 juli tot en met 31 december 2009 de
raadpleging over het rechtskader voor het grondrecht op bescherming van
persoonsgegevens. De Commissie ontving 168 reacties: 127 van particulieren,
bedrijfsorganisaties en verenigingen en 12 van overheden[13]; –
van 4 november 2010 tot en met 15 januari 2011 de raadpleging
over integrale aanpak van de bescherming van persoonsgegevens in de Europese
Unie. De Commisie ontving 305 reacties: 54 van burgers, 31 van overheden en
220 van particuliere organisaties, met name bedrijfsorganisaties en ngo’s[14]. Ook is er gericht overleg gevoerd met belangrijke
belanghebbenden. In juni en juli 2010 zijn specifieke evenementen georganiseerd
met de autoriteiten van de lidstaten en particuliere belanghebbenden, alsook
met privacy-, gegevensbeschermings- en consumentenorganisaties[15]. In
november 2010 organiseerde vicevoorzitter Reding een rondetafelconferentie over
de hervorming. Op 28 januari 2011 (dag van de gegevensbescherming)
organiseerden de Europese Commissie en de Raad van Europa samen een conferentie
op hoog niveau over de hervorming van het EU-rechtskader en de wereldwijde
behoefte aan gemeenschappelijke normen voor gegevensbescherming[16]. Onder
het Hongaarse en Poolse voorzitterschap van de Raad werden twee conferenties
over gegevensbescherming belegd, op respectievelijk 16-17 juni en 21 september
2011. Verder werden in de loop van 2011 workshops en
seminars over specifieke onderwerpen gehouden. In januari organiseerde Enisa[17] een
workshop over het melden van inbreuken in verband met persoonsgegevens in
Europa[18].
In februari hield de Commissie een workshop met de autoriteiten van de
lidstaten over gegevensbeschermingskwesties met betrekking tot de politiële en
justitiële samenwerking in strafzaken, waaronder de tenuitvoerlegging van het
kaderbesluit, en organiseerde het Bureau voor de grondrechten een bijeenkomst
om belanghebbenden te raadplegen over de bescherming van gegevens en de
persoonlijke levenssfeer. Op 13 juli 2011 werden de belangrijkste elementen van
de hervorming besproken met de nationale gegevensbeschermingsautoriteiten. De
mening van de EU-burgers werd gepeild met een Eurobarometerenquête in
november-december 2010[19].
Er werd ook opdracht gegeven voor een aantal studies[20]. De
Groep gegevensbescherming artikel 29[21]
heeft adviezen uitgebracht en nuttige input geleverd aan de Commissie[22]. De
Europese Toezichthouder voor gegevensbescherming heeft een breed advies
uitgebracht over de problemen die in de mededeling van de Commissie van
november 2010 aan de orde waren gesteld[23]. Het Europees Parlement heeft bij zijn
resolutie van 6 juli 2011 zijn goedkeuring gehecht aan een verslag waarbij het
instemde met de aanpak van de Commissie voor de hervorming van het
gegevensbeschermingskader[24].
De Raad van de Europese Unie heeft op 24 februari 2011 conclusies goedgekeurd
waarin hij in grote lijnen akkoord ging met het voornemen van de Commissie om
het kader voor gegevensbescherming te hervormen en instemt met een groot aantal
onderdelen van de aanpak van de Commissie. Ook het Europees Economisch en
Sociaal Comité steunde het streven van de Commissie naar een consequentere
toepassing van de EU-voorschriften inzake gegevensbescherming[25] door
alle lidstaten en een passende herziening van Richtlijn 95/46/EG[26]. Bij de raadplegingen inzake de integrale
aanpak was een grote meerderheid van de belanghebbenden het ermee eens dat de
algemene beginselen van toepassing blijven. Wel meenden zij dat het huidige
kader moet worden aangepast om beter te kunnen inspelen op de uitdagingen die
de snelle technologische ontwikkelingen (met name online) en de toenemende
globalisering meebrengen. De technologische neutraliteit van het rechtskader
zou daarbij moeten worden gehandhaafd. Met name werd door economische actoren
zware kritiek geuit op de huidige fragmentatie van de
persoonsgegevensbescherming in de Unie. Zij vroegen om meer rechtszekerheid en
harmonisering van de regels inzake de bescherming van persoonsgegevens. De
ingewikkelde regelgeving inzake internationale doorgiften van persoonsgegevens
wordt beschouwd als een aanzienlijke belemmering van hun activiteiten,
aangezien zij regelmatig persoonsgegevens vanuit de EU moeten doorgeven naar
andere delen van de wereld. Overeenkomstig haar beleid voor betere
regelgeving heeft de Commissie een effectbeoordeling van de
beleidsalternatieven verricht. De effectbeoordeling werd verricht op basis van
drie beleidsdoelen: de internemarktdimensie van gegevensbescherming versterken,
personen in staat stellen hun gegevensbeschermingsrechten doeltreffender uit te
oefenen en een breed, samenhangend kader tot stand brengen voor alle gebieden
die onder de bevoegdheid van de Unie vallen, waaronder politiële samenwerking
en justitiële samenwerking in strafzaken. Er zijn drie beleidsopties
beoordeeld, die verschillen wat betreft de reikwijdte van het optreden. De
eerste optie betrof minimale wijzigingen van de wetgeving en het gebruik van
interpretatieve mededelingen en beleidsondersteunende maatregelen zoals
financieringsprogramma’s en technische instrumenten. De tweede optie was een
pakket wettelijke bepalingen om werk te maken van de punten die uit de analyse
naar voren waren gekomen. Bij de derde optie werd de gegevensbescherming op
EU-niveau gecentraliseerd door voor alle sectoren precieze en gedetailleerde
regels vast te stellen en een EU-agentschap op te richten voor toezicht op en
handhaving van de bepalingen. Volgens de gebruikelijke methode van de
Commissie is met de steun van een interdepartementale stuurgroep voor elke
beleidsoptie beoordeeld welke bijdrage die levert tot de verwezenlijking van de
beleidsdoelen, wat de economische gevolgen voor de belanghebbenden (en de
gevolgen voor de begroting van de EU-instellingen) zijn, wat de sociale
gevolgen zijn en wat de gevolgen zijn voor de grondrechten. Er is niet naar
milieugevolgen gekeken. Aan de hand van de algemene effectanalyse is de tweede
optie verder uitgewerkt en uitgebreid met een een aantal elementen van de twee
andere opties. Dit leidde tot de voorkeursoptie die in dit voorstel is
opgenomen. Volgens de effectbeoordeling zal de tenuitvoerlegging onder meer
aanzienlijke verbeteringen opleveren wat betreft de rechtszekerheid van de voor
de verwerking verantwoordelijken en burgers, verlichting van de administratieve
lasten, de consistente handhaving van gegevensbeschermingsregels in de Unie, de
mogelijkheid van personen om hun recht op gegevensbescherming binnen de EU uit
te oefenen en de efficiëntie van het toezicht op en de handhaving van
gegevensbeschermingsregels. De voorkeursoptie zal naar verwachting ook
bijdragen tot de doelstelling van de Commissie om de administratieve lasten te
vereenvoudigen en te verlichten en tot de verwezenlijking van de doelstellingen
van de Digitale Agenda voor Europa, het Stockholm-actieplan en de Europa
2020-strategie. De Raad voor effectbeoordeling heeft op 9
september 2011 advies uitgebracht over deze effectbeoordeling. Naar aanleiding
van het advies van de Raad voor effectbeoordeling is de effectbeoordeling als
volgt gewijzigd: –
de doelstellingen van het huidige wetgevingskader
(in welk opzicht deze doelstellingen zijn bereikt en in welk opzicht niet) en
de doelstellingen van de voorgenomen hervorming zijn verduidelijkt; –
aan de tekst betreffende de probleemstelling zijn
meer gegevens en extra verduidelijkingen en uitleg toegevoegd; –
er is een punt over evenredigheid toegevoegd; –
voor zowel het basisscenario en als de
voorkeursoptie zijn de berekeningen en ramingen betreffende de administratieve
lasten volledig herzien en bijgesteld, en het verband tussen de kosten van
kennisgevingen en de totale kosten van de fragmentatie is verduidelijkt (ook
wat bijlage 10 betreft); –
er is nauwkeuriger geschetst welke gevolgen met
name functionarissen voor gegevensbescherming en privacyeffectbeoordelingen
hebben voor micro-, kleine en middelgrote ondernemingen. De effectbeoordeling en de samenvatting worden
als bijlage bij de voorstellen gepubliceerd.
3.
JURIDISCHE ELEMENTEN VAN HET VOORSTEL
3.1.
Rechtsgrondslag
Dit voorstel is gebaseerd op artikel 16 VWEU,
de nieuwe rechtsgrondslag voor de vaststelling van voorschriften inzake
gegevensbescherming, die is ingevoerd bij het Verslag van Lissabon. Op grond
van deze bepaling kunnen voorschriften worden vastgesteld betreffende de
bescherming van natuurlijke personen ten aanzien van de verwerking van
persoonsgegevens door lidstaten bij de uitoefening van activiteiten die binnen
het toepassingsgebied van het recht van de Unie vallen. Ook kunnen op grond van
dit artikel voorschriften worden vastgesteld betreffende het vrije verkeer van
persoonsgegevens, met inbegrip van persoonsgegevens die zijn verwerkt door
lidstaten of particuliere instanties. Een verordening wordt beschouwd als het meest
geschikte rechtsinstrument voor de vaststelling van het kader voor de
bescherming van persoonsgegevens in de EU. Door de rechtstreekse
toepasselijkheid krachtens artikel 288 VWEU zal een verordening de juridische
fragmentatie verminderen en de rechtszekerheid bevorderen door een
geharmoniseerd pakket basisregels in te voeren, de bescherming van de
grondrechten van natuurlijke personen te verbeteren en tot de werking van de
eengemaakte markt bij te dragen. De verwijzing naar artikel 114, lid 1, van het
VWEU strekt alleen tot wijziging van Richtlijn 2002/58/EG, die ook voorziet in
de bescherming van de gerechtvaardigde belangen van abonnees die rechtspersonen
zijn.
3.2.
Subsidiariteit en evenredigheid
Volgens het subsidiariteitsbeginsel (artikel
5, lid 3, VEU) dient de Unie slechts op te treden indien en voor zover de
doelstellingen van het overwogen optreden niet voldoende door de lidstaten
kunnen worden verwezenlijkt, maar vanwege de omvang of de gevolgen van het overwogen
optreden beter door de Unie kunnen worden bereikt. In het licht van de
hierboven aangekaarte problemen wijst de subsidiariteitsanalyse uit dat om de
navolgende redenen actie moet worden ondernomen op EU-niveau. –
Het recht op de bescherming van persoonsgegevens,
dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU,
vereist dat persoonsgegevens in de hele Unie in dezelfde mate worden beschermd.
Zonder gemeenschappelijke regels op EU-niveau bestaat het risico dat de
lidstaten verschillende niveaus van gegevensbescherming bieden en dat het
grensoverschrijdende verkeer van persoonsgegevens tussen lidstaten met
verschillende normen wordt belemmerd. –
Persoonsgegevens worden steeds vaker en sneller
doorgegeven over landsgrenzen heen, zowel over de binnengrenzen als de
buitengrenzen. Er doen zich bovendien praktische problemen voor bij de
handhaving van de wetgeving inzake gegevensbescherming en de samenwerking
tussen de lidstaten en hun autoriteiten. Een en ander moet op EU-niveau worden
geregeld om de eenvormige toepassing van het Unierecht te waarborgen. De EU is
ook het beste in staat om doeltreffende en consequente garanties te bieden voor
een gelijk beschermingsniveau bij de doorgifte van persoonsgegevens naar derde
landen. –
De problemen met de huidige regeling kunnen niet
door de lidstaten afzonderlijk worden verholpen, zeker niet als die problemen
te wijten zijn aan de fragmentatie van de nationale wetgevingen. Er is dus een
specifieke noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen
waardoor vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de
EU kan plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt
beschermd. –
Gezien de aard en de omvang van de problemen, die
niet beperkt blijven tot één of meer lidstaten, zal de voorgestelde
EU-maatregel doeltreffender zijn dan soortgelijke maatregelen die door de
lidstaten worden genomen. Overeenkomstig het evenredigheidsbeginsel moet
optreden doelgericht zijn en mag het niet verder gaan dan wat noodzakelijk is
om de doelstellingen te verwezenlijken. Dit beginsel is gevolgd vanaf de
identificatie en evaluatie van alternatieve beleidsopties tot het opstellen van
dit wetgevingsvoorstel.
3.3.
Samenvatting van eventuele problemen in verband met
de grondrechten
Het recht op de bescherming van
persoonsgegevens is vastgelegd in artikel 8 van het Handvest, artikel 16 VWEU
en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de
mens en de fundamentele vrijheden. Zoals het Hof van Justitie van de Europese
Unie heeft beklemtoond[27],
heeft het recht op bescherming van persoonsgegevens geen absolute gelding, maar
moet het in relatie tot de functie ervan in de maatschappij worden beschouwd[28]. Er is
een nauw verband tussen gegevensbescherming en de eerbiediging van het
privéleven en het familie- en gezinsleven, dat door artikel 7 van het Handvest
wordt beschermd. Dat blijkt ook uit artikel 1, lid 1, van Richtlijn 95/46/EG,
waarin wordt bepaald dat de lidstaten in verband met de verwerking van persoonsgegevens
de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke
personen, inzonderheid van het recht op persoonlijke levenssfeer, moeten
waarborgen. Andere in het Handvest vastgelegde
grondrechten die mogelijk in het geding zijn, zijn de vrijheid van
meningsuiting (artikel 11 van het Handvest), de vrijheid van ondernemerschap
(artikel 16), het recht op eigendom en met name de bescherming van
intellectuele eigendom (artikel 17, lid 2), het verbod op discriminatie op
grond van onder meer ras, etnische afkomst, genetische kenmerken, godsdienst of
overtuiging, politieke of andere denkbeelden, een handicap of seksuele
gerichtheid (artikel 21), de rechten van het kind (artikel 24), het recht op
goede gezondheidszorg (artikel 35), het recht van inzage in documenten (artikel
42), het recht op een doeltreffende voorziening in rechte en op een onpartijdig
gerecht (artikel 47).
3.4.
Nadere uitleg van het voorstel
3.4.1.
HOOFDSTUK I - ALGEMENE BEPALINGEN
In artikel 1 wordt het onderwerp van de
verordening bepaald en worden, evenals in artikel 1 van Richtlijn 95/46/EG, de
twee doelstellingen van de verordening geformuleerd. Artikel 2 bepaalt het materiële
toepassingsgebied van de verordening. Artikel 3 bepaalt het geografische
toepassingsgebied van de verordening. Artikel 4 bevat de definities van de termen
die in de verordening worden gebruikt. Hoewel sommige definities volledig zijn
overgenomen uit Richtlijn 95/46/EG, zijn andere definities aangepast, aangevuld
met extra elementen, of geheel nieuw (“inbreuk in verband met persoonsgegevens”,
gebaseerd op artikel 2, lid h), van Richtlijn 2002/58/EG[29] als
gewijzigd bij Richtlijn 2009/136/EG[30],
“genetische gegevens”, “biometrische gegevens”, “gegevens over gezondheid”, “belangrijkste
vestiging”, “vertegenwoordiger”, “onderneming”, “groep van ondernemingen”, “bindende
bedrijfsvoorschriften” en “kind”, gebaseerd op het VN-Verdrag inzake de rechten
van het kind[31],
en “toezichthoudende autoriteit”). In de definitie van “toestemming” is het
criterium “uitdrukkelijk” toegevoegd om verwarring met “ondubbelzinnige”
toestemming te voorkomen en tot één enkele en consistente definitie van “toestemming”
te komen, teneinde te waarborgen dat de betrokkene zich ervan bewust is dat en
waarvoor hij toestemming geeft.
3.4.2.
HOOFDSTUK II – BEGINSELEN
Artikel 5 bevat de beginselen betreffende de
verwerking van persoonsgegevens die overeenkomen met die van artikel 6 van
Richtlijn 95/46/EG. Nieuw zijn met name het transparantiebeginsel, de
verduidelijking van het beginsel van minimale gegevensverwerking en de
vaststelling van alomvattende verantwoordelijkheid en aansprakelijkheid van de
voor de verwerking verantwoordelijke. In artikel 6, dat gebaseerd is op artikel 7
van Richtlijn 95/46/EG, zijn de criteria voor rechtmatige verwerking vervat. Deze
criteria zijn: belangenafweging, naleving van wettelijke verplichtingen en
inachtneming van het algemeen belang. In artikel 7 wordt toegelicht onder welke
voorwaarden toestemming een geldige grond voor rechtmatige verwerking is. Artikel 8 bevat nadere voorwaarden betreffende
de rechtmatigheid van de verwerking van persoonsgegevens van kinderen in het
kader van diensten van de informatiemaatschappij die hun rechtstreeks worden
aangeboden. Artikel 9, dat is gebaseerd op artikel 8 van
Richtlijn 95/46/EG, bevat het algemene verbod op de verwerking van speciale
categorieën persoonsgegevens en de uitzonderingen op die algemene regel. In artikel 10 wordt verduidelijkt dat de voor
de verwerking verantwoordelijke niet verplicht is, uitsluitend om aan een
bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen
ter identificatie van de betrokkene.
3.4.3.
HOOFDSTUK III - RECHTEN VAN DE BETROKKENE
3.4.3.1.
Afdeling 1 – Transparantie en modaliteiten
Artikel 11 houdt in dat voor de verwerking
verantwoordelijken transparante, eenvoudig toegankelijke en begrijpelijke
informatie moeten verstrekken. Dit artikel is met name ingegeven door de
Resolutie van Madrid over internationale normen voor de bescherming van
persoonsgegevens en privacy[32].
Krachtens artikel 12 moet de voor de
verwerking verantwoordelijke voorzien in procedures en mechanismen voor de
uitoefening van de rechten van de betrokkene, met inbegrip van middelen voor
elektronische indiening van verzoeken, een termijn voor de beantwoording van
verzoeken van betrokkenen en de plicht om weigeringen te motiveren. Artikel 13 verleent rechten aan de ontvangers.
Het is gebaseerd op artikel 12, onder c), van Richtlijn 95/46/EG, maar is
uitgebreid tot alle ontvangers, met inbegrip van de gezamenlijk voor de verwerking
verantwoordelijken en verwerkers.
3.4.3.2.
Afdeling 2 – Informatie en toegang tot gegevens
In artikel 14 wordt de mededelingsplicht die
de voor de verwerking verantwoordelijke heeft ten opzichte van de betrokkene
uitgewerkt. Dit artikel is gebaseerd op artikel 11 en 12 van Richtlijn 95/46/EG
en bevat aanvullende bepalingen over de informatie die aan de betrokkene moet
worden meegedeeld en die onder meer betrekking heeft op de opslagtermijn, het
recht een klacht in te dienen, internationale doorgiften en de bron waaruit de
gegevens afkomstig zijn. Ook de mogelijke uitzonderingsbepalingen van Richtlijn
95/46/EG zijn overgenomen. Zo is deze verplichting niet van toepassing als de
registratie of verstrekking uitdrukkelijk bij wet is voorgeschreven. Dit zou
bijvoorbeeld kunnen gelden voor procedures van mededingingsautoriteiten,
belasting- of douanediensten en diensten met bevoegdheid op het gebied van de
sociale zekerheid. Artikel 15 voorziet in het recht van de
betrokkene op toegang tot zijn persoonsgegevens. Dit artikel is gebaseerd op
artikel 12, onder a), van Richtlijn 95/46/EG, waaraan nieuwe elementen zijn
toegevoegd. Zo moet de betrokkene worden gewezen op de opslagtermijn, het recht
van rectificatie, het recht van uitwissing en het recht een klacht in te dienen.
3.4.3.3.
Afdeling 3 – Rectificatie en uitwissing
Artikel 16 bepaalt het recht van rectificatie
van de betrokkene. Het is gebaseerd op artikel 12, onder b), van Richtlijn
95/46/EG. Artikel 17 voorziet in het recht om te worden
vergeten en het recht op uitwissing van gegevens. Het is een nadere uitwerking
en invulling van het in Richtlijn 95/46/EG vervatte recht van uitwissing en
verbindt voorwaarden aan het recht om te worden vergeten. Zo dient de voor de
verwerking verantwoordelijke die de persoonsgegevens openbaar heeft gemaakt,
derden op de hoogte te stellen van het verzoek van de betrokkene om iedere
koppeling naar en kopie of reproductie van die persoonsgegevens uit te wissen.
Ook is hierin het recht opgenomen om in bepaalde gevallen de verwerking te laten
beperken, waarbij de dubbelzinnige term “afschermen” is vermeden. Bij artikel 18 wordt de betrokkene het recht
verleend op gegevensoverdraagbaarheid, dat wil zeggen het recht om gegevens van
het ene elektronische verwerkingssysteem naar het andere over te dragen, zonder
hiervan door de voor de verwerking verantwoordelijke te worden weerhouden.
Teneinde de toegang van natuurlijke personen tot hun persoonsgegevens verder te
verbeteren, voorziet het artikel als een absolute voorwaarde in het recht om
deze gegevens te ontvangen in een gestructureerd en algemeen gebruikt
elektronisch formaat.
3.4.3.4.
Afdeling 4 – Recht van bezwaar en profilering
Artikel 19 regelt het recht van bezwaar van de
betrokkene. Het is gebaseerd op artikel 14 van Richtlijn 95/46/EG. Dat artikel is
in een aantal opzichten gewijzigd, onder meer wat betreft de bewijslast en
direct marketing. Artikel 20 heeft
betrekking op het recht van de betrokkene om niet op basis van profilering aan
een maatregel te worden onderworpen. Het artikel bouwt voort op artikel 15, lid
1, van Richtlijn 95/46/EG, over geautomatiseerde individuele besluiten, maar
bevat wijzigingen en aanvullende garanties. Verder is rekening gehouden met de
aanbeveling over profilering van de Raad van Europa[33].
3.4.3.5.
Afdeling 5 – Beperkingen
In artikel 21
wordt toelichting verschaft inzake de bevoegdheid van de Unie en de lidstaten
om met betrekking tot de beginselen van artikel 5 en de in de artikelen 11-20
en 32 vervatte rechten van de betrokkene beperkingen te handhaven of in te
voeren. Deze bepaling is gebaseerd op artikel 13 van Richtlijn 95/46/EG en op
de vereisten die voortvloeien uit het Handvest van de grondrechten en het
Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele
vrijheden, zoals geïnterpreteerd door het Hof van Justitie van de EU en het
Europees Hof voor de rechten van de mens.
3.4.4.
HOOFDSTUK IV - DE VOOR DE VERWERKING
VERANTWOORDELIJKE EN DE VERWERKER
3.4.4.1.
Afdeling 1 – Algemene verplichtingen
In artikel 22 krijgt de discussie over het
verantwoordingsbegingsel zijn beslag en wordt uitvoerig ingegaan op de plicht
van de voor de verwerking verantwoordelijke om aan deze verordening te voldoen
en zulks aantoonbaar te maken, onder meer door het vaststellen van interne
regelingen en mechanismen. Artikel 23 betreft de plichten van de voor de
verwerking verantwoordelijke die voortvloeien uit de beginselen inzake privacy
by design en privacy by default. Artikel 24 verduidelijkt de
verantwoordelijkheden van gezamenlijk voor de verwerking verantwoordelijken wat
betreft hun onderlinge verhouding en de verhouding met de betrokkene. Krachtens artikel 25 dienen de voor de
verwerking verantwoordelijken die niet in de Unie zijn gevestigd, onder
bepaalde voorwaarden en voor zover hun verwerkingsactiviteiten onder de
verordening vallen, een vertegenwoordiger in de Unie aan te wijzen. Artikel 26 verduidelijkt de positie en de
verplichting van verwerkers. Deze bepaling is deels gebaseerd op artikel 17,
lid 2, van Richtlijn 95/46/EG, maar is uitgebreid met nieuwe elementen. Zo moet
een verwerker die niet uitsluitend op instructie van de voor de verwerking
verantwoordelijke handelt, als een gezamenlijk voor de verwerking
verantwoordelijke worden beschouwd. Artikel 27 heeft betrekking op verwerking
onder het gezag van de voor de verwerking verantwoordelijke en de verwerker.
Het artikel is gebaseerd op artikel 16 van Richtlijn 95/46/EG. Bij artikel 28 worden voor de verwerking
verantwoordelijken en verwerkers ertoe verplicht de verwerking die onder hun
verantwoordelijkheid wordt verricht, te documenteren, in plaats van een
algemene kennisgeving te doen toekomen aan de toezichthoudende autoriteit
overeenkomstig artikel 18, lid 1, en artikel 19 van Richtlijn 95/46/EG. Artikel 29 verduidelijkt de verplichtingen van
de voor de verwerking verantwoordelijke en de verwerker bij de samenwerking met
de toezichthoudende autoriteit.
3.4.4.2.
Artikel 2 – Beveiliging van gegevens
Krachtens artikel 30 moeten de voor de
verwerking verantwoordelijke en de verwerker passende maatregelen treffen voor
de beveiliging van de verwerking. Deze bepaling is gebaseerd op artikel 17, lid
1, van Richtlijn 95/46/EG, maar breidt de verplichting uit tot de verwerkers,
ongeacht hun contract met de voor de verwerking verantwoordelijke. Bij de artikelen 31 en 32 wordt de verplichting
ingevoerd om inbreuken in verband met persoonsgegevens te melden. Deze bepaling
bouwt voort op artikel 4, lid 3, van Richtlijn 2002/58/EG (e-privacyrichtlijn).
3.4.4.3.
Afdeling 3 – Privacyeffectbeoordeling en
voorafgaande toestemming
Artikel 33 bepaalt dat voor de verwerking
verantwoordelijken en verwerkers gevoelige verwerkingsactiviteiten eerst aan
een privacyeffectbeoordeling moeten onderwerpen. Artikel 34 heeft betrekking op de gevallen
waarin toestemming door en raadpleging van de toezichthoudende autoriteit
geboden is vóór de verwerking. Deze bepaling bouwt voort op de voorafgaande
controle overeenkomstig artikel 20 van Richtlijn 95/46/EG.
3.4.4.4.
Afdeling 4 – Functionaris voor gegevensbescherming
Artikel 35 houdt in dat een functionaris voor
gegevensverwerking verplicht is in de publieke sector. In de particuliere
sector geldt de verplichting voor grote ondernemingen en wanneer een voor de
verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met
verwerkingsactiviteiten waarop regelmatig en stelselmatig toezicht moet worden
gehouden. Deze bepaling bouwt voort op artikel 18, lid 2, van Richtlijn
95/46/EG, op grond waarvan lidstaten de vereiste inzake algemene kennisgeving
door een dergelijke verplichting mochten vervangen. In artikel 36 wordt de positie van de
functionaris voor gegevensbescherming geregeld. Artikel 37 bepaalt de kerntaken van de
functionaris voor gegevensbescherming.
3.4.4.5.
Afdeling 5 – Gedragscodes en certificering
Artikel 38 heeft betrekking op gedragscodes en
bouwt voort op artikel 27, lid 1, van Richtlijn 95/46/EG. De inhoud van de
codes en de procedures wordt nader toegelicht en de Commissie wordt bevoegd
verklaard om zich uit te spreken over de algemene geldigheid van gedragscodes. Artikel 39
voorziet in de mogelijkheid certificeringsmechanismen en
gegevensbeschermingszegels en -merktekens vast te stellen.
3.4.5.
HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR
DERDE LANDEN OF INTERNATIONALE ORGANISATIES
Artikel 40 stelt dat de verplichtingen in dat
hoofdstuk van toepassing zijn op elke doorgifte van persoonsgegevens naar derde
landen of internationale organisaties, met inbegrip van verdere doorgifte. Artikel 41 bevat de criteria, voorwaarden en
procedures voor de vaststelling van een besluit waarbij een beschermingsniveau
door de Commissie passend wordt verklaard en is gebaseerd op artikel 25 van
Richtlijn 95/46/EG. Voorts wordt bepaald aan de hand van welke criteria de
Commissie beoordeelt of het beschermingsniveau al dan niet passend is, tot
welke criteria uitdrukkelijk de rechtsstaat, de toegang tot rechtsmiddelen en
onafhankelijk toezicht behoren. Het artikel voorziet ook uitdrukkelijk in de
mogelijkheid dat de Commissie het beschermingsniveau beoordeelt dat door een
gebied of een verwerkingssector in een derde land geboden wordt. Indien de Commissie geen besluit heeft
vastgesteld waarbij een beschermingsniveau passend wordt verklaard, moeten
krachtens artikel 42 voor doorgifte naar derde landen passende garanties worden
geboden, zoals modelbepalingen inzake gegevensbescherming, bindende bedrijfsvoorschriften
en contractbepalingen. De mogelijkheid om gebruik te maken van modelbepalingen
inzake gegevensbescherming van de Commissie is gebaseerd op artikel 26, lid 4,
van Richtlijn 95/46/EG. Nieuw is dat dergelijke modelbepalingen inzake gegevensbescherming
kunnen worden vastgesteld door een toezichthoudende autoriteit en algemeen
geldig kunnen worden verklaard door de Commissie. Bindende
bedrijfsvoorschriften worden nu specifiek genoemd in deze verordening. De
mogelijkheid van contractbepalingen biedt de voor de verwerking
verantwoordelijke of verwerker zekere flexibiliteit, maar vereist wel
voorafgaande toestemming van de toezichthoudende autoriteiten. In artikel 43 worden de voorwaarden voor
doorgifte verder gespecificeerd in de vorm van bindende bedrijfsregels op basis
van de huidige praktijken en vereisten van de toezichthoudende autoriteiten. In artikel 44 worden de
uitzonderingsbepalingen voor gegevensdoorgifte uiteengezet en verklaard,
gebaseerd op de bestaande bepalingen van artikel 26 van Richtlijn 95/46/EG. Dit
heeft in het bijzonder betrekking op doorgiften van gegevens die vereist en
noodzakelijk om gewichtige redenen van algemeen belang, zoals in geval van
internationale doorgifte van gegevens tussen mededingingsautoriteiten,
belasting- of douanediensten, of diensten met bevoegdheid op het gebied van de
sociale zekerheid of visserijbeheer. Voorts kan een gegevensdoorgifte onder
beperkte voorwaarden gerechtvaardigd zijn in verband met de gerechtvaardigde
belangen van de voor de verwerking verantwoordelijke of de verwerker, maar
slechts nadat de omstandigheden van deze doorgifte zijn geëvalueerd en
gedocumenteerd. Artikel 45 voorziet uitdrukkelijk in
mechanismen voor internationale samenwerking inzake de bescherming van
persoonsgegevens tussen de Commissie en de toezichthoudende autoriteiten van
derde landen, met name die waarvan het beschermingsniveau als passend is
beoordeeld, rekening houdende met de aanbeveling van de Organisatie voor
Economische Samenwerking en Ontwikkelinge (OESO) van 12 juni 2007 inzake
grensoverschrijdende samenwerking bij de handhaving van wetgeving ter
bescherming van de privacy.
3.4.6.
HOOFDSTUK VI – ONAFHANKELIJKE TOEZICHTHOUDENDE
AUTORITEITEN
3.4.6.1.
Afdeling 1 – Onafhankelijkheid
Bij artikel 46 worden de lidstaten verplicht
toezichthoudende autoriteiten in te stellen, op grond van artikel 28, lid 1,
van Richtlijn 95/46/EG, en worden de taken van de toezichthoudende autoriteiten
uitgebreid tot onderlinge samenwerking en samenwerking met de Commissie
uitgebreid. Artikel 47 verduidelijkt de voorwaarden voor
de onafhankelijkheid van de toezichthoudende autoriteit, waarbij de
jurisprudentie van het Hof van Justitie van de EU[34] wordt
toegepast en is ook geïnspireerd op artikel 44 van Verordening (EG) nr. 45/2001[35]. Artikel 48 stelt algemene voorwaarden vast
voor de leden van de toezichthoudende autoriteit, waarbij de jurisprudentie van
het Hof van Justitie van de EU[36]
wordt toegepast en is ook geïnspireerd op artikel 42, leden 2 tot en met 6, van
Verordening (EG) nr. 45/2001. Artikel 49 bevat voorschriften voor de
instelling van de toezichthoudende autoriteit die de lidstaten bij de wet
moeten vaststellen. In artikel 50 wordt het beroepsgeheim van de
leden en het personeel van de toezichthoudende autoriteit vastgelegd en is
gebaseerd op artikel 28, lid 7, van Richtlijn 95/46/EG.
3.4.6.2.
Afdeling 2 – Taken en bevoegdheden
Artikel 51 stelt de bevoegdheden van de
toezichthoudende autoriteiten vast. De algemene regel, gebaseerd op artikel 28,
lid 6, van Richtlijn 95/46/EG (bevoegdheid op het grondgebied van de eigen
lidstaat), wordt aangevuld met de nieuwe bevoegdheid van hoofdautoriteit indien
een voor de verwerking verantwoordelijke of verwerker in meerdere lidstaten is
gevestigd, ten einde een uniforme toepassing te garanderen (“éénloketsysteem”).
Gerechten zijn in het kader van hun gerechtelijke taken niet onderworpen aan
het toezicht van de toezichthoudende autoriteit, maar wel aan de toepassing van
de materiële voorschriften inzake gegevensbescherming. Artikel 52 bepaalt de taken van de toezichthoudende
autoriteit. Daartoe behoren het horen en onderzoeken van klachten en het
bevorderen van de bekendheid van het publiek met de risico’s, voorschriften,
waarborgen en rechten. Artikel 53 bepaalt de bevoegdheden van de
toezichthoudende autoriteit, deels voortbouwend op artikel 28, lid 3, van
Richtlijn 95/46/EG en artikel 47 van Verordening (EG) nr. 45/2001, met
toevoeging van een aantal nieuwe elementen, zoals de bevoegdheid om
administratieve inbreuken te bestraffen. Artikel 54 bepaalt dat de toezichthoudende
autoriteiten een jaarlijks activiteitenverslag opstellen en is gebaseerd op
artikel 28, lid 5, van Richtlijn 95/46/EG.
3.4.7.
HOOFDSTUK VII - SAMENWERKING EN CONFORMITEIT
3.4.7.1.
Afdeling 1 - Samenwerking
Artikel 55 voert expliciete voorschriften in
over de verplichting tot wederzijdse bijstand, met inbegrip van consequenties
in geval van het niet-ingaan op het verzoek van een andere toezichthoudende
autoriteit, voortbouwend op artikel 28, lid 6, tweede alinea, van Richtlijn
95/46/EG. Artikel 56 voert voorschriften in betreffende
gezamenlijke operaties, geïnspireerd op artikel 17 van Besluit 2008/615/JBZ van
de Raad[37],
met inbegrip van het recht van de toezichthoudende autoriteiten om aan
dergelijke operaties deel te nemen.
3.4.7.2.
Afdeling 2 - Conformiteit
Artikel 57 voert een conformiteitstoetsing in
voor een uniforme toepassing van de verwerkingsoperaties die betrekking kunnen
hebben op betrokkenen in diverse lidstaten. Artikel 58 bepaalt de procedures en
voorwaarden voor een advies van het Europees Comité voor gegevensbescherming. Artikel 59 betreft adviezen van de Commissie
in zaken waarop de conformiteitstoetsing betrekking heeft, en waarmee een
advies van het Europees Comité voor gegevensbescherming ofwel wordt bevestigd
ofwel een verschil van mening met dat advies wordt uitgesproken, alsook de
ontwerp-maatregel van de toezichthoudende autoriteit. Indien een zaak door het
Europees Comité voor gegevensbescherming krachtens artikel 58, lid 3, is
aangekaart, kan worden verwacht dat de Commissie haar discretionaire bevoegdheid
zal uitoefenen en indien nodig een advies terzake zal uitbrengen. Artikel 60 betreft besluiten van de Commissie
waarmee de bevoegde autoriteit wordt verplicht haar ontwerp-maatregel op te
schorten indien dit nodig is voor een correcte toepassing van deze verordening. Artikel 61 voorziet in de mogelijkheid om
voorlopige maatregelen te treffen in een spoedprocedure. Artikel 62 stelt de vereisten vast voor
uitvoeringshandelingen van de Commissie in het kader van de
conformiteitstoetsing. Artikel 63 voorziet
in de verplichting om de maatregelen van een toezichhoudende autoriteit uit te
voeren in alle betrokken lidstaten, en bepaalt dat de conformiteitstoetsing een
absolute voorwaarde is voor de rechtsgeldigheid en de handhaving van de
betrokken maatregel.
3.4.7.3.
Afdeling 3 - Europees Comité voor
gegevensbescherming
Bij artikel 64 wordt het Europees Comité voor
gegevensbescherming opgericht, dat bestaat uit de voorzitters van de
toezichthoudende autoriteit van elke lidstaat en van de Europese Toezichthouder
voor gegevensbescherming. Het Europees Comité voor gegevensbescherming vervangt
de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming
van personen in verband met de verwerking van persoonsgegevens. Er wordt
verduidelijkt dat de Commissie geen lid is van het Europees Comité voor
gegevensbescherming, maar het recht heeft aan de activiteiten deel te nemen en
erin te zijn vertegenwoordigd. Artikel 65 onderstreept en verduidelijkt de
onafhankelijkheid van het Europees Comité voor gegevensbescherming. Artikel 66 beschrijft de taken van het
Europees Comité voor gegevensbescherming, gebaseerd op artikel 30, lid 1, van
Richtlijn 95/46/EG en voorziet in aanvullende elementen, als gevolg van de
grotere spanwijdte van het Europees Comité voor gegevensbescherming binnen de
Unie en daarbuiten. Om in staat te zijn op dringende situaties te reageren,
wordt de Commissie de mogelijkheid verleend binnen een specifieke tijdslimiet
om advies te vragen. Artikel 67 verplicht het Europees Comité voor
gegevensbescherming jaarlijks verslag uit te brengen over zijn activiteiten,
voortbouwend op artikel 30, lid 6, van Richtlijn 95/46/EG. Artikel 68 bevat de besluitvormingsprocedures
van het Europees Comité voor gegevensbescherming, met inbegrip van de
verplichting een reglement van orde aan te nemen dat ook op de operationele
regelingen betrekking heeft. Artikel 69 bevat de bepalingen over het
voorzitterschap en de vicevoorzitterschappen van het Europees Comité voor
gegevensbescherming. Artikel 70 zet de taken van het
voorzitterschap uiteen. Artikel 71 bepaalt dat het secretariaat van
het Europees Comité voor gegevensbescherming wordt waargenomen door de Europese
Toezichthouder voor gegevensbescherming, en specificeert de taken van het
secretariaat. Artikel 72 stelt de regels inzake
vertrouwelijkheid vast.
3.4.8.
HOOFDSTUK VIII – BEROEP OP DE RECHTER,
AANSPRAKELIJKHEID EN SANCTIES
Artikel 73 voorziet in het recht van de
betrokkene om een klacht in te dienen bij een toezichthoudende autoriteit,
gebaseerd op artikel 28, lid 4, van Richtlijn 95/46/EG. Het artikel bepaalt
tevens welke instanties, organisaties of verenigingen een klacht mogen indienen
namens de betrokkene, of, wanneer het om een inbreuk in verband met
persoonsgegevens gaat, ongeacht een eventuele klacht van de betrokkene. Artikel 74 betreft het recht om tegen een
toezichthoudende autoriteit beroep bij de rechter in te stellen. Het bouwt
voort op de algemene bepaling van artikel 28, lid 3, van Richtlijn 95/46/EG.
Het voorziet specifiek in een beroep bij de rechter waardoor de
toezichthoudende autoriteit verplicht wordt de klacht in behandeling te nemen,
en verduidelijkt de bevoegdheid van de gerechten in de lidstaten waar de
toezichthoudende autoriteit is gevestigd. Het voorziet tevens in de
mogelijkheid dat de toezichthoudende autoriteit in de lidstaat waar de
betrokkene is gevestigd, namens de betrokkene een gerechtelijke procedure mag
aanspannen in een andere lidstaat waar de bevoegde toezichthoudende autoriteit
is gevestigd. Artikel 75 betreft het recht van beroep bij de
rechter tegen een voor de verwerking verantwoordelijke of verwerker,
voortbouwend op artikel 22 van Richtlijn 95/46/EG en de biedt de mogelijkheid
te kiezen voor de rechter in de lidstaat waar de verweerder is gevestigd of in
de lidstaat waar de betrokkene woont. Indien een procedure over een en dezelfde
aangelegenheid wordt behandeld in het kader van de conformiteitstoetsing, kan
de rechtbank de zaak opschorten, behalve in dringende aangelegenheden. Artikel 76 stelt gemeenschappelijke
voorschriften vast voor gerechtelijke procedures, inclusief het recht van
organen, organisaties en verenigingen om betrokkenen voor de rechter te
vertegenwoordigen, het recht van de toezichthoudende autoriteit om
gerechtelijke procedures aan te spannen, het informeren van de rechtbanken over
parallelle procedures in een andere lidstaat, alsook de mogelijkheid voor de
rechtbanken om in een dergelijk geval de procedure op te schorten.[38] De
lidstaten zijn verplicht te voorzien in rechtsgedingen waarbij snel maatregelen
kunnen worden getroffen.[39] Artikel 77 behandelt het recht op vergoeding
en de aansprakelijkheid. Het bouwt voort op artikel 23 van Richtlijn 95/46/EG,
breidt dit recht uit tot schade die is veroorzaakt door verwerkers en
verduidelijkt de aansprakelijkheid van gezamenlijk voor de verwerking
verantwoordelijken en gezamenlijk opererende verwerkers. Artikel 78 verplicht de lidstaten ertoe
voorschriften vast te stellen inzake sancties om inbreuken op deze verordening
te bestraffen, en toe te zien op de tenuitvoerlegging van die sancties. Artikel 79
verplicht elke toezichthoudende autoriteit om de in de lijsten van deze
bepaling genoemde administratieve inbreuken te bestraffen, en legt
maximumboeten vast, rekening houdend met de individuele omstandigheden van elk
geval.
3.4.9.
HOOFDSTUK IX - BEPALINGEN IN VERBAND MET SPECIFIEKE
SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING
Artikel 80 verplicht de lidstaten
uitzonderingen op en afwijkingen van specifieke bepalingen van de verordening
vast te stellen waar dat nodig is om het recht op de bescherming van
persoonsgegevens te verzoenen met het recht op vrijheid van meningsuiting. Dit
is gebaseerd op artikel 9 van Richtlijn 95/46/EG, als geïnterpreteerd door het
Hof van Justitie van de EU.[40]
Artikel 81 verplicht de lidstaten, naast de
voorwaarden voor speciale categorieën gegevens, specifieke garanties vast te
stellen voor verwerking voor gezondheidsdoeleinden. Artikel 82 machtigt de lidstaten specifieke
wetgeving aan te nemen voor de verwerking van persoonsgegevens in het kader van
werkgelegenheid. Artikel 83 stelt de specifieke voorwaarden
vast voor de verwerking van persoonsgegevens voor historische, statistische en
wetenschappelijke onderzoeksdoeleinden. Artikel 84 machtigt de lidstaten specifieke
regels vast te stellen voor de toegang van toezichthoudende autoriteiten tot
persoonsgevevens en lokalen, waar de voor de verwerking verantwoordelijken
gehouden zijn tot beroepsgeheim. Artikel 85 staat in het licht van artikel 17
van het Verdrag betreffende de werking van de Europese Unie de blijvende
toepassing toe van de bestaande omvattende regels inzake gegevensbescherming
van kerkgenootschappen indien deze op één lijn worden gebracht met deze
verordening.
3.4.10.
HOOFDSTUK X – GEDELEGEERDE HANDELINGEN EN
UITVOERINGSHANDELINGEN
Artikel 86 bevat standaardbepalingen inzake de
uitvoering van bevoegdheidsdelegaties overeenkomstig artikel 290 VWEU. Dit
artikel biedt de wetgever de mogelijkheid om aan de Commissie de bevoegdheid
over te dragen niet-wetgevingshandelingen van algemene strekking vast te
stellen ter aanvulling of wijziging van bepaalde niet-essentiële
onderdelen van een wetgevingshandeling (quasiwetgevingshandelingen). Artikel 87
voorziet in de comitéprocedure die is vereist om aan de Commissie
uitvoeringsbevoegdheden toe te kennen in gevallen waarin het overeenkomstig
artikel 291 VWEU nodig is dat juridisch bindende handelingen van de Unie
volgens eenvormige voorwaarden worden uitgevoerd. De onderzoeksprocedure is van
toepassing.
3.4.11.
HOOFDSTUK XI - SLOTBEPALINGEN
Artikel 88 voorziet in intrekking van
Richtlijn 95/46/EEG. Artikel 89 verduidelijkt het verband met de
e-privacy-Richtlijn 2002/58/EG en wijzigt deze. Artikel 90 verplicht de Commissie tot
evaluatie van de verordening en rapportage terzake. Artikel 91 bepaalt de datum van inwerkingrreding
van de verordening en een overgangsfase betreffende de toepassingsdatum. 4. GEVOLGEN VOOR DE BEGROTING De specifieke gevolgen van het voorstel voor
de begroting hebben betrekking op de taken die zijn toegekend aan de Europese
Toezichthouder voor gegevensbescherming, zoals gespecificeerd in het financieel
memorandum bij dit voorstel. Deze gevolgen maken een herprogrammering van
rubriek 5 van de financiële vooruitzichten noodzakelijk. Het voorstel heeft geen gevolgen voor de
beleidsuitgaven. Het financieel memorandum bij dit voorstel
voor een verordening bestrijkt de budgettaire gevolgen van de verordening zelf
en van de richtlijn betreffende politiële en justitiële gegevensbescherming. 2012/0011 (COD) Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN
DE RAAD betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het
vrije verkeer van die gegevens (algemene verordening gegevensbescherming) (Voor de EER relevante tekst) HET EUROPEES PARLEMENT EN DE RAAD VAN
DE EUROPESE UNIE, Gezien het Verdrag betreffende de werking van
de Europese Unie, en met name artikel 16, lid 2, en artikel 114, lid 1, Gezien het voorstel van de Europese Commissie, Na toezending van het ontwerp van wetgevingshandeling
aan de nationale parlementen, Gezien het advies van het Europees Economisch
en Sociaal Comité[41], Na raadpleging van de Europese Toezichthouder
voor gegevensbescherming[42],
Handelend volgens de gewone
wetgevingsprocedure, Overwegende hetgeen volgt: (1)
De bescherming van natuurlijke personen bij de
verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1,
van het Handvest van de grondrechten van de Europese Unie en artikel 16, lid 1,
van het Verdrag heeft eenieder het recht op bescherming van zijn
persoonsgegevens. (2)
De verwerking van persoonsgegevens staat ten
dienste van de mens; de beginselen en voorschriften betreffende de bescherming
van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen,
ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, in
overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, en in
het bijzonder met hun recht op bescherming van persoonsgegevens.
Gegevensverwerking dient bij te dragen tot de totstandbrenging van een ruimte
van vrijheid, veiligheid en recht en van een economische unie, tot economische
en sociale vooruitgang, de versterking en de convergentie van de economieën
binnen de interne markt en het individuele welzijn. (3)
Richtlijn 95/46/EG van het Europees Parlement en de
Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en het vrije verkeer van die
gegevens[43]
heeft tot doel de bescherming van de grondrechten en fundamentele vrijheden van
natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en
het vrije verkeer van persoonsgegevens binnen de Unie te garanderen. (4)
De economische en sociale integratie die het gevolg
is van de werking van de interne markt heeft geleid tot een aanzienlijke
toename van de grensoverschrijdende stromen van persoonsgegevens. De
gegevensuitwisseling tussen economische en sociale actoren is in de publieke en
de particuliere sector toegenomen. De nationale autoriteiten van de lidstaten
moeten op grond van het EU-recht samenwerken en persoonsgegevens uitwisselen om
hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in
een andere lidstaat. (5)
Door snelle technologische ontwikkelingen en
globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens
ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm
gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van
hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens.
Mensen maken hun persoongegevens steeds vaker wereldwijd bekend. Technologie
heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en
maakt het noodzakelijk het vrije verkeer van gegevens binnen de Unie en de
doorgifte naar derde landen en internationale organisaties verder te
vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens
te garanderen. (6)
In verband met deze ontwikkelingen moet een
krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand
worden gebracht en bovendien scherp worden toegezien op de handhaving daarvan,
omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale
economie zich op de hele interne markt te laten ontwikkelen. Natuurlijke
personen dienen controle over hun eigen persoonsgegevens te hebben en er dient
meer praktische en rechtszekerheid te worden geboden aan personen, bedrijven en
overheden. (7)
Richtlijn 95/46/EG is wat doelstellingen en
beginselen betreft nog steeds valide, maar heeft niet voorkomen dat gegevens in
de Unie op gefragmenteerde wijze worden beschermd, er sprake is van
rechtsonzekerheid en in brede lagen van de bevolking het beeld bestaat dat met
name onlineactiviteit aanzienlijke risico´s inhoudt met betrekking tot de
bescherming van natuurlijke personen. De verschillen in de mate waarin de
bescherming van de rechten en vrijheden van personen, inzonderheid de
bescherming van persoonsgegevens, op het stuk van de verwerking van
persoonsgegevens in de lidstaten is gewaarborgd, kunnen het vrije verkeer van
persoonsgegevens binnen de Unie beletten. Deze verschillen kunnen bijgevolg een
belemmering vormen voor de uitoefening van economische activiteiten op
EU-schaal, de mededinging vervalsen en de overheid beletten haar taak ten
aanzien van de toepassing van het EU-recht te vervullen. Deze verschillende
beschermingsniveaus zijn het gevolg van de verschillen in de uitvoering en
toepassing van Richtlijn 95/46/EG. (8)
Teneinde natuurlijke personen een consistent en
hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van
persoonsgegevens op te heffen, dient het niveau van de bescherming van de
rechten en vrijheden van personen op het stuk van de verwerking van deze
gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor
een in de gehele Unie coherente en homogene toepassing van de regels inzake de
bescherming van de grondrechten en fundamentele vrijheden van natuurlijke
personen in verband met de verwerking van persoonsgegevens. (9)
Doeltreffende bescherming van persoonsgegevens in
de gehele Unie vereist versterking en nadere vaststelling van de rechten van de
betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en
van degenen die over die verwerking beslissen, maar ook vergelijkbare bevoegdheden
inzake toezicht en handhaving van de voorschriften inzake gegevensbescherming
en vergelijkbare sancties voor overtreders in de lidstaten. (10)
Artikel 16, lid 2, van het Verdrag machtigt het
Europees Parlement en de Raad om de voorschriften vast te stellen betreffende
de bescherming van personen ten aanzien van de verwerking van persoonsgegevens,
alsmede de voorschriften betreffende het vrije verkeer van die gegevens. (11)
Teneinde personen in de gehele Unie een consistent
niveau van bescherming te bieden en te voorkomen dat verschillen het vrije
verkeer van gegevens op de interne markt hinderen, is een verordening nodig om
bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen,
rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk
afdwingbare rechten voor personen in alle lidstaten en in verplichtingen en
verantwoordelijkheden voor de voor de verwerking verantwoordelijken en de
verwerkers, te zorgen voor consistent toezicht op de verwerking van
persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor
doeltreffende samenwerking tussen de toezichthoudende autoriteiten van
verschillende lidstaten. Met het oog op de specifieke situatie van kleine,
middelgrote en micro-ondernemingen omvat deze verordeningen een aantal
uitzonderingsbepalingen. Bovendien worden de instellingen en organen van de
Unie, de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de
toepassing van deze verordening de specifieke behoeften van de kleine,
middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het
begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen
uit Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003. (12)
De bescherming die door deze
verordening wordt geboden, dient betrekking te hebben op natuurlijke personen,
ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van
hun persoonsgegevens. Met betrekking tot de verwerking van
gegevens over rechtspersonen en met name als rechtspersonen gevestigde
ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de
contactgegevens van de rechtspersoon, dient geen beroep op deze verordening te
kunnen worden gedaan. Dit dient ook te gelden wanneer de naam van de
rechtspersoon de namen van een of meer natuurlijke personen bevat. (13)
De bescherming van personen dient technologisch
neutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken;
anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van
personen dient zowel te gelden bij automatische als manuele verwerking van
persoonsgegevens, indien de gegevens zijn opgeslagen of zullen worden
opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de
omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn,
dienen niet onder het toepassingsgebied van deze verordening te vallen. (14)
Deze verordening is niet van toepassing op
vraagstukken met betrekking tot de bescherming van grondrechten en fundamentele
vrijheden of het vrije verkeer van gegevens in verband met niet onder het
EU-recht vallende activiteiten en betreft noch de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens door de
instellingen, organen en instanties van de Unie, die onder Verordening (EG) nr.
45/2001[44]
vallen, noch de gegevensverwerking die de lidstaten verrichten bij activiteiten
in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de
Unie. (15)
Deze verordening dient niet van toepassing te zijn
op de verwerking van persoonsgegevens van louter persoonlijke of huishoudelijke
aard, zoals correspondentie of adressenbestanden, door een natuurlijke persoon,
wanneer deze verwerking zonder commercieel belang wordt verricht en dus geen
enkel verband houdt met een beroeps- of handelsactiviteit. De uitzondering
dient evenmin te gelden voor de voor de verwerking verantwoordelijken en de
verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens
voor dergelijke persoonlijke of huishoudelijke activiteiten. (16)
De bescherming van personen in verband met de
verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die
gegevens is aan een specifiek EU-rechtsinstrument onderworpen. Deze verordening
dient derhalve niet van toepassing te zijn op de met die doeleinden verrichte
verwerkingsactiviteiten. Het gebruik van overeenkomstig deze verordening door
de openbare autoriteiten verwerkte gegevens met het oog op de voorkoming, het
onderzoek, de opsporing of de vervolging van strafbare feiten of de
tenuitvoerlegging van strafrechtelijke sancties dient echter te worden geregeld
bij het meer specifieke EU-rechtsinstrument (Richtlijn XX/YYYY). (17)
Deze verordening dient geen afbreuk te doen aan de
toepassing van Richtlijn 2000/31/EG, inzonderheid de bepalingen inzake de
aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de
artikelen 12 tot en met 15 van die richtlijn. (18)
Deze verordening biedt de mogelijkheid om bij de
toepassing van de daarin vastgelegde voorschriften rekening te houden met het
beginsel van het recht van toegang van het publiek tot officiële documenten. (19)
Verwerking van persoonsgegevens in het kader van de
activiteiten van een vestiging van een voor de verwerking verantwoordelijke of
een verwerker in de Unie dient overeenkomstig deze verordening te worden
verricht, of de eigenlijke verwerking nu in de Unie plaatsvindt of niet.
Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van
activiteiten door een vaste vestiging. De rechtsvorm van een dergelijke
vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met
rechtspersoonlijkheid, is daarbij niet doorslaggevend. (20)
Om te waarborgen dat personen niet worden
uitgesloten van de bescherming waarop zij krachtens deze verordening recht
hebben, dient op de verwerking van persoonsgegevens van in de Unie wonende
betrokkenen door een niet in de Unie gevestigde verwerker deze verordening van
toepassing te zijn wanneer de verwerking verband houdt met het aanbieden van
goederen of diensten aan dergelijke betrokkenen of met het observeren van hun
gedrag. (21)
Om uit te maken of een verwerking kan worden
beschouwd als “observeren/volgen van gedrag” van betrokkenen, dient te worden
vastgesteld of natuurlijke personen op het internet worden gevolgd met
gegevensverwerkingstechnieken waarbij een “profiel” op een natuurlijke persoon
wordt toegepast, in het bijzonder om besluiten over hem te nemen of om zijn
persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te
voorspellen. (22)
Wanneer uit hoofde van het internationale
publiekrecht de nationale wet van een lidstaat van toepassing is, dient deze
verordening ook van toepassing te zijn op een voor de verwerking
verantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld actief is
bij een diplomatieke vertegenwoordiging of een consulaire post. (23)
De beschermingsbeginselen moeten voor elk gegeven
betreffende een geïdentificeerde of identificeerbare persoon gelden. Om te
bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking
te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door de
voor de verwerking verantwoordelijke, of door ieder ander worden gebruikt om de
persoon te identificeren. De beschermingsbeginselen dienen niet van toepassing
te zijn op gegevens die zodanig anoniem zijn gemaakt dat de persoon op wie die
gegevens betrekking hebben, niet meer identificeerbaar is. (24)
Bij het gebruik van onlinediensten kunnen
natuurlijke personen worden gekoppeld aan online-identificatiemiddelen via hun
apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol
(IP)-adressen en identificatiecookies. Dit kan sporen achterlaten die, in combinatie
met unieke identificatoren en andere door de servers ontvangen informatie,
kunnen worden gebruikt om profielen op te stellen van personen en personen te
herkennen. Identificatienummers, locatiegegevens, online-identificatiemiddelen
en andere specifieke factoren hoeven dus niet onder alle omstandigheden als
persoonsgegevens te worden beschouwd. (25)
Toestemming dient uitdrukkelijk te worden gegeven
op elke passende wijze die de gebruiker in staat stelt door middel van hetzij
een verklaring, hetzij een ondubbelzinnige, actieve handeling vrijelijk een
specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, teneinde te
waarborgen dat personen er zich bewust van zijn dat zij toestemming geven voor
de verwerking van persoonsgegevens, bijvoorbeeld door bij een bezoek aan een
internetwebsite op een vakje te klikken, of door een andere verklaring of een
andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene
instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilte of
inactiviteit dient derhalve niet als toestemming te gelden. De toestemming
dient te gelden voor alle verwerkingsactiviteiten die hetzelfde doel of
dezelfde doelen dienen. Indien de betrokkene zijn toestemming moet geven na een elektronisch
verzoek, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend
voor het gebruik van de betrokken dienst. (26)
Persoonsgegevens betreffende de gezondheid dienen
met name alle gegevens te omvatten die betrekking hebben op de
gezondheidstoestand van de betrokkene, informatie over de registratie van de
persoon voor de verlening van gezondheidsdiensten, informatie over betalingen
of voorwaarden voor gezondheidszorg met betrekking tot de persoon; een aan een
persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van
de persoon geldt voor gezondheidsdoeleinden; informatie over de persoon die
tijdens de verstrekking van gezondheidszorg aan hem is verzameld; informatie
die voortkomt uit het testen of onderzoeken van een lichaamsdeel of
lichaamseigen stof, met inbegrip van biologische monsters; de identificatie van
een persoon als verstrekker van gezondheidszorg aan de betrokkene; of
informatie over bv. ziekte, handicap, ziekterisico, medische voorgeschiedenis,
klinische behandeling of de feitelijke fysiologische of biomedische staat van
de betrokkene, ongeacht de bron, zoals een arts of een andere
gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een
in-vitrodiagnostiek. (27)
De belangrijkste vestiging van een voor de
verwerking verantwoordelijke in de Unie dient te worden bepaald op grond van
objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van
beheersactiviteiten door een vaste vestiging, waar de voornaamste besluiten
worden genomen over het doel van en de voorwaarden en de middelen voor de
verwerking van persoonsgegevens. Dit criterium dient los te staan van het feit
of de verwerking van de persoonsgegevens daadwerkelijk op die locatie
plaatsvindt; de aanwezigheid en het gebruik van technische middelen en
technologieën voor de verwerking van persoonsgegevens of
verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en
zijn dan ook geen doorslaggevende criteria om te bepalen of het om een
belangrijkste vestiging gaat. De belangrijkste vestiging van de verwerker dient
de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt. (28)
Een groep van ondernemingen dient te bestaan uit
een onderneming die zeggenschap uitoefent en de ondernemingen waarover
zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent
de onderneming dient te zijn die overheersende invloed kan uitoefenen over de
andere ondernemingen uit hoofde van eigendom, financiële deelneming of op haar
van toepassing zijnde voorschriften, of op grond van de bevoegdheid om
voorschriften inzake de bescherming van persoonsgegevens te doen uitvoeren. (29)
Kinderen verdienen met betrekking tot hun
persoonsgegevens extra bescherming, aangezien zij zich allicht minder bewust
zijn van de risico’s, gevolgen, beschermingsmaatregelen en rechten in verband
met de verwerking van persoonsgegevens. Voor de vaststelling of een persoon een
kind is, dient in deze verordening de in het VN-Verdrag inzake de rechten van
het kind vervatte definitie te worden overgenomen. (30)
Elke verwerking van persoonsgegevens dient ten
opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden.
Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt
expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van
de gegevens. De gegevens dienen adequaat, ter zake dienend te zijn en beperkt
te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij
worden verwerkt; derhalve dient er met name voor te worden gezorgd dat de
verzamelde gegevens niet excessief zijn en dat de opslagperiode van de gegevens
tot een strikt minimum wordt beperkt. Persoonsgegevens dienen alleen te worden
verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden
verwezenlijkt. Alle redelijke maatregelen worden genomen om te zorgen dat
onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen
dat gegevens niet langer worden bewaard dan nodig is, dient de voor de
verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens
of voor een periodieke toetsing. (31)
Voor rechtmatige verwerking van persoonsgegevens is
toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag
waarin de wet voorziet, hetzij in deze verordening, hetzij in andere wetgeving
van de Unie of van de lidstaten als bedoeld in deze verordening. (32)
Wanneer de verwerking plaatsvindt op grond van
toestemming van de betrokkene, dient het bewijs dat de betrokkene toestemming
heeft gegeven voor de verwerking te worden geleverd door de voor de verwerking
verantwoordelijke. Met name in de context van een schriftelijke verklaring over
een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust
is dat hij toestemming geeft en hoever deze toestemming reikt. (33)
Om te waarborgen dat het om vrije toestemming gaat,
dient duidelijk te worden gemaakt dat toestemming geen geldige rechtsgrondslag
is wanneer de betrokkene geen echte vrije keuze heeft en zijn toestemming
derhalve niet kan weigeren of intrekken zonder nadelige gevolgen. (34)
Toestemming kan geen rechtsgrondslag voor
verwerking zijn wanneer er sprake is van een duidelijke onevenwichtigheid
tussen de betrokkene en de voor de verwerking verantwoordelijke. Dit is met
name het geval wanneer de betrokkene zich in een situatie van afhankelijkheid
jegens de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn
persoonsgegevens worden verwerkt door zijn werkgever. Wanneer de voor de
verwerking verantwoordelijke een overheidsinstantie is, zou er alleen sprake
zijn van een onevenwichtigheid bij specifieke gegevensverwerkingsoperaties als
deze overheidsinstantie krachtens haar overheidsbevoegdheden een verplichting
kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil
gegeven, gelet op het belang van de betrokkene. (35)
Verwerking die nodig is in het kader van een
contract of een voorgenomen contract, dient rechtmatig te zijn. (36)
Wanneer de verwerking wordt verricht omdat de voor
de verwerking verantwoordelijke hiertoe wettelijk is verplicht of wanneer de
verwerking nodig is voor de vervulling van een taak van algemeen belang dan wel
voor een taak in het kader van de uitoefening van het openbaar gezag, dient de
verwerking een rechtsgrondslag te hebben in de EU-wetgeving of in een wet van
de lidstaat die voldoet aan de in het Handvest van de grondrechten van de
Europese Unie vervatte vereisten voor beperkingen van de rechten en vrijheden.
Ook dient in de wetgeving van de Unie of de lidstaten te worden vastgesteld of
de voor de verwerking verantwoordelijke die belast is met een taak van algemeen
belang dan wel met een taak in het kader van de uitoefening van het openbaar
gezag een overheidsdienst of een andere publiekrechtelijke of
privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn. (37)
De verwerking van persoonsgegevens dient ook als
geoorloofd te worden beschouwd wanneer zij nodig is voor de bescherming van een
belang dat voor het leven van de betrokkene essentieel is. Het gerechtvaardigde
belang van een voor de verwerking verantwoordelijke kan een rechtsgrondslag
voor verwerking bieden, mits het belang of de rechten en vrijheden van de
betrokkene niet prevaleren. Hierbij is een zorgvuldige beoordeling geboden, met
name wanneer de betrokkene een kind is, aangezien kinderen specifieke
bescherming verdienen. De betrokkene dient het recht te hebben kosteloos
bezwaar te maken tegen de verwerking op gronden die verband houden met zijn
bijzondere situatie. Om transparantie te waarborgen dient de voor de verwerking
verantwoordelijke te worden verplicht de betrokkene uitdrukkelijk over de
gerechtvaardigde belangen die worden nagestreefd en het recht van bezwaar te
informeren, en ook te worden verplicht deze gerechtvaardigde belangen te
staven. Aangezien het aan de wetgever is om de rechtsgrondslag te creëren voor gegevensverwerking
door overheidsinstanties, dient deze rechtsgrond niet van toepassing te zijn op
de verwerking door overheidsinstanties in het kader van de uitvoering van hun
taken. (38)
De verwerking van verkeersgegevens voor zover die
strikt noodzakelijk is met het oog op netwerk- en informatieveiligheid, d.w.z.
dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau
bestand is tegen incidentele gebeurtenissen of onwettige of kwaadaardige acties
die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van
opgeslagen of doorgegeven gegevens in het gedrang brengen, en de beveiliging
van de desbetreffende diensten die door deze netwerken en systemen worden
geboden of via deze toegankelijk zijn, door overheidsinstanties, responsteams
voor computernoodgevallen (Computer Emergency Response Teams, CERT’s),
computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT’s)
aanbieders van elektronische communicatienetwerken of –diensten en aanbieders
van beveiligingstechnologie en -diensten, is een gerechtvaardigd belang van de
voor de verwerking verantwoordelijke. Zo kan er bijvoorbeeld sprake zijn van
het verhinderen van onbevoegde toegang tot elektronischecommunicatienetwerken
en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial
of service”- aanvallen en van schade aan computers en
elektronischecommunicatiesystemen. (39)
De verwerking van persoonsgegevens voor andere
doeleinden dient alleen te worden toegestaan als de verwerking verenigbaar is
met de doeleinden waarvoor de gegevens in eerste instantie zijn verzameld, met
name wanneer de verwerking nodig is voor historisch, statistisch of
wetenschappelijk onderzoek. Wanneer het andere doeleinde niet verenigbaar is
met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld, dient de
voor de verwerking verantwoordelijke toestemming van de betrokkene te
verkrijgen voor de verwerking voor dit andere doeleinde of de verwerking op een
andere rechtsgrondslag te baseren, in het bijzonder wanneer hierin wordt
voorzien door de wetgeving van de Unie of door de wetgeving van de lidstaat
waaraan de voor de verwerking verantwoordelijke onderworpen is. Er dient in
ieder geval voor te worden gezorgd dat de in deze verordening vervatte
beginselen worden toegepast en dat de betrokkene wordt geïnformeerd over
dergelijke andere doeleinden. (40)
Persoonsgegevens die door hun aard bijzonder
gevoelig en kwetsbaar zijn wat betreft de grondrechten of de persoonlijke
levenssfeer, verdienen specifieke bescherming. Dergelijke gegevens dienen niet
te worden verwerkt, tenzij de betrokkene hier uitdrukkelijk toestemming voor
geeft. Niettemin dient uitdrukkelijk in uitzonderingen op dit verbod te worden
voorzien met het oog op specifieke behoeften, met name wanneer de verwerking
wordt verricht in het kader van wettige activiteiten door bepaalde verenigingen
of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden
mogelijk te maken. (41)
Er dient ook van het verbod op de verwerking van
categorieën gevoelige gegevens te kunnen worden afgeweken, indien de wet hierin
voorziet en er passende waarborgen worden geboden ter bescherming van
persoonsgegevens en andere grondrechten, op grond van een zwaarwegend algemeen
belang en in het bijzonder voor gezondheidsdoeleinden, zoals volksgezondheid en
sociale bescherming en het beheer van gezondheidsdiensten, met name om de
kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de
afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de
ziektekostenverzekering of voor historisch, statistisch en wetenschappelijk
onderzoek. (42)
Bovendien vindt de verwerking van persoonsgegevens
door overheidsinstanties ter verwezenlijking van in het constitutionele recht
of in het volkenrecht vastgelegde doelstellingen van officieel erkende
religieuze verenigingen plaats op grond van een algemeen belang. (43)
Als het bij verkiezingsactiviteiten voor de goede
werking van de democratie in een lidstaat vereist is dat politieke partijen
gegevens over de politieke opvattingen van personen verzamelen, kan de
verwerking van zulke gegevens op grond van een algemeen belang worden
toegelaten, mits er passende garanties worden vastgesteld. (44)
Wanneer de door de voor de verwerking
verantwoordelijke in de door hem verwerkte gegevens geen natuurlijk persoon kan
identificeren, hoeft hij niet te worden verplicht om, uitsluitend om aan een
bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen
ter identificatie van de betrokkene. Bij een verzoek om toegang moet de voor de
verwerking verantwoordelijke bevoegd zijn de betrokkene aanvullende informatie
te vragen om de gezochte persoonsgegevens te kunnen vinden. (45)
Overeenkomstig het transparantiebeginsel moet
informatie die bestemd is voor het publiek of de betrokkene eenvoudig
toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden
gebruikt. Dit geldt in het bijzonder voor onlineadvertenties en andere
situaties waarin het door zowel het grote aantal spelers als de technologische
complexiteit van de praktijk voor een individu moeilijk is te weten en te
begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld.
Aangezien kinderen specifieke bescherming verdienen, dient wanneer de
verwerking specifiek betrekking heeft op een kind, de informatie en communicatie
in zulke duidelijke en eenvoudige taal te worden gesteld dat het kind deze
gemakkelijk kan begrijpen. (46)
Er dienen procedures te worden vastgesteld om de
betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening uit
te oefenen, zoals mechanismen om kosteloos te verzoeken om, met name, toegang
tot gegevens, rectificatie, uitwissing en uitoefening van het recht van
bezwaar. De voor de verwerking verantwoordelijke dient verplicht te zijn binnen
een gestelde termijn te reageren op een verzoek van de betrokkene en een
eventuele weigering om gehoor te geven aan het verzoek van de betrokkene te
motiveren. (47)
Overeenkomstig de beginselen van eerlijke en
transparante verwerking dient de betrokkene met name te worden ingelicht over
het feit dat er verwerking plaatsvindt en waartoe, en te worden gewezen op de
bewaringstermijn van de gegevens, het recht van toegang, rectificatie of
uitwissing, en het recht een klacht in te dienen. Indien de gegevens van de
betrokkene moeten worden verkregen, dient hem te worden medegedeeld of hij
verplicht is de gegevens te verstrekken en wat de gevolgen zijn van
niet-verstrekking van de gegevens. (48)
De informatie over de verwerking van
persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het
verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn
verkregen, binnen redelijke tijd, naargelang de specifieke omstandigheden.
Wanneer de gegevens rechtmatig kunnen worden verstrekt aan een andere
ontvanger, dient de betrokkene te worden meegedeeld wanneer de gegevens voor
het eerst aan de ontvanger worden verstrekt. (49)
Deze verplichting is echter overbodig wanneer de
betrokkene al over deze informatie beschikt, of wanneer de vastlegging of
mededeling van de gegevens uitdrukkelijk bij wet is voorgeschreven of de
verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig
veel moeite zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer
verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek;
hierbij mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe
oud de gegevens zijn en welke compenserende maatregelen kunnen worden
getroffen. (50)
Eenieder dient over het recht te beschikken om
toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit
recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de
hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke
betrokkene dient er dan ook recht op te hebben, te weten en te worden
meegedeeld voor welke doeleinden de gegevens worden verwerkt, hoe lang zij
worden bewaard, welke ontvangers de gegevens ontvangen, welke logica er ten
grondslag ligt aan de verwerking van de gegevens en, ten minste wanneer de
verwerking op profilering is gebaseerd, wat de gevolgen zouden kunnen zijn van
een dergelijke verwerking. Dit recht dient geen afbreuk te doen aan de rechten
en vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele
eigendom en met name aan het auteursrecht dat de software beschermt. Deze
overwegingen mogen er echter niet toe leiden dat de betrokkene alle informatie
wordt onthouden. (51)
De voor de verwerking verantwoordelijke dient, met
name met betrekking tot onlinediensten en online-identificatiemiddelen, alle
redelijke maatregelen te nemen om de identiteit te controleren van een
betrokkene die om toegang verzoekt. Een voor de verwerking verantwoordelijke
dient persoonsgegevens niet uitsluitend te bewaren om op eventuele verzoeken te
kunnen reageren. (52)
Eenieder dient het recht te hebben persoonsgegevens
over zichzelf te laten rectificeren en het “recht om te worden vergeten”, als
het bewaren van dergelijke gegevens niet in overeenstemming is met deze
verordening. Betrokkenen dienen met name het recht te hebben dat hun
persoonsgegevens worden uitgewist en niet verder worden verwerkt als de
gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld
of anderszins verwerkt, als de betrokkenen hun toestemming voor de verwerking
hebben ingetrokken of bezwaar maken tegen de verwerking van hun
persoonsgegevens, of als de verwerking van hun persoonsgegevens op een ander
punt niet met deze verordening in overeenstemming is. Dit recht is uitermate
relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij
zich nog niet volledig bewust was van de risico’s van verwerking, en dergelijke
persoonsgegevens later wil verwijderen, met name van het internet. (53)
Gegevens dienen echter langer te kunnen worden
bewaard als dit nodig is voor historisch, statistisch en wetenschappelijk
onderzoek, om redenen van algemeen belang op het gebied van de volksgezondheid,
voor de uitoefening van het recht op vrijheid van meningsuiting, wanneer de wet
dit voorschrijft of wanneer er een reden is om de verwerking van gegevens te
beperken in plaats van de gegevens te wissen. (54)
Ter versterking van het “recht om te worden
vergeten” door onlinetoepassingen, dient het recht op uitwissing van gegevens
zodanig te worden uitgebreid, dat de voor de verwerking verantwoordelijke die
de persoonsgegevens openbaar heeft gemaakt, verplicht is derden die dergelijke
gegevens verwerken, ervan op de hoogte te stellen dat de betrokkene hun
verzoekt iedere koppeling met, of kopie of reproductie van die persoonsgegevens
uit te wissen. De voor de verwerking verantwoordelijke dient alle redelijke
maatregelen te nemen, waaronder technische maatregelen, om te waarborgen dat
voor gegevens waarvan de openbaarmaking zijn verantwoordelijkheid is, deze
derden daadwerkelijk worden geïnformeerd. Ten aanzien van openbaarmaking van
persoonsgegevens door een derde dient de voor de verwerking verantwoordelijke
te worden beschouwd als verantwoordelijk voor de openbaarmaking als hij de
derde toestemming heeft verleend voor de openbaarmaking. (55)
Om de controle over hun eigen gegevens en hun recht
van toegang verder te versterken, dienen, wanneer persoonsgegevens elektronisch
en in een gestructureerd en algemeen gebruikt formaat worden verwerkt,
betrokkenen het recht te hebben om van de gegevens over hen ook een kopie in
een elektronisch en algemeen gebruikt formaat te ontvangen. De betrokkenen
dienen deze door hen verstrekte gegevens ook van de ene geautomatiseerde
toepassing, zoals een sociaal netwerk, naar de andere te kunnen doorgeven. Dit
dient van toepassing te zijn wanneer de betrokkenen de gegevens aan het
geautomatiseerde verwerkingssysteem heeft verstrekt, door toestemming te geven
dan wel een overeenkomst uit te voeren. (56)
Wanneer persoonsgegevens rechtmatig kunnen worden
verwerkt ter vrijwaring van een vitaal belang van de betrokkene, of op grond
van een algemeen belang, overheidsgezag of een wettig belang van een voor de
verwerking verantwoordelijke, dient een betrokkene niettemin bezwaar te kunnen
maken tegen de verwerking van gegevens die op hem betrekking heeft. Het dient
aan de voor de verwerking verantwoordelijke te zijn om te bewijzen dat zijn
gerechtvaardigde belangen wellicht zwaarder wegen dan de grondrechten en
fundamentele vrijheden van de betrokkene. (57)
Wanneer persoonsgegevens worden verwerkt ten
behoeve van direct marketing, dient de betrokkene het recht te hebben om hier
op eeenvoudige en doeltreffende wijze kosteloos bezwaar tegen te maken. (58)
Iedere natuurlijke persoon dient het recht te
hebben niet te worden onderworpen aan een maatregel die is gebaseerd op
profilering door middel van geautomatiseerde verwerking. Een dergelijke
maatregel dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is
toegestaan bij de wet of wordt genomen in het kader van het sluiten of
uitvoeren van een overeenkomst of wanneer de betrokkene zijn toestemming heeft
gegeven. Op een dergelijke verwerking dienen passende waarborgen van toepassing
te zijn, waaronder specifieke informering van de betrokkene, het recht op
menselijke tussenkomst en de bepaling dat een dergelijke maatregel geen
betrekking mag hebben op kinderen. (59)
In de wetgeving van de Unie of de wetgeving van de
lidstaten kunnen beperkingen worden gesteld aan de specifieke beginselen en de
rechten van informatie, toegang, rectificatie, uitwissing, gegevensoverdraagbaarheid
en bezwaar, alsook aan maatregelen gebaseerd op profilering, aan de melding aan
de betrokkene van een inbreuk op persoonsgegevens en aan bepaalde daarmee
verband houdende verplichtingen van de voor de verwerking verantwoordelijken,
wanneer dat in een democratische samenleving noodzakelijk en proportioneel is
voor het beschermen van de openbare veiligheid, waaronder de bescherming van
het menselijk leven – met name bij natuurlijke of door de mens veroorzaakte
rampen–, voor het voorkomen, onderzoeken en vervolgen van strafbare feiten of
van schendingen van de beroepscodes voor gereglementeerde beroepen, voor het
beschermen van andere algemene belangen van de Unie of een lidstaat, met name
een gewichtig economisch of financieel belang van de Unie of een lidstaat, of
voor het beschermen van de betrokkene of de rechten en vrijheden van anderen.
Deze beperkingen moeten in overeenstemming zijn met de vereisten van het
Handvest van de grondrechten van de Europese Unie en het Europees Verdrag tot bescherming
van de rechten van de mens en de fundamentele vrijheden. (60)
Er dient te worden voorzien in alomvattende
verantwoordelijkheid en aansprakelijkheid van de voor de verwerking
verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor
de verwerking verantwoordelijke. Met name dient de voor de verwerking
verantwoordelijke erop toe te zien en te worden verplicht aan te tonen dat elke
verwerking overeenkomstig deze verordening geschiedt. (61)
Ter bescherming van de rechten en vrijheden van de
betrokkenen in verband met de verwerking van persoonsgegevens zijn zowel bij
het ontwerpen als bij de uitvoering van de verwerking passende technische en
organisatorische maatregelen nodig, om te waarborgen dat aan de bepalingen van
deze verordening wordt voldaan. Teneinde overeenstemming met deze verordening
te waarborgen en aan te tonen, dient de voor de verwerking verantwoordelijke
intern beleid vast te stellen en passende maatregelen te treffen, die in het
bijzonder voldoen aan de beginselen inzake privacy by design en by default. (62)
Het is voor de bescherming van de rechten en
vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van
voor de verwerking verantwoordelijken en verwerkers noodzakelijk, onder meer
wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten
betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op
duidelijke wijze worden toegekend, ook wanneer de voor de verwerking
verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking
samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer
een verwerking wordt uitgevoerd namens een voor de verwerking
verantwoordelijke. (63)
Wanneer de verwerking van persoonsgegevens van in
de Unie wonende betrokkenen door een niet in de Unie gevestigde verwerker
verband houdt met het aanbieden van goederen of diensten aan dergelijke
betrokkenen of met het observeren van hun gedrag, dient de voor de verwerking
verantwoordelijke een vertegenwoordiger aan te wijzen, tenzij de voor de
verwerking verantwoordelijke is gevestigd in een derde land dat een passend
beschermingsniveau waarborgt, de voor de voor de verwerking verantwoordelijke
een kleine of middelgrote onderneming of een overheidsinstantie of –lichaam is,
of de voor de verwerking verantwoordelijke dergelijke betrokkenen slechts
incidenteel goederen of diensten aanbiedt. De vertegenwoordiger dient namens de
voor de verwerking verantwoordelijke op te treden en kan door iedere
toezichthoudende autoriteit worden benaderd. (64)
Om uit te maken of een voor de verwerking
verantwoordelijke slechts incidenteel goederen en diensten aanbiedt aan
betrokkenen die in de Unie wonen, dient te worden vastgesteld of uit de
algemene activiteiten van de voor de verwerking verantwoordelijke duidelijk
blijkt dat het aanbieden van goederen en diensten aan dergelijke betrokkenen
slechts een nevenactiviteit is. (65)
Voor het aantonen van overeenstemming met deze
verordening dient de voor de verwerking verantwoordelijke of de verwerker elke
verwerking te documenteren. Elke voor de verwerking verantwoordelijke en elke
verwerker dient ertoe te worden verplicht medewerking te verlenen aan de
toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met
het oog op het gebruik daarvan voor het toezicht op verwerkingsactiviteiten. (66)
Teneinde de veiligheid te waarborgen en te
voorkomen dat verwerking plaatsvindt die strijdig is met deze verordening,
dienen de voor de verwerking verantwoordelijke en de verwerker de risico’s die
de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico’s
te beperken. Deze maatregelen dienen een passend niveau van veiligheid te
waarborgen, rekening houdend met de stand van de techniek en de kosten van de
tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de
te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van
technische normen en organisatorische maatregelen voor de veiligheid van de
verwerking dient de Commissie technologische neutraliteit, interoperabiliteit
en innovatie te bevorderen en zo nodig samen te werken met derde landen. (67)
Een inbreuk op de persoonlijke gegevens kan,
wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor
de betrokkene aanzienlijk economisch verlies en maatschappelijke schade,
inclusief identiteitsfraude, tot gevolg hebben. Zodra een voor de verwerking
verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient
hij de toezichthoudende autoriteit daarvan dan ook onverwijld, en waar mogelijk
binnen 24 uur, op de hoogte te stellen. Wanneer dit niet binnen 24 uur kan
worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring
voor de vertraging. Wanneer de inbreuk negatieve gevolgen kan hebben voor de
persoonsgegevens, dienen de betrokkenen daarvan zonder onnodig uitstel in
kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen
treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor de
persoonsgegevens of de persoonlijke levenssfeer van een betrokkene, wanneer die
inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude,
lichamelijke schade, ernstige vernedering of aantasting van de reputatie. De
kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens
te vermelden als aanbevelingen over hoe de betrokkene mogelijke negatieve
gevolgen kan beperken. De betrokkenen dienen zo snel als redelijkerwijs
mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met
inachtneming van de door haarzelf of andere relevante autoriteiten (zoals
rechtshandhavingsautoriteiten) aangereikte richtsnoeren, in kennis te worden
gesteld. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden
gesteld om hun de gelegenheid te bieden een onmiddellijke bedreiging te
beperken, terwijl een langere termijn gerechtvaardigd kan zijn als er passende
maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken. (68)
Om te bepalen of een inbreuk op persoonsgegevens
onverwijld aan de toezichthoudende autoriteit en de betrokkene is gemeld, dient
te worden vastgesteld of de voor de verwerking verantwoordelijke passende
technologische beschermingsmaatregelen en organisatorische maatregelen heeft
genomen om onmiddellijk uit te maken of inbreuk op persoonsgegevens heeft
plaatsgevonden en de toezichthoudende autoriteiten en de betrokkene zo snel
mogelijk te informeren, voordat er persoonlijke of economische belangen worden
geschaad, waarbij met name rekening dient te worden gehouden met de aard en
ernst van de inbreuk op de persoonsgegevens en de gevolgen en negatieve
effecten daarvan voor de betrokkene. (69)
Bij de vaststelling van gedetailleerde regels
betreffende het formaat en de procedures voor het melden van inbreuken in
verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de
omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens
al dan niet met behulp van adequate technische beschermingsmaatregelen waren
beschermd zodat de waarschijnlijkheid van identiteitsfraude of andere vormen
van misbreuk in de praktijk beperkt was. Bovendien dient bij dergelijke regels
en procedures rekening te worden gehouden met de gerechtvaardigde belangen van
de rechtshandhavingsautoriteiten in gevallen waarin vroegtijdige verstrekking
het onderzoek naar de omstandigheden van een inbreuk nodeloos zou hinderen. (70)
Richtlijn 95/46/EG voorzag in een algemene
verplichting om verwerking van persoonsgegevens aan de toezichthoudende
autoriteiten te melden. Deze verplichting leidt tot administratieve en financiële
lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van
de persoonsgegevens. Derhalve dient deze ongedifferentieerde algemene
kennisgevingsplicht te worden afgeschaft en te worden vervangen door
doeltreffende procedures en mechanismen die gericht zijn op
verwerkingsoperaties die naar hun aard, reikwijdte of doeleinden waarschijnlijk
specifieke risico’s voor de rechten en vrijheden van betrokkenen meebrengen. In
dergelijke gevallen dient de voor de verwerking verantwoordelijke of de
verwerker voorafgaand aan de verwerking een privacyeffectbeoordeling uit te
voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen
en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan
deze verordening is voldaan. (71)
Dit dient met name te gelden voor nieuw opgezette
grootschalige bestanden die bedoeld zijn voor het verwerken van een
aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of
supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou
kunnen ondervinden. (72)
Onder bepaalde omstandigheden kan het verstandig en
nuttig zijn dat de privacyeffectbeoordeling zich niet beperkt tot een enkel
project, bijvoorbeeld wanneer overheidsinstanties of ‑lichamen een
gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer
meerdere voor de verwerking verantwoordelijken van plan zijn een
gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een
hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale
activiteit. (73)
Privacyeffectbeoordelingen dienen te worden
verricht door een overheidsinstantie of –lichaam, indien een dergelijke
beoordeling niet al is uitgevoerd in het kader van de aanneming van de
nationale wet waarop de vervulling van de taken van de overheidsinstantie of
het overheidslichaam is gebaseerd en waarin de specifieke verwerking of reeks
verwerkingen wordt geregeld. (74)
Wanneer een privacyeffectbeoordeling uitwijst dat
verwerking bijvoorbeeld door het gebruik van specifieke nieuwe technologieën
gepaard gaat met grote specifieke risico’s voor de rechten en vrijheden van
betrokkenen, zoals het uitsluiten van personen van hun recht, dienen voor het
begin van de verwerkingen de toezichthoudende autoriteiten te worden
geraadpleegd over gevoelige activiteiten die mogelijk niet in overeenstemming
zijn met deze verordening, en zijn voorstellen geboden om de situatie te
verbeteren. Een dergelijke raadpleging dient ook te worden uitgevoerd in het
kader van de voorbereiding van een door het nationale parlement aan te nemen
maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard
van de verwerking is omschreven en passende waarborgen zijn opgenomen. (75)
Wanneer de verwerking wordt uitgevoerd in de
overheidssector of wanneer de verwerking in de particuliere sector wordt
uitgevoerd door een grote onderneming, of wanneer de kernactiviteiten, ongeacht
de grootte van de onderneming, verwerkingen omvatten die regelmatig en
stelselmatig toezicht vereisen, dient iemand de voor de verwerking
verantwoordelijke of de verwerker bij te staan bij het toezicht op de interne
naleving van deze verordening. Dergelijke functionarissen voor
gegevensbescherming dienen in staat te zijn hun taken en verplichtingen
onafhankelijk te vervullen, of zij nu in dienst van de voor de verwerking
verantwoordelijke zijn of niet. (76)
Verenigingen en andere organen die categorieën van
voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, dienen
te worden aangemoedigd om gedragscodes op te stellen, binnen de grenzen van
deze verordening, teneinde de doeltreffende uitvoering van deze verordening in
de praktijk te bevorderen, rekening houdend met het specifieke karakter van de
verwerkingen in sommige sectoren. (77)
Teneinde de transparantie en naleving van deze
verordening te versterken, dient het instellen van certificeringsmechanismen en
gegevensbeschermingszegels en ‑merktekens te worden bevorderd, zodat
betrokkenen snel het beschermingsniveau van relevante producten en diensten
kunnen beoordelen. (78)
Grensoverschrijdend verkeer van persoonsgegevens is
noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de
internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen
en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens.
Wanneer persoonsgegevens echter van de Unie naar derde landen of internationale
organisaties worden overgedragen, mag dit niet ten koste gaan van het
beschermingsniveau waarvan personen in de Unie door deze verordening verzekerd
zijn. Doorgifte naar derde landen mag in ieder geval alleen plaatsvinden in
volledige overeenstemming met deze verordening. (79)
Deze verordening doet geen afbreuk aan
internationale overeenkomsten die de Unie en derde landen hebben gesloten om de
doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de
betrokkenen zijn opgenomen. (80)
De Commissie kan besluiten, met rechtskracht voor
de gehele Unie, dat bepaalde derde landen, of een gebied of een
verwerkingssector in een derde land, of een internationale organisatie een
passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de
gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde
landen of internationale organisaties die geacht worden een dergelijk
beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de
betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk
is. (81)
Overeenkomstig de fundamentele waarden waarop de
Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten,
dient de Commissie bij haar beoordeling van het derde land in aanmerking te
nemen in welke mate de rechtsstaat, de toegang tot de rechter en de
internationale mensenrechtennormen in het derde land worden geëerbiedigd. (82)
De Commissie kan tevens besluiten dat een derde
land, een gebied of een verwerkingssector in een derde land, of een
internationale organisatie geen passend beschermingsniveau waarborgt. De
doorgifte van persoonsgegevens naar dat derde land dient dan te worden verboden.
Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen
de Commissie en de betrokken derde landen en internationale organisaties. (83)
Indien er geen besluit is genomen waarbij een
beschermingsniveau passend wordt verklaard, dient de voor de verwerking
verantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende
niveau van gegevensbescherming in een derde land te verhelpen door middel van
passende waarborgen voor de betrokkenen. Dergelijke passende maatregelen kunnen
erin bestaan gebruik te maken van bindende bedrijfsvoorschriften,
modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de
Commissie, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door
een toezichthoudende autoriteit of contractbepalingen die zijn goedgekeurd door
een toezichthoudende autoriteit, of andere geschikte en evenredige maatregelen
die gerechtvaardigd zijn in het licht van alle omstandigheden van een
gegevensbewerking of een reeks van gegevensbewerkingen en die zijn goedgekeurd
door een toezichthoudende autoriteit. (84)
Dat de voor de verwerking verantwoordelijke of
verwerker kan gebruikmaken van modelbepalingen inzake gegevensbescherming die
zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet
in te houden dat hij de modelbepalingen inzake gegevensbescherming niet in een
bredere overeenkomst mag opnemen of geen andere bepalingen mag toevoegen, mits
deze niet direct of indirect in tegenspraak zijn met de door de Commissie of
een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en
geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de
betrokkenen. (85)
Een bedrijfsconcern dient voor zijn internationale
doorgiften uit de Unie naar organisaties binnen hetzelfde bedrijfsconcern te
kunnen gebruikmaken van goedgekeurde bindende bedrijfsregels, mits daarin
bepaalde essentiële beginselen en afdwingbare rechten zijn vastgelegd die
passende waarborgen bieden ten aanzien van de doorgifte of categorieën van
doorgiften van persoonsgegevens. (86)
Doorgifte dient mogelijk te zijn in bepaalde
gevallen waarin de betrokkene daartoe toestemming heeft gegeven, wanneer de
doorgifte nodig is in het kader van een overeenkomst of van een
rechtsvordering, wanneer in de wetgeving van de Unie of van de lidstaat
vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer
het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is
voor raadpleging door het publiek of personen met een gerechtvaardigd belang.
In het laatste geval dient bij een dergelijke doorgifte niet de totaliteit van
de in dit register opgenomen gegevens of categorieën gegevens te worden
verstrekt en wanneer een register bedoeld is voor raadpleging door personen met
een gerechtvaardigd belang, dient de doorgifte slechts plaats te vinden op
verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd. (87)
Deze afwijkingen dienen met name te gelden voor
gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen
belang, zoals internationale gegevensuitwisselingen tussen
mededingingsautoriteiten, belasting- of douanediensten, financiële
toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de
sociale zekerheid of de autoriteiten belast met de voorkoming, het onderzoek,
de opsporing en de vervolging van strafbare feiten. (88)
Doorgiften die niet als frequent of massaal kunnen
worden aangemerkt, dienen ook mogelijk te zijn voor gerechtvaardigde belangen
van door de voor de verwerking verantwoordelijke of de verwerker, indien hij
alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. Met
betrekking tot de verwerking voor historische, statistische of
wetenschappelijke doeleinden dient rekening te worden gehouden met de
gewettigde verwachting van de maatschappij dat er wordt gestreefd naar
vermeerdering van kennis. (89)
Wanneer de Commissie niet heeft besloten of het
niveau van gegevensbescherming in een derde land passend is, dient de voor de
verwerking verantwoordelijke in elk geval gebruik te maken van oplossingen die
de betrokkenen ook na de doorgifte van hun gegevens verzekeren van de rechten
en waarborgen die in de Unie gelden voor gegevensverwerking. (90)
Sommige derde landen stellen wetten,
bestuursrechtelijke bepalingen en andere rechtsvoorschriften vast waarmee wordt
beoogd de gegevensverwerkingsactiviteiten van natuurlijke en rechtspersonen die
onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. De
extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en
andere rechtsvoorschriften kan in strijd zijn met het internationaal recht en
een belemmering vormen voor de bij deze verordening gegarandeerde bescherming
van personen in de Unie. Doorgiften dienen alleen te kunnen plaatsvinden
wanneer wordt voldaan aan de voorwaarden die in deze verordening worden gesteld
aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer
verstrekking nodig is voor een algemeen belang dat erkend is in het Unierecht
of in het recht van de lidstaat waarvan de voor de verwerking verantwoordelijke
onderdaan is. Het is aan de Commissie om door middel van een gedelegeerde
handeling vast te stellen wanneer er sprake is van zwaarwegende algemene
belangen. (91)
Bij grensoverschrijdend verkeer van
persoonsgegevens kan het voor personen moeilijker worden om hun
gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te
beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die
informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden
om klachten te behandelen of onderzoek te verrichten met betrekking tot
activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot
grensoverschrijdende samenwerking worden belemmerd door ontoereikende
preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en
praktische obstakels, zoals beperkte middelen. Nauwere samenwerking tussen de
toezichthoudende autoriteiten op het gebied van gegevensbescherming dient
daarom te worden bevorderd met het oog op de uitwisseling van informatie met
soortgelijke instanties in het buitenland. (92)
Het is voor de bescherming van personen in verband
met de verwerking van persoonsgegevens van wezenlijk belang dat in elke
lidstaat een toezichthoudende autoriteit wordt ingesteld die haar taken
volstrekt onafhankelijk uitvoert. De lidstaten hebben de mogelijkheid om in
overeenstemming met hun constitutionele, organisatorische en bestuurlijke
structuur meer dan één toezichthoudende autoriteit in te stellen. (93)
Wanneer een lidstaat meerdere toezichthoudende
autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om
ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan
de conformiteitstoetsing. De betrokken lidstaat dient met name de
toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt
voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een
vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het
Europees Comité voor gegevensbescherming en de Commissie te verzekeren. (94)
Iedere toezichthoudende autoriteit dient te
beschikken over passende financiële en personele middelen en de huisvesting en
infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader
van wederzijdse bijstand en samenwerking met andere toezichthoudende
autoriteiten in de Unie, effectief uit te voeren. (95)
De algemene voorwaarden voor de leden van de
toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden
vastgesteld en dienen met name te bepalen dat de leden hetzij door het
parlement, hetzij door de regering van de lidstaat worden benoemd, en
voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en
de positie van de leden. (96)
De toezichthoudende autoriteiten dienen toezicht te
houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen
en bij te dragen tot de consequente toepassing daarvan in de gehele Unie,
teneinde natuurlijke personen te beschermen in verband met de verwerking van
hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de
interne markt te vergemakkelijken. Daartoe dienen de toezichthoudende
autoriteiten met elkaar en met de Commissie samen te werken. (97)
Wanneer de verwerking van persoonsgegevens in het
kader van de activiteiten van een vestiging van een voor de verwerking
verantwoordelijke of een verwerker in Unie in meer dan één lidstaat
plaatsvindt, dient één enkele toezichthoudende autoriteit bevoegd te zijn voor
de uitoefening van het toezicht op de activiteiten van de voor de verwerking
verantwoordelijke of de verwerker in de hele Unie en de daarmee samenhangende
besluiten te nemen, teneinde de consequente toepassing van de richtlijn te
bevorderen, rechtszekerheid te bieden en de administratieve belasting voor
dergelijke voor de verwerking verantwoordelijken en verwerkers te verminderen. (98)
De bevoegde autoriteit die een dergelijk
éénloketsysteem aanbiedt, dient de toezichthoudende autoriteit te zijn van de
lidstaat waar de voor de verwerking verantwoordelijke of de verwerker zijn
belangrijkste vestiging heeft. (99)
Hoewel deze verordening ook van toepassing is op de
activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van
de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking
van persoonsgegevens door die instanties in het kader van hun gerechtelijke
taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van
gerechtelijke taken te vrijwaren. Deze ontheffing dient echter strikt beperkt
te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van
rechtszaken en niet te gelden voor andere activiteiten die rechters
overeenkomstig het nationale recht verrichten. (100)
Met het oog op een consequent toezicht en de
eenvormige handhaving van deze richtlijn in de gehele Unie dienen de
toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve
bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en
juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in
het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op
te treden. De toezichthoudende autoriteiten dienen hun onderzoeksbevoegdheden
met betrekking tot toegang tot lokalen uit te oefenen conform het Unierecht en
het recht van de lidstaten. Dit geldt met name voor de verplichting van
voorafgaande toestemming van een rechterlijke instantie. (101)
Iedere toezichthoudende autoriteit dient kennis te
nemen van klachten die door een betrokkene zijn ingediend en de zaak te
onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd,
heeft een voor het specifieke geval passende reikwijdte en kan worden
onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de
betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang
en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie
met een andere toezichthoudende autoriteit vereist, dient de betrokkene
tussentijdse informatie te worden verstrekt. (102)
De toezichthoudende autoriteiten dienen bij
voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor
de voor de verwerking verantwoordelijken en de verwerkers. (103)
De toezichthoudende autoriteiten dienen elkaar
wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op
de conformiteit van de toepassing en handhaving van deze verordening binnen de
interne markt. (104)
Iedere toezichthoudende autoriteit dient het recht
te hebben om deel te nemen aan gezamenlijke operaties van toezichthoudende
autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te
zijn binnen een vastgestelde termijn op het verzoek te reageren. (105)
Om te verzekeren dat deze verordening in de gehele
Unie consequent wordt toegepast, dient een conformiteitstoetsing te worden
vastgesteld voor samenwerking tussen de toezichthoudende autoriteiten en met de
Commissie. Deze toetsing dient met name te worden toegepast wanneer een
toezichthoudende autoriteit voornemens is een maatregel te nemen inzake
verwerkingen die betrekking hebben op het aanbieden van goederen of diensten
aan betrokkenen in meerdere lidstaten of op het toezicht op dergelijke
betrokkenen, of die aanzienlijke gevolgen kunnen hebben voor het vrije verkeer
van persoonsgegevens. Het dient ook van toepassing te zijn wanneer een
toezichthoudende autoriteit of de Commissie verzoekt om de aangelegenheid aan
de conformiteitstoetsing te onderwerpen. Deze toetsing dient geen afbreuk te
doen aan maatregelen die de Commissie kan nemen in de uitoefening van de
bevoegdheden die haar bij de Verdragen zijn toegekend. (106)
Bij de toepassing van de conformiteitstoetsing
dient het Europees Comité voor gegevensbescherming binnen een bepaalde termijn
een advies uitbrengen, indien een gewone meerderheid van stemmen van zijn leden
daartoe beslist of indien een toezichthoudende autoriteit of de Commissie
daarom verzoekt. (107)
Teneinde ervoor te zorgen dat de bepalingen van
deze verordening worden nageleefd, kan de Commissie hierover een advies
uitbrengen of een besluit vaststellen waarbij de toezichthoudende autoriteit
wordt verplicht haar ontwerpmaatregel in te trekken. (108)
Er kan dringend moeten worden opgetreden om de
belangen van de betrokkenen te beschermen, met name wanneer het gevaar bestaat
dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen
worden belemmerd. Derhalve dient een toezichthoudende autoriteit de
mogelijkheid te hebben om bij het verrichten van de conformiteitstoetsing
voorlopige maatregelen met een bepaalde geldigheidsduur vast te stellen. (109)
De verrichting van deze toetsing dient een
voorwaarde te zijn voor de rechtsgeldigheid en handhaving van het betrokken
besluit door een toezichthoudende autoriteit. In andere gevallen van
grensoverschrijdende relevantie kunnen de betrokken toezichthoudende
autoriteiten op bilaterale of multilaterale basis wederzijdse bijstand en
gezamenlijke onderzoeken uitvoeren zonder dat de conformiteitstoetsing hoeft te
worden verricht. (110)
Op het niveau van de Unie dient een Europees Comité
voor gegevensbescherming te worden ingesteld. Dit comité dient de bij artikel
29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in
verband met de verwerking van persoonsgegevens te vervangen. Het dient te
bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat
en de Europese Toezichthouder voor gegevensbescherming. De Commissie dient deel
te nemen aan zijn activiteiten. Het Europees Comité voor gegevensbescherming
dient bij te dragen tot de consistente toepassing van deze richtlijn in de
Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen
de toezichthoudende autoriteiten in de Unie te bevorderen. Het Europees Comité
voor gegevensbescherming dient bij de uitvoering van zijn taken onafhankelijk
op te treden. (111)
Iedere betrokkene dient het recht te hebben om een
klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een
beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn
rechten uit hoofde van deze verordening of indien de toezichthoudende
autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet
optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten
van de betrokkene. (112)
Alle organen, organisaties of verenigingen die de
bescherming van de rechten en belangen van betrokkenen in verband met de bescherming
van hun persoonsgegevens tot doel hebben en die volgens het recht van een
lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen
bij een toezichthoudende autoriteit of namens betrokkenen door wie zij naar
behoren zijn gemachtigd het recht op beroep in rechte uit te oefenen, en om
onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen
indien zij menen dat zich een inbreuk op persoonsgegevens heeft voorgedaan. (113)
Iedere natuurlijke persoon of rechtspersoon dient
het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende
autoriteit een beroep in rechte in te stellen. Een vordering tegen een
toezichthoudende autoriteit moet worden ingesteld bij de gerechten van de
lidstaat waar de toezichthoudende autoriteit gevestigd is. (114)
Teneinde de juridische bescherming van de
betrokkene te beschermen wanneer de bevoegde toezichthoudende autoriteit is
gevestigd in een andere lidstaat dan die waar de betrokkene woont, kan de
betrokkene alle organen, organisaties of verenigingen die de bescherming van de
rechten en belangen van betrokkenen in verband met de bescherming van hun
persoonsgegevens tot doel hebben, vragen om namens hem in de andere lidstaat
tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen. (115)
Wanneer de bevoegde toezichthoudende autoriteit in
een andere lidstaat is gevestigd en niet optreedt of onvoldoende maatregelen
heeft getroffen naar aanleiding van een klacht, kan de betrokkene de
toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft,
verzoeken om tegen die bevoegde toezichthoudende autoriteit een vordering in te
stellen bij de bevoegde gerechtelijke instantie in de andere lidstaat. De
beslissing of het passend is om gevolg te geven aan het verzoek, is aan de
aangezochte toezichthoudende autoriteit en kan worden onderworpen aan
rechterlijke toetsing. (116)
Voor procedures tegen een voor de verwerking
verantwoordelijke of een verwerker dient de verzoeker te kunnen kiezen om de
zaak aanhangig te maken bij een rechter in de lidstaat waar de voor de
verwerking verantwoordelijke of de verwerker een vestiging heeft, of dit te
doen in de lidstaat waar de betrokkene woont, tenzij de voor de verwerking
verantwoordelijke een overheidsinstantie is die krachtens overheidsbevoegdheid
handelt. (117)
De rechters dienen te worden verplicht contact met
elkaar op te nemen, wanneer er aanwijzingen zijn dat er parallelle procedures
aanhangig zijn bij rechters in andere lidstaten. De rechters dienen de
mogelijkheid te hebben een zaak op te schorten indien in een andere lidstaat
een parallelle zaak aanhangig is. De lidstaten dienen erop toe te zien dat bij
rechtsgedingen, met het oog op hun effectiviteit, snel maatregelen kunnen
worden getroffen om inbreuken op deze verordening te doen eindigen of te
voorkomen. (118)
De schade die betrokkenen ten gevolge van een
onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de
verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid
kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem
niet kan worden toegerekend, met name wanneer hij aantoont dat er sprake is van
een fout van de betrokkene of van overmacht. (119)
Er moet worden voorzien in sancties jegens iedere
persoon, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht
valt, die deze verordening niet naleeft. De lidstaten dienen erop toe te zien
dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle
maatregelen te nemen om de sancties ten uitvoer te leggen. (120)
Teneinde de administratieve sancties tegen
inbreuken op deze verordening te versterken en te harmoniseren dient iedere
toezichthoudende autoriteit bevoegd te zijn om administratieve overtredingen te
bestraffen. In deze verordening dienen de overtredingen te worden benoemd en
maxima te worden vastgesteld voor de daaraan verbonden administratieve
geldboeten, die evenredig moeten zijn met de betrokken situatie en per
afzonderlijk geval dienen te worden bepaald, met inachtneming van met name de
aard, de ernst en de duur van de inbreuk. De conformiteitstoetsing kan ook
worden gebruikt met betrekking tot verschillen bij de toepassing van
administratieve sancties. (121)
Voor de verwerking van persoonsgegevens voor
uitsluitend journalistieke doeleinden of voor artistieke en literaire
doeleinden dient te worden voorzien in uitzonderingen op een aantal bepalingen
van deze verordening teneinde het recht op bescherming van persoonsgegevens te
verzoenen met de regels betreffende de vrijheid van meningsuiting, inzonderheid
het recht om inlichtingen te ontvangen of te verstrekken, zoals dat met name
bij artikel 11 van het Handvest van de grondrechten van de Europese Unie wordt
gewaarborgd. Dit dient met name voor de verwerking van persoonsgegevens voor
audiovisuele doeleinden en in nieuws- en persarchieven te gelden. Derhalve
dienen de lidstaten wettelijke maatregelen te treffen om de uitzonderingen en
beperkingen vast te stellen die nodig zijn voor een juiste balans tussen deze
grondrechten. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast
te stellen met betrekking tot de algemene beginselen, de rechten van
betrokkenen, de voor de verwerking verantwoordelijke en de verwerker, de
doorgifte van gegevens naar derde landen of internationale organisaties, de
onafhankelijke toezichthoudende autoriteiten en samenwerking en conformiteit.
Zulks mag de lidstaten er evenwel niet toe bewegen te voorzien in
uitzonderingen op de andere bepalingen van deze verordening. Gelet op het
belang van het recht van vrijheid van meningsuiting in elke democratische
samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals
journalistiek, ruim te worden uitgelegd. Voor de in het kader van deze
verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten
activiteiten derhalve als “journalistiek” aan te merken, indien deze
activiteiten de bekendmaking aan het publiek van informatie, meningen of ideeën
tot doel hebben, ongeacht het voor de doorgifte gebruikte medium. Het hoeft
niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij
kunnen met of zonder winstoogmerk worden uitgevoerd. (122)
Voor de verwerking van persoonsgegevens betreffende
de gezondheid, als een speciale categorie gegevens waarvoor betere bescherming
is vereist, kunnen in verband met het belang van personen en de samenleving als
geheel vaak gegronde redenen worden aangevoerd, zoals met name het waarborgen
van de continuïteit van grensoverschrijdende gezondheidszorg. Derhalve dient
deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking
van persoonsgegevens betreffende de gezondheid, met specifieke en passende
waarborgen voor de bescherming van de grondrechten en de persoonsgegevens. Dit
houdt ook in dat personen het recht dienen te hebben op toegang tot de persoonsgegevens
betreffende hun gezondheid, zoals de gegevens in hun medische dossier, dat
informatie bevat over diagnoses, onderzoeksuitslagen, beoordelingen door
behandelend artsen en verrichte behandelingen en ingrepen. (123)
Het kan om redenen van algemeen belang op het
gebied van de volksgezondheid nodig zijn om persoonsgegevens over gezondheid
zonder toestemming van de betrokkene te verwerken. In dat verband dient “volksgezondheid”
overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees
Parlement en de Raad van 16 december 2008 betreffende communautaire
statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk
te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk
gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die
een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg,
middelen ten behoeve van de gezondheidszorg, de verstrekking van en de
universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de
financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking
van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet
toe te leiden dat persoonsgegevens door derden zoals werkgevers, verzekeringsmaatschappijen
en banken voor andere doeleinden worden verwerkt. (124)
De algemene beginselen inzake de bescherming van
personen met betrekking tot de verwerking van persoonsgegevens dienen ook van
toepassing te zijn op de arbeidsverhouding. Teneinde de verwerking van de
persoonsgegevens van werknemers in het kader van de arbeidsverhouding te
reglementeren, dienen de lidstaten de mogelijkheid hebben om, binnen de grenzen
van deze verordening, specifieke voorschriften vast te stellen voor de
verwerking van persoonsgegevens in het kader van de arbeidsverhouding. (125)
Om rechtmatig te zijn, dient bij de verwerking van
persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek ook
andere relevante wetgeving in acht te worden genomen, zoals de wetgeving inzake
klinische proeven. (126)
Voor de toepassing van deze verordening dient
wetenschappelijk onderzoek fundamenteel onderzoek, toegepast onderzoek en uit
particuliere middelen gefinancierd onderzoek te omvatten en dient bovendien de
doelstelling van de Unie uit hoofde van artikel 179, lid 1, van het Verdrag
betreffende de werking van de Europese Unie, te weten de totstandbrenging van
een Europese onderzoeksruimte, in acht te worden genomen. (127)
Met betrekking tot de bevoegdheden van de
toezichthoudende autoriteiten om van de voor de verwerking verantwoordelijke of
de verwerker toegang tot persoonsgegevens en tot zijn lokalen te verkrijgen,
kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke
bepalingen vaststellen om het beroepsgeheim of andere, gelijkwaardige
geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op
bescherming van persoonsgegevens met het beroepsgeheim te verzoenen. (128)
Overeenkomstig artikel 17 van het Verdrag
betreffende de werking van de Europese Unie eerbiedigt deze verordening de
status die kerken en religieuze verenigingen en gemeenschappen volgens het
nationaal recht in de lidstaten hebben, en doet daaraan geen afbreuk. Wanneer
een kerk in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening
uitgebreide voorschriften betreffende de bescherming van personen in verband
met de verwerking van persoonsgegevens toepast, dienen deze bestaande
voorschriften derhalve van toepassing te blijven, wanneer zij met deze
verordening in overeenstemming worden gebracht. Dergelijke kerken en religieuze
verenigingen dienen verplicht te worden om voor de instelling van een volledig
onafhankelijke toezichthoudende autoriteit te zorgen. (129)
Met het oog op de verwezenlijking van de
doelstellingen van deze verordening, namelijk het beschermen van de
grondrechten en de fundamentele vrijheden van natuurlijke personen, in het
bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen
van het vrije verkeer van persoonsgegevens in de Unie, dient aan de Commissie
de bevoegdheid te worden verleend om overeenkomstig artikel 290 van het Verdrag
betreffende de werking van de Europese Unie handelingen vast te stellen. Met
name dienen gedelegeerde handelingen te worden vastgesteld met betrekking tot
de rechtmatigheid van verwerkingen; het vaststellen van de criteria en
voorwaarden inzake de toestemming van kinderen; de verwerking van bijzondere
categorieën van gegevens; de vaststelling van de criteria en voorwaarden voor
de beoordeling of verzoeken en vergoedingen in verband met de uitoefening van
de rechten van de betrokkene duidelijk buitensporig zijn; de criteria en
vereisten voor het informeren van de betrokkene en met betrekking tot het recht
van toegang; het recht om te worden vergeten en om gegevens te laten wissen;
maatregelen op basis van profilering; criteria en vereisten met betrekking tot
de verantwoordelijkheden van de voor de verwerking verantwoordelijke en met
betrekking tot privacy by design en by default; verwerkers; criteria en
vereisten voor de documentatie en de beveiliging van verwerkingen; criteria en
vereisten voor de vaststelling van inbreuken in verband met persoonsgegevens en
voor de melding daarvan aan de toezichthoudende autoriteit, en inzake de
omstandigheden waarin een inbreuk in verband met persoonsgegevens
waarschijnlijk negatieve gevolgen voor de betrokkene heeft; de criteria en
voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling is vereist;
de criteria en vereisten voor de vaststelling van grote specifieke risico’s die
voorafgaande raadpleging vereisen; de aanwijzing en de taken van de
functionaris voor gegevensbescherming; gedragscodes; criteria en vereisten voor
certificeringsmechanismen; criteria en vereisten voor doorgiften op grond van
bindende bedrijfsvoorschriften; uitzonderingen inzake doorgifte;
administratieve sancties; verwerking voor gezondheidsdoeleinden; verwerking in
het kader van de arbeidsverhouding en verwerking voor historisch, statistisch
en wetenschappelijk onderzoek. Het is van bijzonder belang dat de Commissie bij
haar voorbereidende werkzaamheden toereikende raadplegingen verricht, onder
meer op deskundigenniveau. De Commissie moet er bij de voorbereiding en
opstelling van de gedelegeerde handelingen voor zorgen dat de desbetreffende
documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het
Europees Parlement en de Raad. (130)
Om te zorgen voor uniforme voorwaarden voor de
tenuitvoerlegging van deze verordening moeten aan de Commissie
uitvoeringsbevoegdheden worden verleend voor: het vaststellen van
modelformulieren inzake de verwerking van persoonsgegevens van kinderen;
standaardprocedures en modelformulieren voor de uitoefening van de rechten van
betrokkenen; modelformulieren voor het verstrekken van informatie aan de
betrokkene, modelformulieren en –procedures inzake het recht van toegang; het
recht van gegevensoverdraagbaarheid; modelformulieren inzake de
verantwoordelijkheid van de voor de verwerking verantwoordelijke voor privacy
by design en by default en voor de documentatie; specifieke vereisten voor de
beveiliging van de verwerking; het standaardformaat en de standaardprocedures
voor de melding van een inbreuk in verband met persoonsgegevens aan de
toezichthoudende autoriteit en de mededeling van een inbreuk in verband met persoonsgegevens
aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling;
formulieren en procedures voor voorafgaande toestemming en voorafgaande
raadpleging; technische normen en mechanismen voor certificering; het door een
derde land, een gebied of een verwerkingssector binnen dat derde land of een
internationale organisatie geboden passende beschermingsniveau; niet bij
EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk
optreden; besluiten in het kader van de conformiteitstoetsing. Die bevoegdheden
moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het
Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de
algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop
de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie
controleren[45].
In deze context dient de Commissie specifieke maatregelen voor micro- en kleine
en middelgrote ondernemingen in overweging te nemen. (131)
De onderzoeksprocedure dient te worden toegepast
voor de vaststelling van specifieke modelformulieren inzake de toestemming van
kinderen; standaardprocedures en modelformulieren voor de uitoefening van de
rechten van betrokkenen; modelformulieren voor het verstrekken van informatie
aan de betrokkene, modelformulieren en standaardprocedures inzake het recht van
toegang; het recht van gegevensoverdraagbaarheid; modelformulieren inzake de
verantwoordelijkheid van de voor de verwerking verantwoordelijke voor privacy
by design en by default en voor de documentatie; specifieke vereisten voor de
beveiliging van de verwerking; het standaardformaat en de standaardprocedures
voor de melding van een inbreuk in verband met persoonsgegevens aan de
toezichthoudende autoriteit en de mededeling van een inbreuk in verband met
persoonsgegevens aan de betrokkene; normen en procedures voor een
privacyeffectbeoordeling; formulieren en procedures voor voorafgaande
toestemming en voorafgaande raadpleging; technische normen en mechanismen voor
certificering; het door een derde land, een gebied of een verwerkingssector
binnen dat derde land of een internationale organisatie geboden passende
beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen;
wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de
conformiteitstoetsing, aangezien dit handelingen van algemene strekking zijn. (132)
Wanneer een derde land, een gebied of een
verwerkingssector in een derde land, of een internationale organisatie geen
passend beschermingsniveau waarborgt en wanneer er sprake is van aan de
toezichthoudende autoriteiten in het kader van de conformiteitstoetsing gemelde
aangelegenheden, moet de Commissie in naar behoren gerechtvaardige gevallen
onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer
dwingende urgente redenen dat vereisen. (133)
Aangezien de doelstellingen van deze verordening,
namelijk het waarborgen van een gelijkwaardig niveau van bescherming van
personen en van het vrije verkeer van gegevens in de hele Unie, niet voldoende
door de lidstaten alleen kan worden verwezenlijkt en derhalve, gezien de omvang
en de gevolgen van de maatregelen, beter op het niveau van de Unie kan worden
verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag
betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen
nemen. Overeenkomstig het in hetzelfde artikel neergelegde
evenredigheidsbeginsel, gaat deze verordening niet verder dan wat nodig is om
deze doelstelling te verwezenlijken. (134)
Richtlijn 95/46/EG dient door deze verordening te
worden vervangen. Voor zover besluiten van de Commissie en door de
toezichthoudende autoriteiten verleende toestemmingen zijn gebaseerd op
Richtlijn 95/46/EG dienen zij echter van kracht te blijven. (135)
Deze verordening dient van toepassing te zijn op
alle aangelegenheden die betrekking hebben op de bescherming van grondrechten
en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens
waarvoor de in Richtlijn 2002/58/EG opgenomen specifieke verplichtingen met
dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de
voor de verwerking verantwoordelijke en de rechten van natuurlijke personen. Om
de verhouding tussen deze verordening en Richtlijn 2002/58/EG te
verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd. (136)
Wat Noorwegen en IJsland betreft, houdt deze
verordening voor zover zij van toepassing is op de verwerking van
persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken
autoriteiten, een ontwikkeling in van de bepalingen van dat acquis, als bedoeld
in de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en
het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden
betrokken bij de uitvoering, de toepassing en de ontwikkeling van het
Schengenacquis[46].
(137)
Wat Zwitserland betreft, houdt deze verordening
voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij
de uitvoering van het Schengenacquis betrokken autoriteiten een ontwikkeling in
van de bepalingen van dat acquis, als bedoeld in de Overeenkomst tussen de
Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de
wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de
toepassing en de ontwikkeling van het Schengenacquis[47]. (138)
Wat Liechtenstein betreft, houdt deze verordening
voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij
de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling
in van de bepalingen van dat acquis, als bedoeld in het Protocol tussen de
Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het
Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom
Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese
Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt
betrokken bij de uitvoering, de toepassing en de ontwikkeling van het
Schengenacquis[48]. (139)
Aangezien het recht op bescherming van
persoonsgegevens, zoals het Hof van Justitie heeft benadrukt, geen absolute
gelding heeft, maar in relatie tot de functie ervan in de samenleving moet
worden beschouwd en moet worden afgewogen tegen andere grondrechten,
overeenkomstig het evenredigheidsbeginsel, eerbiedigt deze verordening alle
grondrechten en ‑beginselen die in het Handvest van de grondrechten van de
Europese Unie zijn erkend en in de Verdragen zijn verankerd, met name het recht
op de eerbiediging van het privéleven en het familie- en gezinsleven, woning en
communicatie, het recht op bescherming van persoonsgegevens, de vrijheid van
gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van
informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende
voorziening in rechte en op een onpartijdig gerecht, alsook het recht op culturele,
godsdienstige en taalkundige verscheidenheid, HEBBEN DE VOLGENDE VERORDENING
VASTGESTELD: HOOFDSTUK I ALGEMENE BEPALINGEN Artikel 1
Onderwerp en doelstellingen 1. Bij deze verordening worden
bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens. 2. Deze verordening beschermt de
grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun
recht op de bescherming van persoonsgegevens. 3. Het vrije verkeer van
persoonsgegevens in de Unie wordt niet beperkt of verboden om redenen die
betrekking hebben op de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens. Artikel 2
Materiële werkingssfeer 1. Deze verordening is van
toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de
niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn
opgenomen of die zijn bestemd daarin te worden opgenomen. 2. Deze verordening is niet van
toepassing op de verwerking van persoonsgegevens: a) in het kader van activiteiten die buiten
de werkingssfeer van het EU-recht vallen, met name activiteiten op het gebied
van nationale veiligheid; b) door de instellingen, organen, bureaus en
agentschappen van de Unie; c) door de lidstaten bij de uitvoering van
activiteiten die binnen de werkingssfeer van hoofdstuk 2 van het Verdrag
betreffende de Europese Unie vallen; d) door een natuurlijke persoon zonder
commercieel belang bij de uitoefening van zijn uitsluitend persoonlijke of
huishoudelijke activiteiten; e) door de bevoegde autoriteiten met het oog
op de preventie, het onderzoek, de opsporing of de vervolging van strafbare
feiten of de tenuitvoerlegging van straffen. 3. Deze verordening laat de
toepassing van Richtlijn 2000/31/EG, met name de bepalingen inzake de
aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de
artikelen 12 tot en met 15 van die richtlijn, onverlet. Artikel 3
Geografisch toepassingsgebied 1. Deze verordening is van
toepassing op de verwerking van persoonsgegevens in het kader van de
activiteiten van een vestiging van een voor de verwerking verantwoordelijke of
een verwerker in de Unie. 2. Deze verordening is van
toepassing op de verwerking van persoonsgegevens van in de Unie wonende
betrokkenen door een niet in de Unie gevestigde voor de verwerking
verantwoordelijke, wanneer de verwerking betrekking heeft op: a) het aanbieden van goederen of diensten
aan deze betrokkenen in de Unie; of b) het observeren van hun gedrag. 3. Deze verordening is van
toepassing op de verwerking van persoonsgegevens door een voor de verwerking
verantwoordelijke die niet in de Unie is gevestigd, maar in een plaats waar
krachtens het internationaal publiekrecht het nationale recht van een lidstaat
van toepassing is. Artikel 4
Definities Voor de toepassing van deze verordening wordt
verstaan onder: (1)
“betrokkene”: een geïdentificeerde natuurlijke
persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen
waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking
verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te
zetten zijn, kan worden geïdentificeerd, met name aan de hand van een
identificatienummer, gegevens over de verblijfplaats, een
online-identificatiemiddel of een of meer specifieke elementen die kenmerkend
zijn voor zijn fysieke, fysiologische, genetische, mentale, economische,
culturele of sociale identiteit. (2)
“persoonsgegevens”: iedere informatie betreffende
een betrokkene; (3)
“verwerking”: elke bewerking of elk geheel van
bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde
procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel
van doorzending, verspreiding of enigerlei andere wijze van
terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het
wissen of vernietigen van gegevens. (4)
“bestand”: elk gestructureerd geheel van
persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of
dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een
functioneel of geografisch bepaalde wijze; (5)
“voor de verwerking verantwoordelijke”: de
natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander
orgaan die, respectievelijk dat, alleen of tezamen met anderen, het doel van en
de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt;
wanneer het doel van en de voorwaarden en middelen voor de verwerking worden
vastgesteld bij EU-wetgeving of de nationale wetgeving, kan in de EU-wetgeving
of de nationale wetgeving worden bepaald wie de voor de verwerking
verantwoordelijke is of volgens welke criteria deze wordt aangewezen; (6)
“verwerker”: de natuurlijke of rechtspersoon, de
overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat ten
behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt; (7)
“ontvanger”: de natuurlijke of rechtspersoon, de
overheidsinstantie, de dienst of enig ander orgaan aan wie, respectievelijk
waaraan de gegevens worden meegedeeld; (8)
“toestemming van de betrokkene”: elke vrije,
specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de
betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige
actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden
verwerkt; (9)
“inbreuk in verband met persoonsgegevens”: een
inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de
ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden,
opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij
onrechtmatig, tot gevolg; (10)
“genetische gegevens”: alle gegevens, van welke
aard ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling
verkregen kenmerken van een persoon; (11)
“biometrische gegevens”: alle gegevens met
betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op
grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals
afbeeldingen van het gezicht of dactyloscopische gegevens; (12)
“gegevens over gezondheid”: alle informatie over de
fysieke of mentale gezondheid van een persoon, of over de verlening van een
gezondheidsdienst aan een persoon; (13)
“belangrijkste vestiging”: met betrekking tot de
voor de verwerking verantwoordelijke de plaats van vestiging van de voor de
verwerking verantwoordelijke in de Unie waar de voornaamste besluiten over het
doel van en de voorwaarden en de middelen voor de verwerking van
persoonsgegevens worden genomen; wanneer in de Unie geen besluiten over het
doel van of de voorwaarden en middelen voor de verwerking van persoonsgegevens
worden genomen, is de belangrijkste vestiging de plaats waar de voornaamste
gegevensverwerking in het kader van de activiteiten van een vestiging van een
voor de verwerking verantwoordelijke in de Unie plaatsvindt. Met betrekking tot
de verwerker is de “belangrijkste vestiging” de plaats waar zich zijn centrale
administratie in de Unie bevindt; (14)
“vertegenwoordiger”: elke in de Unie gevestigde
natuurlijke of rechtspersoon die uitdrukkelijk door de voor de verwerking
verantwoordelijke als zodanig is aangewezen, die namens de voor de verwerking
verantwoordelijke handelt en die door de toezichthoudende autoriteiten en
andere instanties in de Unie in plaats van de voor de verwerking
verantwoordelijke kan worden aangesproken in verband met de verplichtingen van
de voor de verwerking verantwoordelijke uit hoofde van deze verordening; (15)
“onderneming”: iedere entiteit die zich bezighoudt
met een economische activiteit, ongeacht de rechtsvorm van die entiteit, met
inbegrip derhalve van met name natuurlijke en rechtspersonen, personenvennootschappen
of verenigingen die regelmatig een economische activiteit uitoefenen; (16)
“groep van ondernemingen”: een onderneming die
zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt
uitgeoefend; (17)
“bindende bedrijfsvoorschriften”: beleid inzake de
bescherming van persoonsgegevens tot inachtneming waarvan een op het
grondgebied van een lidstaat of de Unie gevestigde voor de verwerking
verantwoordelijke of verwerker zich heeft verplicht voor de doorgifte of een
reeks van doorgiften van persoonsgegevens binnen een groep van ondernemingen
naar een voor de verwerking verantwoordelijke of verwerker in een of meer derde
landen; (18)
„kind”: iedere persoon die jonger is dan achttien
jaar; (19)
“toezichthoudende autoriteit”: een door een
lidstaat overeenkomstig artikel 46 ingestelde overheidsinstantie. HOOFDSTUK II
BEGINSELEN Artikel 5
Beginselen inzake de
verwerking van persoonsgegevens De persoonsgegevens moeten: a) worden verwerkt op een wijze die
rechtmatig, eerlijk en transparant is ten opzichte van de betrokkene; b) voor welbepaalde, uitdrukkelijk
omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens
niet op een met die doeleinden onverenigbare wijze worden verwerkt; c) adequaat en
ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor
de doeleinden waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer
en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door
het verwerken van andere gegevens dan persoonsgegevens; d) juist zijn en worden bijgewerkt; alle
redelijke maatregelen moeten worden genomen om de persoonsgegevens die,
uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn,
onverwijld te wissen of te rectificeren; e) niet langer in een
vorm die het mogelijk maakt de betrokkenen te identificeren, worden bewaard dan
voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt,
noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen
voor zover de gegevens uitsluitend voor historische, statistische of
wetenschappelijke doeleinden worden verwerkt overeenkomstig de bepalingen en
voorwaarden van artikel 83 en mits periodiek wordt beoordeeld of de gegevens
nog steeds opgeslagen moeten blijven; f) worden verwerkt onder de verantwoordelijkheid
van de voor de verwerking verantwoordelijke, die ervoor zorgt en aantoont dat
elke verwerking voldoet aan de bepalingen van deze verordening. Artikel 6
Rechtmatigheid van de verwerking 1. De
verwerking van persoonsgegevens is alleen rechtmatig wanneer en voor zover ten
minste van een van de volgende gevallen sprake is: a) de betrokkene heeft toestemming gegeven
voor de verwerking van zijn persoonsgegevens voor een of meer specifieke
doeleinden; b) de verwerking is noodzakelijk voor de
uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het
nemen van precontractuele maatregelen op verzoek van de betrokkene; c) de verwerking is noodzakelijk om te
voldoen aan een wettelijke verplichting van de voor de verwerking
verantwoordelijke; d) de verwerking is noodzakelijk om de
vitale belangen van de betrokkene te beschermen; e) de verwerking is noodzakelijk voor de
vervulling van een taak van algemeen belang of een taak die deel uitmaakt van
de uitoefening van het openbaar gezag dat aan de voor de verwerking
verantwoordelijke is opgedragen; f) de verwerking is noodzakelijk is voor de
behartiging van de gerechtvaardigde belangen van de voor de verwerking
verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden
van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet
boven dat belang prevaleren, met name wanneer de betrokkene een kind is. Dit is
niet van toepassing op de verwerking door overheidsinstanties in het kader van
de uitoefening van hun taken. 2. De verwerking van
persoonsgegevens die noodzakelijk is voor historische, statistische of
wetenschappelijke doeleinden is rechtmatig mits de in artikel 83 genoemde
voorwaarden en waarborgen in acht worden genomen. 3. In de grondslag voor de in
lid 1, onder c) en e), bedoelde verwerking moet worden voorzien in: a) EU-wetgeving, of b) de wetgeving van de lidstaat waaraan de
voor de verwerking verantwoordelijke onderworpen is. Het recht van de lidstaat moet beantwoorden aan
een doelstelling van algemeen belang of noodzakelijk zijn om de rechten en
vrijheden van anderen te beschermen, de wezenlijke inhoud van het recht op de
bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het
nagestreefde rechtmatige doel. 4. Wanneer het doel van verdere
verwerking niet verenigbaar is met het doel waarvoor de persoonsgegevens zijn
verzameld, moet de verwerking minstens in een van de in lid 1, onder a) tot en
met e), genoemde gronden een rechtsgrondslag hebben. Dit is met name van
toepassing op iedere wijziging van de clausules en algemene voorwaarden van een
overeenkomst. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de in lid 1, onder f), bedoelde voorwaarden, voor
diverse sectoren en situaties op het gebied van gegevensverwerking, onder meer
ten aanzien van de verwerking van persoonsgegevens met betrekking tot kinderen. Artikel 7
Voorwaarden voor toestemming 1. De voor de verwerking
verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft
gegeven voor de verwerking van zijn persoonsgegevens voor welbepaalde
doeleinden. 2. Wanneer de betrokkene zijn
toestemming moet geven in het kader van een schriftelijke verklaring die ook op
een andere aangelegenheid betrekking heeft, moet het vereiste van toestemming
duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven. 3. De betrokkene heeft het recht
zijn toestemming te allen tijde in te trekken. De intrekking van de toestemming
laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de
intrekking daarvan, onverlet. 4. Toestemming biedt geen
rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid
bestaat tussen de positie van de betrokkene en die van de voor de verwerking
verantwoordelijke. Artikel 8
Verwerking van persoonsgegevens van kinderen 1. In geval van het rechtstreeks
aanbieden van diensten van de informatiemaatschappij aan kinderen is de
verwerking van persoonsgegevens van een kind jonger dan 13 jaar in het kader
van deze verordening slechts rechtmatig wanneer en voor zover de ouder of voogd
van het kind daartoe toestemming heeft gegeven of machtiging tot toestemming
heeft verleend. Met inachtneming van de beschikbare technologie doet de voor de
verwerking verantwoordelijke dat wat redelijkerwijze van hem kan worden
verwacht om verifieerbare toestemming te verkrijgen. 2. Lid 1 laat het algemene
overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de
totstandkoming of de gevolgen van een overeenkomst ten opzichte van een kind,
onverlet. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de methoden ter
verkrijging van de in lid 1 bedoelde verifieerbare toestemming. Daarbij neemt
de Commissie specifieke maatregelen voor micro- en kleine en middelgrote
ondernemingen in overweging. 4. De Commissie kan
standaardformulieren vaststellen voor specifieke methoden ter verkrijging van
de in lid 1 bedoelde verifieerbare toestemming. Die uitvoeringshandelingen
worden vastgesteld volgens de in artikel 87, lid 2, bedoelde
onderzoeksprocedure. Artikel 9
Verwerking van bijzondere categorieën persoonsgegevens 1. De verwerking van persoonsgegevens
waaruit ras of etnische afkomst, politieke opvattingen, religie of overtuiging,
of het lidmaatschap van een vakvereniging blijkt, en de verwerking van
genetische gegevens of gegevens over gezondheid of seksueel gedrag of
strafrechtelijke veroordelingen of daarmee verband houdende
veiligheidsmaatregelen, zijn verboden. 2. Lid 1 is niet van toepassing
wanneer: a) de betrokkene
toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits aan
de voorwaarden van de artikelen 7 en 8 is voldaan en de EU-wetgeving of de
nationale wetgeving niet bepaalt dat het in lid 1 genoemde verbod niet door de
betrokkene kan worden opgeheven; of b) de verwerking noodzakelijk is met het oog
op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten
van de voor de verwerking verantwoordelijke op het gebied van arbeidsrecht,
voor zover zulks is toegestaan bij EU-wetgeving of de nationale wetgeving en
deze adequate garanties biedt; of c) de verwerking noodzakelijk is ter
bescherming van de vitale belangen van de betrokkene of van een andere persoon
indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming
te geven; of d) de verwerking wordt verricht door een
stichting, een vereniging of een andere instantie zonder winstoogmerk die op
politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in
het kader van haar gerechtvaardigde activiteiten en met de nodige waarborgen,
mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige
leden van de instantie of op personen die in verband met haar streefdoelen
regelmatig contact met haar onderhouden, en de gegevens niet zonder de
toestemming van de betrokkenen buiten die instantie worden verstrekt; of e) de verwerking betrekking heeft op persoonsgegevens
die duidelijk door de betrokkene openbaar zijn gemaakt; of f) de verwerking noodzakelijk is voor de
vaststelling, de uitoefening of de verdediging van een recht in rechte; of g) de verwerking noodzakelijk is voor de
vervulling van een taak van algemeen belang, op grond van EU-wetgeving of de
nationale wetgeving waarbij passende maatregelen worden vastgesteld ter
bescherming van de gerechtvaardigde belangen van de betrokkene. of h) de verwerking van gegevens over
gezondheid noodzakelijk is voor gezondheidsdoeleinden, mits de in artikel 81
genoemde voorwaarden en waarborgen in acht worden genomen; of i) de verwerking noodzakelijk is voor
historische, statistische of wetenschappelijke doeleinden, mits de in artikel
83 genoemde voorwaarden en waarborgen in acht worden genomen; of j) de verwerking van gegevens betreffende
strafrechtelijke veroordelingen of daarmee verband houdende
veiligheidsmaatregelen wordt uitgevoerd onder toezicht van de overheid of
wanneer de verwerking noodzakelijk is om een wettelijke verplichting van de
voor de verwerking verantwoordelijke na te komen of voor de vervulling van een
taak om gewichtige redenen van algemeen belang, en voor zover zulks is
toegestaan bij EU-wetgeving of de nationale wetgeving en deze wetgeving
passende garanties biedt. Een volledig register van strafrechtelijke
veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria, de voorwaarden en de passende garanties
voor de verwerking van de in lid 1 genoemde bijzondere categorieën
persoonsgegevens en de in lid 2 vastgestelde uitzonderingen. Artikel 10
Verwerking waarbij identificatie niet mogelijk is Wanneer de door de voor de verwerking
verantwoordelijke verwerkte gegevens het voor hem niet mogelijk maken een
natuurlijke persoon te identificeren, is hij niet verplicht om, uitsluitend om
aan een bepaling van deze verordening te voldoen, aanvullende informatie te
verkrijgen ter identificatie van de betrokkene. HOOFDSTUK III
RECHTEN VAN DE BETROKKENE AFDELING 1
TRANSPARANTIE EN MODALITEITEN Artikel 11
Transparante informatieverstrekking en communicatie 1. Het beleid van de voor de
verwerking verantwoordelijke met betrekking tot de verwerking van
persoonsgegevens en de uitoefening van de rechten van de betrokkene dient
transparant en eenvoudig toegankelijk te zijn. 2. De voor de verwerking
verantwoordelijke verschaft de betrokkene in begrijpelijke vorm alle informatie
en mededelingen over de verwerking van persoonsgegevens, waarbij duidelijke en
eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt, met name in geval
van informatie die specifiek voor kinderen is bedoeld. Artikel 12
Procedures en mechanismen voor de uitoefening van de rechten van de
betrokkene 1. De voor de verwerking
verantwoordelijke stelt procedures vast voor het verstrekken van de in artikel
14 bedoelde informatie en voor de uitoefening van de in artikel 13 en de
artikelen 15 tot en met 19 genoemde rechten van de betrokkene. De voor de
verwerking verantwoordelijke zorgt met name voor mechanismen die het verzoek om
de in de artikel 13 en de artikelen 15 tot en met 19 bedoelde acties
vereenvoudigen. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, zorgt
de voor de verwerking verantwoordelijke ook voor middelen om verzoeken
elektronisch in te dienen. 2. De voor de verwerking
verantwoordelijke informeert de betrokkene onverwijld en uiterlijk binnen een
maand na ontvangst van het verzoek, of er al dan niet actie is ondernomen
overeenkomstig artikel 13 en de artikelen 15 tot en met 19, en verstrekt de
gevraagde informatie. Deze termijn kan met één maand worden verlengd wanneer
verschillende betrokkenen hun rechten uitoefenen en hun samenwerking binnen
redelijke grenzen noodzakelijk is om een onnodige en onevenredige inspanning
van de voor de verwerking verantwoordelijke te vermijden. De informatie wordt
schriftelijk verstrekt. Wanneer de betrokkene zijn verzoek in elektronische vorm
indient, wordt de informatie elektronisch verstrekt, tenzij de betrokkene
anderszins verzoekt. 3. Wanneer de voor de verwerking
verantwoordelijk weigert om actie te ondernemen naar aanleiding van het verzoek
van de betrokkene, deelt de voor de verwerking verantwoordelijke de betrokkene
de redenen voor de weigering mee en informeert hij hem over de mogelijkheden
een klacht in te dienen bij de toezichthoudende autoriteit en beroep in rechte
in te stellen. 4. De in lid 1 bedoelde
informatie en op verzoek verrichte acties zijn gratis. Wanneer verzoeken
duidelijk buitensporig zijn, met name vanwege hun repetitieve karakter, kan de
voor de verwerking verantwoordelijke een vergoeding voor het verstrekken van de
informatie of het verrichten van de gevraagde actie in rekening brengen, dan
wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met
betrekking tot het duidelijk buitensporige karakter van het verzoek op de voor
de verwerking verantwoordelijke. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de voorwaarden waaraan moet worden
voldaan wil er sprake zijn van duidelijk buitensporige verzoeken en voor de in
lid 4 bedoelde vergoedingen. 6. De Commissie kan
standaardformulieren en standaardprocedures vaststellen voor de in lid 2
bedoelde mededeling, ook met betrekking het elektronische model daarvan.
Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en
middelgrote ondernemingen. Die uitvoeringshandelingen worden vastgesteld
volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 13
Rechten met betrekking tot ontvangers De voor de verwerking verantwoordelijke stelt
iedere ontvanger aan wie gegevens zijn verstrekt op de hoogte van elke
overeenkomstig de artikelen 16 en 17 uitgevoerde rectificatie of elk wissen van
gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. AFDELING 2
INFORMATIE EN TOEGANG TOT GEGEVENS Artikel 14
Informatieverstrekking aan de betrokkene 1. Wanneer persoonsgegevens met
betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking
verantwoordelijke de betrokkene ten minste de volgende informatie: a) de identiteit en de contactgegevens van
de voor de verwerking verantwoordelijke en, in voorkomend geval, van de
vertegenwoordiger van de voor de verwerking verantwoordelijke en van de
functionaris voor gegevensbescherming; b) de doeleinden van de verwerking waarvoor
de persoonsgegevens zijn bestemd, met inbegrip van de clausules en algemene
voorwaarden van de overeenkomst wanneer de verwerking is gebaseerd op artikel
6, lid 1, onder b), en de gerechtvaardigde belangen van de voor de verwerking
verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder
f); c) de periode gedurende welke de
persoonsgegevens worden opgeslagen; d) het bestaan van het recht om van de voor
de verwerking verantwoordelijke toegang tot en rectificatie of wissen van de
persoonsgegevens betreffende de betrokkene te verlangen of om tegen de
verwerking van dergelijke persoonsgegevens bezwaar te maken; e) het recht om een klacht in te dienen bij
de toezichthoudende autoriteit alsmede de contactgegevens van de
toezichthoudende autoriteit; f) de ontvangers of categorieën ontvangers
van de persoonsgegevens; g) in voorkomend geval het voornemen van de
voor de verwerking verantwoordelijke tot doorgifte van persoonsgegevens naar
een derde land of een internationale organisatie en het door dat derde land of
die internationale organisatie geboden beschermingsniveau onder verwijzing naar
een besluit van de Commissie waarbij het beschermingsniveau passend wordt
verklaard; h) alle verdere
informatie die, met inachtneming van de bijzondere omstandigheden waaronder de
gegevens worden verzameld, nodig is om tegenover de betrokkene een eerlijke
verwerking te waarborgen. 2. Wanneer de persoonsgegevens
bij de betrokkene worden verzameld, deelt de voor de verwerking
verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de
verstrekking van persoonsgegevens verplicht is dan wel op basis van
vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt
nagelaten deze gegevens te verstrekken. 3. Wanneer de persoonsgegevens
niet bij de betrokkene worden verzameld, deelt de voor de verwerking
verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee uit
welke bron de persoonsgegevens afkomstig zijn. 4. De voor de verwerking
verantwoordelijke verstrekt de in de leden 1, 2 en 3 bedoelde informatie: a) op het tijdstip waarop de
persoonsgegevens van de betrokkene worden verkregen; of b) wanneer de persoonsgegevens niet bij de
betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een
redelijke termijn na de verzameling, met inachtneming van de specifieke
omstandigheden waaronder de gegevens worden verzameld of anderszins verwerkt,
of, wanneer verstrekking van de gegevens aan een andere ontvanger wordt
overwogen, uiterlijk op het moment van de eerste verstrekking van de gegevens. 5. De leden 1 tot en met 4 zijn
niet van toepassing wanneer: a) de betrokkene reeds over de in de leden
1, 2 en 3 bedoelde informatie beschikt; of b) de gegevens niet worden verzameld bij de
betrokkene en de verstrekking van deze informatie onmogelijk blijkt of onevenredig
veel inspanning zou vergen; of c) de gegevens niet worden verzameld bij de
betrokkene en de vastlegging of verstrekking uitdrukkelijk bij wet is
voorgeschreven; of d) de gegevens niet worden verzameld bij de
betrokkene en de verstrekking van deze informatie afbreuk zal doen aan de
rechten en vrijheden van anderen, als gedefinieerd in EU-wetgeving of de
nationale wetgeving overeenkomstig artikel 21. 6. In het in lid 5, onder b),
bedoelde geval neemt de voor de verwerking verantwoordelijke passende maatregelen
om de gerechtvaardigde belangen van de betrokkene te beschermen. 7. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria voor de in lid 1, onder f), bedoelde
categorieën ontvangers, de voorschriften voor de in lid 1, onder g), bedoelde
kennisgeving inzake de mogelijkheid van toegang, de criteria voor de in artikel
1, onder h), bedoelde noodzakelijke verdere informatie voor specifieke sectoren
en situaties en de voorwaarden en passende waarborgen voor de in lid 5, onder
b), vermelde uitzonderingen. Daarbij neemt de Commissie de nodige maatregelen
voor micro- en kleine en middelgrote ondernemingen. 8. De Commissie kan
standaardformulieren vaststellen voor het verstrekken van de in de leden 1 tot
en met 3 bedoelde informatie, voor zover nodig met inachtneming van de
specifieke kenmerken en behoeften van de verschillende sectoren en situaties op
het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld
volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 15
Recht van toegang van de betrokkene 1. De betrokkene heeft het recht
om te allen tijde op verzoek uitsluitsel van de voor de verwerking
verantwoordelijke te verkrijgen omtrent het al dan niet plaatsvinden van
verwerkingen van hem betreffende gegevens. Wanneer verwerkingen van deze
persoonsgegevens plaatsvinden, verstrekt de voor de verwerking
verantwoordelijke de volgende informatie: a) de doeleinden van de verwerking; b) de betrokken categorieën
persoonsgegevens; c) de ontvangers of categorieën ontvangers
aan wie de gegevens moeten worden verstrekt of verstrekt zijn, met name
ontvangers in derde landen; d) de periode gedurende welke de
persoonsgegevens worden opgeslagen; e) het bestaan van het recht om van de voor
de verwerking verantwoordelijke rectificatie of het wissen van persoonsgegevens
betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke
persoonsgegevens bezwaar te maken; f) het recht om een klacht in te dienen bij
de toezichthoudende autoriteit alsmede de contactgegevens van de
toezichthoudende autoriteit; g) de persoonsgegevens waarvan verwerkingen
plaatsvinden en alle beschikbare informatie over de bron van die gegevens; h) het belang en de
verwachte gevolgen van deze verwerking, op zijn minst in het geval van de in
artikel 20 bedoelde maatregelen. 2. De betrokkene heeft er recht
op dat de voor de verwerking verantwoordelijke hem meedeelt van welke
persoonsgegevens verwerking plaatsvindt. Wanneer de betrokkene zijn verzoek in
elektronische vorm indient, wordt de informatie elektronisch verstrekt, tenzij
de betrokkene anderszins verzoekt. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op
de nadere invulling van de criteria en de vereisten voor de mededeling aan de
betrokkene van de inhoud van de in lid 1, onder g), bedoelde persoonsgegevens. 4. De Commissie kan
standaardformulieren en standaardprocedures vaststellen voor het verzoek om en
de verlening van toegang tot de in lid 1 bedoelde informatie, onder andere voor
de controle van de identiteit van de betrokkene en voor het meedelen van de
persoonsgegevens aan de betrokkene, met inachtneming van de specifieke
kenmerken en behoeften van de verschillende sectoren en situaties op het gebied
van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens
de in artikel 87, lid 2, bedoelde onderzoeksprocedure. AFDELING 3 RECTIFICATIE EN HET WISSEN VAN
GEGEVENS Artikel 16
Recht van rectificatie De betrokkene heeft recht op rectificatie van
hem betreffende onjuiste persoonsgegevens door de voor de verwerking
verantwoordelijke. De betrokkene heeft recht op completering van onvolledige
persoonlijke persoonsgegevens, onder meer door toevoeging van een
rectificerende verklaring. Artikel 17
Recht om te worden vergeten en om gegevens te laten wissen 1.
De betrokkene heeft er recht op dat de voor de
verwerking verantwoordelijke ervoor zorgt dat hem betreffende gegevens worden
gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft,
met name waar het gaat om persoonsgegevens die door de betrokkene als kind
beschikbaar zijn gesteld, wanneer een van de volgende gronden van toepassing
is: a) de gegevens zijn niet langer nodig in
verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt; b) de betrokkene trekt de toestemming waarop
de verwerking overeenkomstig artikel 6, lid 1, onder a), is gebaseerd, in of de
toegestane termijn voor opslag is verstreken terwijl een andere grond voor de
verwerking van de gegevens ontbreekt; c) de betrokkene maakt bezwaar tegen de
verwerking van de persoonsgegevens overeenkomstig artikel 19; d) de verwerking van de gegevens voldoet op
andere gronden niet aan deze verordening. 2. Wanneer de in lid 1 bedoelde
voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft
gemaakt, neemt hij alle redelijke maatregelen, waaronder technische
maatregelen, ten aanzien van de gegevens die onder zijn verantwoordelijkheid
openbaar zijn gemaakt, teneinde derden die deze gegevens verwerken ervan op de
hoogte te stellen dat een betrokkene hun verzoekt ieder koppeling naar, of
kopie of reproductie van die persoonsgegevens te wissen. Wanneer de voor de
verwerking verantwoordelijke toestemming heeft gegeven voor openbaarmaking van
persoonsgegevens door een derde, wordt de voor de verwerking verantwoordelijke
voor die openbaarmaking verantwoordelijk geacht. 3. De voor de verwerking
verantwoordelijke gaat onverwijld tot het wissen over, zij het niet voor zover
het nodig is de persoonsgegevens te bewaren: (a)
voor de uitoefening van het recht op vrijheid van
meningsuiting overeenkomstig artikel 80; (b)
om redenen van algemeen belang op het gebied van de
volksgezondheid overeenkomstig artikel 81; (c)
voor historische, statistische of wetenschappelijke
doeleinden overeenkomstig artikel 83; (d)
ter voldoening aan een wettelijke verplichting tot
bewaring van de persoonsgegevens op grond van EU-wetgeving of de wetgeving van
de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is; de
nationale wetgeving moet beantwoorden aan een doelstelling van algemeen belang,
de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens
eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel. (e)
in de in lid 4 bedoelde gevallen. 4. De voor de verwerking
verantwoordelijke beperkt de verwerking van persoonsgegevens in plaats van deze
te wissen wanneer: a) de juistheid ervan door de betrokkene
wordt betwist, gedurende een periode die de voor de verwerking
verantwoordelijke in staat stelt de juistheid van de gegevens te controleren; b) de voor de verwerking verantwoordelijke
de persoonsgegevens niet langer voor de uitvoering van zijn taken nodig heeft,
maar die gegevens nog moeten worden bewaard ten behoeve van bewijsvoering; c) de verwerking ervan onrechtmatig is en de
betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan om
beperking van het gebruik ervan verzoekt; d) de betrokkene verzoekt om doorgifte van
de persoonsgegevens naar een ander geautomatiseerd verwerkingssysteem
overeenkomstig artikel 18, lid 2. 5. De in lid 4 bedoelde
persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten
behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming
van de rechten van een andere natuurlijke of rechtspersoon of voor een
doelstelling van algemeen belang. 6. Wanneer de verwerking van
persoonsgegevens op grond van artikel 4 is beperkt, informeert de voor de
verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de
verwerking op te heffen. 7. De voor de verwerking
verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen
die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de
periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht
worden genomen. 8. Wanneer de persoonsgegevens
worden gewist, verwerkt de voor de verwerking verantwoordelijke deze gegevens
niet anderszins. 9. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van: a) de criteria en de vereisten voor de
toepassing van lid 1 met betrekking tot specifieke sectoren en in specifieke
situaties op het gebied van gegevensverwerking. b) de voorwaarden voor het verwijderen van
koppelingen naar, kopieën of reproducties van persoonsgegevens uit algemeen
beschikbare communicatiediensten als bedoeld in lid 2; c) de criteria en voorwaarden voor het
beperken van de verwerking van persoonsgegevens als bedoeld in lid 4. Artikel 18
Recht van gegevensoverdraagbaarheid 1. Wanneer persoonsgegevens
elektronisch en in een gestructureerd en algemeen gebruikt formaat worden
verwerkt, heeft de betrokkene het recht om van de voor de verwerking
verantwoordelijke een kopie te krijgen van de gegevens die worden verwerkt in
een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt en
verder door de betrokkene kan worden gebruikt. 2. Wanneer de betrokkene
persoonsgegevens heeft verstrekt en de verwerking daarvan plaatsvindt op basis
van toestemming of een overeenkomst, heeft de betrokkene het recht om deze
persoonsgegevens en alle andere informatie die hij heeft verstrekt en die door
middel van een geautomatiseerd verwerkingssysteem wordt bewaard, in een algemeen
gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd
verwerkingssysteem, zonder daarbij door de voor de verwerking verantwoordelijke
bij wie de persoonsgegevens zijn weggehaald, te worden belemmerd. 3. De Commissie kan het in lid 1
bedoelde elektronische formaat en de technische normen, de modaliteiten en de
procedures voor het overeenkomstig lid 2 overdragen van persoonsgegevens, nader
bepalen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel
87, lid 2, bedoelde onderzoeksprocedure. AFDELING 4 RECHT VAN BEZWAAR EN PROFILERING Artikel 19
Recht van bezwaar 1. De betrokkene heeft het recht
te allen tijde op gronden die verband houden met zijn bijzondere situatie
bezwaar te maken tegen de verwerking op basis van artikel 6, lid 1, onder d),
e) en f), van persoonsgegevens, tenzij de voor de verwerking verantwoordelijke
dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan
de belangen of de grondrechten en fundamentele vrijheden van de betrokkene. 2. Wanneer persoonsgegevens ten
behoeve van direct marketing worden verwerkt, heeft de betrokkene het recht om
kosteloos bezwaar te maken tegen de verwerking van zijn persoonsgegevens voor
deze marketing. Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke
wijze geboden en moet duidelijk van overige informatie kunnen worden
onderscheiden. 3. Wanneer een bezwaar op grond
van de leden 1 en 2 gegrond wordt verklaard, worden de betrokken
persoonsgegevens door de voor de verwerking verantwoordelijke niet langer
gebruikt of anderszins verwerkt. Artikel 20
Maatregelen op basis van profilering 1. Iedere natuurlijke persoon
heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem
rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die
louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd
is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name
zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke
voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen. 2.
Onverminderd het bepaalde in de overige artikelen
van deze verordening mag een persoon alleen aan een maatregel als bedoeld in
lid 1 worden onderworpen, wanneer de verwerking: a) wordt uitgevoerd in het kader van het
sluiten of het uitvoeren van een overeenkomst en aan het door de betrokkene
ingediende verzoek tot het sluiten of het uitvoeren van de overeenkomst is
voldaan of passende maatregelen zijn aangeboden ter bescherming van de
gerechtvaardigde belangen van de betrokkene, zoals het recht op menselijke
tussenkomst; of b) uitdrukkelijk is toegestaan op grond van
EU-wetgeving of nationale wetgeving en in die wetgeving ook passende
maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van
de betrokkene; of c) plaatsvindt op grond van de toestemming
van de betrokkene, mits aan de voorwaarden van artikel 7 wordt voldaan en
passende waarborgen worden geboden. 3.
De geautomatiseerde gegevensverwerking die bestemd
is om bepaalde aspecten van de persoonlijkheid van een natuurlijke persoon te
beoordelen, wordt niet uitsluitend gebaseerd op de in artikel 9 bedoelde
bijzondere categorieën persoonsgegevens. 4. In de in lid 2 bedoelde
gevallen omvat de informatie die op grond van artikel 14 door de voor de
verwerking verantwoordelijke moet worden verstrekt, informatie over de
eventuele verwerking voor een maatregel in de zin van lid 1 en de met deze
verwerking beoogde gevolgen voor de betrokkene. 5. De Commissie is bevoegd overeenkomstig
artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere
invulling van de criteria en de voorwaarden voor passende maatregelen ter
bescherming van de in lid 2 bedoelde gerechtvaardigde belangen van de
betrokkene. AFDELING 5
Beperkingen Artikel 21
Beperkingen 1. De reikwijdte van de in
artikel 5, onder a) tot en met e), en de artikelen 11 tot en met 20 en artikel
32 neergelegde verplichtingen en rechten mogen bij EU-wetgeving of nationale
wetgeving door middel van een wettelijke maatregel worden beperkt, wanneer een
dergelijke beperking in een democratische samenleving een noodzakelijke en
evenredige maatregel is ter waarborging van: a) de openbare veiligheid; b) de voorkoming, het onderzoek, de
opsporing en de vervolging van strafbare feiten; c) andere algemene belangen van de Unie of
van een lidstaat, met name een belangrijk economisch of financieel belang van
de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale
aangelegenheden en de bescherming van de marktstabiliteit en –integriteit; d) de voorkoming, het onderzoek, de
opsporing en de vervolging van schendingen van de beroepscodes voor
gereglementeerde beroepen; e) een taak op het gebied van toezicht,
inspectie of regelgeving die verbonden is, ook al is dit incidenteel, met de
uitoefening van het openbaar gezag in de onder a), b), c) en d), bedoelde
gevallen; f) de bescherming van de betrokkene of van
de rechten en vrijheden van anderen. 2. De in lid 1 bedoelde
wettelijke maatregelen bevatten met name specifieke bepalingen met betrekking
tot ten minste de doelstellingen die met de verwerking moeten worden
nagestreefd en de vaststelling van de voor de verwerking verantwoordelijke. HOOFDSTUK IV DE VOOR DE
VERWERKING VERANTWOORDELIJKE EN DE VERWERKER AFDELING 1
ALGEMENE VERPLICHTINGEN Artikel 22
Verantwoordelijkheden van de voor de verwerking verantwoordelijke 1. De voor de verwerking
verantwoordelijke stelt beleid vast en voert passende maatregelen uit om ervoor
te zorgen en te kunnen aantonen dat de verwerking van persoonsgegevens in
overeenstemming met deze verordening wordt uitgevoerd. 2. De in lid 1 bedoelde
maatregelen betreffen met name: (f)
het bewaren van documentatie overeenkomstig artikel
28; (g)
het voldoen aan de in artikel 30 vastgestelde
vereisten inzake gegevensbeveiliging; (h)
het uitvoeren van een privacyeffectbeoordeling
overeenkomstig artikel 33; (i)
het voldoen aan de eisen inzake voorafgaande
toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit
overeenkomstig artikel 34, leden 1 en 2; (j)
het aanwijzen van een functionaris voor
gegevensbescherming overeenkomstig artikel 35, lid 1. 3. De voor de verwerking
verantwoordelijke stelt mechanismen in om ervoor te zorgen dat de
doeltreffendheid van de in de leden 1 en 2 bedoelde maatregelen wordt getoetst. Deze toetsing uitgevoerd door onafhankelijke
interne of externe controleurs, indien die maatregel evenredig is. 4. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van eventuele nadere criteria en vereisten voor andere
in lid 1 bedoelde passende maatregelen dan die welke reeds in lid 2 worden
genoemd, van de voorwaarden voor de in lid 3 bedoelde toetsings- en
controlemechanismen en van de criteria voor evenredigheid als bedoeld in lid 3,
waarbij de mogelijkheid van specifieke maatregelen voor micro- en kleine en
middelgrote ondernemingen in overweging wordt genomen. Artikel 23
Privacy by design en by default 1. Met inachtneming van de stand
van de techniek en de uitvoeringskosten legt de voor de verwerking
verantwoordelijke, zowel bij de vaststelling van de middelen voor de verwerking
als bij de verwerking zelf, zodanig passende technische en organisatorische
maatregelen en procedures ten uitvoer dat de verwerking aan de voorwaarden van
deze verordening voldoet en de bescherming van de rechten van de betrokkene
gewaarborgd is. 2. De voor de verwerking
verantwoordelijke stelt mechanismen in om ervoor te zorgen dat in beginsel
alleen de persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van
de verwerking nodig zijn en met name het verzamelen of het bewaren van die
gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van
opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is.
Deze mechanismen zorgen met name ervoor dat persoonsgegevens in beginsel niet
voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt. 3. De
Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te
stellen met het oog op de nadere invulling van de criteria en de vereisten voor
de in de leden 1 en 2 bedoelde passende maatregelen en mechanismen, met name de
vereisten voor gegevensbescherming by design die voor alle sectoren, producten
en diensten van toepassing zijn. 4. De
Commissie kan technische normen vaststellen voor de in de leden 1 en 2 vermelde
vereisten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel
87, lid 2, bedoelde onderzoeksprocedure. Artikel 24
Gezamenlijk voor de verwerking verantwoordelijken Wanneer een voor de verwerking
verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking van
persoonsgegevens samen met anderen vaststelt, stellen de gezamenlijk voor de
verwerking verantwoordelijken door middel van een onderlinge regeling hun
respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen
uit hoofde van deze verordening, met name met betrekking tot de procedures en
mechanismen voor de uitoefening van de rechten van de betrokkene. Artikel 25
Vertegenwoordigers van niet in de Unie gevestigde voor de verwerking
verantwoordelijken 1. In de in artikel 3, lid 2,
bedoelde situatie wijst de voor de verwerking verantwoordelijke een
vertegenwoordiger in de Unie aan. 2. Deze verplichting is niet van
toepassing op: a) een in een derde land gevestigde voor de
verwerking verantwoordelijke, wanneer de Commissie overeenkomstig artikel 41
heeft besloten dat het derde land een passend beschermingsniveau waarborgt; of b) een onderneming met minder dan 250 werknemers;
of c) een overheidsinstantie of –orgaan; of d) een voor de verwerking verantwoordelijke
die slechts incidenteel goederen of diensten aanbiedt aan in de Unie wonende
betrokkenen. 3. De vertegenwoordiger is
gevestigd in een van de lidstaten waar de betrokkenen waarvan de
persoonsgegevens in verband met het hun aanbieden van goederen of diensten
worden verwerkt of waarvan het gedrag wordt geobserveerd, wonen. 4. De aanwijzing van een
vertegenwoordiger door de voor de verwerking verantwoordelijke laat de
vorderingen die tegen de voor de verwerking verantwoordelijke zelf zouden
kunnen worden ingesteld, onverlet. Artikel 26
Verwerker 1. Wanneer een verwerking namens
de voor de verwerking verantwoordelijke moet worden uitgevoerd, kiest de voor
de verwerking verantwoordelijke een verwerker die voldoende waarborgen biedt
voor de tenuitvoerlegging van passende technische en organisatorische
maatregelen en procedures op dusdanige wijze dat de verwerking voldoet aan de
vereisten van deze verordening en de bescherming van de rechten van de
betrokkene gewaarborgd is, met name met betrekking tot de technische
beveiligingsmaatregelen en de organisatorische maatregelen inzake de te
verrichten verwerking, en zorgt hij ervoor dat deze maatregelen in acht worden
genomen. 2. De uitvoering van
verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een
andere rechtshandeling die de verwerker ten opzichte van de voor de verwerking
verantwoordelijke bindt en waarin met name wordt bepaald dat de verwerker: a) slechts handelt in opdracht van de voor
de verwerking verantwoordelijke, met name wanneer de doorgifte van de
persoonsgegevens is verboden; b) slechts personeel in dienst neemt dat
zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of een wettelijke
vertrouwelijkheidsplicht heeft; c) alle uit hoofde van artikel 30 vereiste
maatregelen neemt; d) slechts met voorafgaande toestemming van
de voor de verwerking verantwoordelijke een andere verwerker in dienst neemt; e) voor zover dit gelet op de aard van de
verwerking mogelijk is, met akkoord van de voor de verwerking verantwoordelijke
de nodige technische en organisatorische voorwaarden schept waardoor de voor de
verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot
uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan
nakomen; f) de voor
de verwerking verantwoordelijk bijstaat om ervoor te zorgen de verplichtingen
uit hoofde van de artikelen 30 tot en met 34 worden nagekomen; g) de voor de verwerking verantwoordelijke
na de beëindiging van de verwerking alle resultaten overhandigt en de
persoonsgegevens niet anderszins verwerkt; h) de voor de verwerking verantwoordelijke
en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig
is om de nakoming van de in dit artikel neergelegde verplichtingen te
controleren. 3. De voor de verwerking
verantwoordelijke en de verwerker leggen de instructies van de voor de
verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2
zijn genoemd, vast in een document. 4. Wanneer een verwerker
persoonsgegevens verwerkt anders dan volgens de instructies van de voor de
verwerking verantwoordelijke, wordt de verwerker met betrekking tot die
verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de
in artikel 24 neergelegde regels voor gezamenlijk voor de verwerking
verantwoordelijken gelden. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de
verantwoordelijkheden, plichten en taken met betrekking tot een verwerker
overeenkomstig lid 1, en van de voorwaarden ter bevordering van de verwerking
van persoonsgegevens binnen een groep van ondernemingen, met name met het oog
op controle en verslaglegging. Artikel 27
Verwerking onder gezag van de voor de verwerking verantwoordelijke en de
verwerker De verwerker en eenieder die handelt onder het
gezag van de voor de verwerking verantwoordelijke of van de verwerker en
toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de
voor de verwerking verantwoordelijke, tenzij hij op grond van de EU-wetgeving
of de nationale wetgeving tot de verwerking verplicht is. Artikel 28
Documenten 1. Alle voor de verwerking
verantwoordelijken, verwerkers alsmede, in voorkomend geval, vertegenwoordigers
van de voor de verwerking verantwoordelijke bewaren de documenten inzake alle
verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden. 2. De documenten bevatten ten
minste de volgende gegevens: a) de naam en de contactgegevens van de voor
de verwerking verantwoordelijke of de eventuele gezamenlijk voor de verwerking
verantwoordelijke of verwerker, en van de vertegenwoordiger, in voorkomend
geval; b) de naam en de contactgegevens van de
functionaris voor gegevensbescherming, in voorkomend geval; c) de doeleinden van de verwerking,
waaronder de gerechtvaardigde belangen van de voor de verwerking
verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder
f); d) een beschrijving van de categorieën
betrokkenen en van de categorieën hen betreffende persoonsgegevens; e) de ontvangers of categorieën ontvangers
van persoonsgegevens, met inbegrip van de voor de verwerking verantwoordelijken
aan wie de persoonsgegevens zijn verstrekt met het oog op de door hen
nagestreefde gerechtvaardigde belangen; f) indien van toepassing, de doorgifte van
gegevens naar een derde land of een internationale organisatie, met inbegrip
van de vermelding van dat derde land of die internationale organisatie en, in
geval van de in artikel 44, lid 1, onder h), bedoelde doorgiften, de documenten
inzake de passende garanties; g) een algemene aanwijzing betreffende de
termijnen waarbinnen de verschillende categorieën gegevens moeten worden
gewist; h) de beschrijving van de in artikel 22, lid
3, bedoelde mechanismen. 3. De voor de verwerking
verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger
van de voor de verwerking verantwoordelijke, stellen de toezichthoudende
autoriteit de documenten op verzoek ter beschikking. 4. De in de leden 1 en 2
bedoelde verplichtingen zijn niet van toepassing op de volgende voor de
verwerking verantwoordelijken en verwerkers: a) een natuurlijke persoon die zonder commerciële
belangen persoonsgegevens verwerkt; of b) een onderneming of organisatie met minder
dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de in lid 1
bedoelde documenten, teneinde met name de verantwoordelijkheden in acht te
nemen van de voor de verwerking verantwoordelijke en de verwerker en, in
voorkomend geval, van de vertegenwoordiger van de voor de verwerking
verantwoordelijke. 6. De Commissie kan
standaardformulieren vaststellen voor de in lid 1 bedoelde documenten. Die
uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2,
bedoelde onderzoeksprocedure. Artikel 29
Medewerking met de toezichthoudende autoriteit 1. De
voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval,
de vertegenwoordiger van de voor de verwerking verantwoordelijke verlenen op
verzoek hun medewerking aan met de toezichthoudende autoriteit bij de
uitoefening van diens taken, met name door het verstrekken van de in artikel
53, lid 2, onder a), bedoelde informatie en door het verschaffen van toegang
als bepaald in dat lid, onder b). 2. Wanneer
de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 53, lid
2, uitoefent, antwoorden de voor de verwerking verantwoordelijke en de
verwerker de toezichthoudende autoriteit binnen een redelijke, door de
toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een
beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende
autoriteit genomen maatregelen en behaalde resultaten. AFDELING 2
GEGEVENSBEVEILIGING Artikel 30
Beveiliging van de verwerking 1. De voor de verwerking
verantwoordelijke en de verwerker treffen passende technische en
organisatorische maatregelen om een gelet op de risico’s die de verwerking en
de aard van de te beschermen persoonsgegevens met zich meebrengen, passend
beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand
van de techniek en met de kosten van uitvoering van de maatregelen. 2. De
voor de verwerking verantwoordelijke en de verwerker nemen, na een evaluatie
van de risico’s, de in lid 1 bedoelde maatregelen ter bescherming van
persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig,
of tegen verlies en om andere vormen van onrechtmatige verwerking te voorkomen,
met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of
wijziging van persoonsgegevens. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de voorwaarden voor de in de leden 1
en 2 bedoelde technische en organisatorische maatregelen, waaronder de
vaststelling van de stand van techniek, voor specifieke sectoren en in
specifieke situaties op het gebied van gegevensverwerking, waarbij met name
rekening wordt gehouden met technologische ontwikkelingen en oplossingen inzake
privacy by design en gegevensbescherming by default, tenzij lid 4 van
toepassing is. 4. De Commissie kan zo nodig
uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde
voorschriften toe te snijden op verschillende situaties, met name om: a) ongeoorloofde toegang tot
persoonsgegevens te voorkomen; b) te voorkomen dat persoonsgegevens
ongeoorloofd worden verstrekt, gelezen, gekopieerd, gewijzigd, gewist of
verwijderd; c) ervoor te zorgen dat de rechtmatigheid
van verwerkingen wordt geverifieerd. Die uitvoeringshandelingen worden vastgesteld
volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 31
Melding van een inbreuk in verband met
persoonsgegevens aan de toezichthoudende autoriteit 1. In geval van een inbreuk in
verband met persoonsgegevens meldt de voor de verwerking verantwoordelijke de
toezichthoudende autoriteit deze inbreuk zonder onnodige vertraging en zo
mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer
de melding aan de toezichthoudende autoriteit niet binnen 24 plaatsvindt, gaat
deze vergezeld van een motivering. 2. In overeenstemming met
artikel 26, lid 2, onder f), waarschuwt en informeert de verwerker de voor de
verwerking verantwoordelijke onmiddellijk na de vaststelling van een inbreuk in
verband met persoonsgegevens. 3. De in lid 1 bedoelde melding
bevat ten minste: a) een omschrijving van de aard van de
inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en
aantallen betrokkenen en categorieën en aantallen gegevensrecords; b) de vermelding van de identiteit en de
contactgegevens van de functionaris voor gegevensbescherming of een ander
contactpunt waar meer informatie kan worden verkregen; c) aanbevelingen voor maatregelen om de
mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te
verminderen; d) een omschrijving van de gevolgen van de
inbreuk in verband met persoonsgegevens; e) een omschrijving van de maatregelen die
de voor de verwerking verantwoordelijke heeft voorgesteld of genomen om de
inbreuk in verband met persoonsgegevens aan te pakken. 4. De voor de verwerking
verantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens,
met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de
corrigerende maatregelen die zijn genomen. Deze documenten moeten de
toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te
controleren. De documenten omvatten uitsluitend de voor dat doel noodzakelijke
informatie. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de vaststelling van
de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens en voor
de bijzondere omstandigheden waarin een voor de verwerking verantwoordelijke en
een verwerker verplicht zijn de inbreuk in verband met persoonsgegevens te
melden. 6. De Commissie kan het model
vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op
het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van
de in lid 4 bedoelde documenten, met inbegrip van de termijnen voor het wissen
van de daarin opgenomen informatie. Die uitvoeringshandelingen worden
vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 32
Melding van een inbreuk in verband met
persoonsgegevens aan de betrokkene 1. Wanneer de inbreuk in verband
met persoonsgegevens waarschijnlijk negatieve gevolgen voor de bescherming van
de persoonsgegevens of de privacy van de betrokkene heeft, deelt de voor de
verwerking verantwoordelijke na de in artikel 31 bedoelde melding, de
betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige
vertraging mee. 2. De in lid 1 bedoelde
mededeling aan de betrokkene bevat een omschrijving van de aard van de inbreuk
in verband met persoonsgegevens en ten minste de in artikel 31, lid 3, onder b)
en c), voorgeschreven informatie en aanbevelingen. 3. De melding van een inbreuk in
verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor
de verwerking verantwoordelijke tot voldoening van de toezichthoudende
autoriteit aantoont dat hij de passende technische beschermingsmaatregelen
heeft genomen en dat deze maatregelen werden toegepast op de gegevens waarop de
inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke
technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor
eenieder die geen recht op toegang daartoe heeft. 4. Onverminderd de verplichting
van de voor de verwerking verantwoordelijke om de inbreuk in verband met
persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende
autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te
hebben overwogen, de voor de verwerking verantwoordelijk gelasten de inbreuk in
verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste
dat nog niet heeft gedaan. 5. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten met betrekking tot de
omstandigheden waarin een inbreuk in verband met persoonsgegevens
waarschijnlijk negatieve gevolgen heeft voor de in lid 1 bedoelde
persoonsgegevens. 6. De Commissie kan het model
van de in lid 1 bedoelde melding aan de betrokkene en de op die melding
toepasselijke procedure vaststellen. Die uitvoeringshandelingen worden
vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. AFDELING 3
PRIVACYEFFECTBEOORDELING EN VOORAFGAANDE TOESTEMMING Artikel 33
Privacyeffectbeoordeling 1. Wanneer verwerkingen gezien
hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten
en vrijheden van de betrokkenen, voert de voor de verwerking verantwoordelijke
of de verwerker die ten behoeve van de voor de verwerking verantwoordelijke
optreedt een beoordeling uit van het effect van de beoogde verwerkingen op de
bescherming van persoonsgegevens. 2. Met name de volgende
verwerkingen houden de in lid 1 bedoelde specifieke risico’s in: a) een systematische en uitgebreide
beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon,
bijvoorbeeld om met name zijn economische situatie, verblijfplaats, gezondheid,
persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te
voorspellen, die is gebaseerd op geautomatiseerde verwerking en waarop
maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn
verbonden of die hem in aanzienlijke mate treffen; b) de verwerking van gegevens over het
seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden
van gezondsheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar
geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden
verwerkt voor het nemen van maatregelen of besluiten met betrekking tot
specifieke personen; c) de bewaking van openbaar toegankelijke
ruimten, met name wanneer op grote schaal optisch-elektronische apparatuur
(videobewaking) wordt gebruikt; d) de verwerking in grote bestanden van
persoonsgegevens inzake kinderen en van genetische of biometrische gegevens; e) andere verwerkingen waarvoor op grond van
artikel 34, lid 2, onder b), de toezichthoudende autoriteit moet worden
geraadpleegd. 3. De beoordeling bevat minstens
een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de
risico’s voor de rechten en vrijheden van betrokkenen, de maatregelen die
worden beoogd om de risico’s te beperken, en de waarborgen,
beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens
verzekeren en aantonen dat aan deze verordening is voldaan, met inachtneming
van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken
personen. 4. De voor de verwerking
verantwoordelijke neemt de opmerkingen van betrokkenen en hun
vertegenwoordigers over de voorgenomen verwerking in ontvangst, zonder inbreuk
te maken op de bescherming van commerciële of algemene belangen of de
beveiliging van de verwerkingen. 5. Wanneer de voor de verwerking
verantwoordelijke een overheidsinstantie of –orgaan is en de verwerking het
gevolg is van een in de EU-wetgeving geregelde wettelijke verplichting in de
zin van artikel 6, lid 1, onder c), waarbij voorschriften en procedures inzake
de verwerkingen zijn vastgesteld, zijn de leden 1 tot en met 4 niet van
toepassing, tenzij de lidstaten het nodig achten om voorafgaand aan de
verwerkingen een dergelijke beoordeling uit te voeren. 6. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die
waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en
van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de
voorwaarden voor uitbreidbaarheid en interne en externe toetsing. Daarbij neemt
de Commissie specifieke maatregelen voor micro- en kleine en middelgrote
ondernemingen in overweging. 7. De Commissie kan normen en
procedures vaststellen voor de uitvoering en de interne en externe toetsing van
de in lid 3 bedoelde beoordeling. Die uitvoeringshandelingen worden vastgesteld
volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 34
Voorafgaande toestemming en voorafgaande raadpleging 1. De voor de verwerking
verantwoordelijke en, in voorkomend geval, de verwerker verkrijgen voorafgaand
aan de verwerking van persoonsgegevens toestemming van de toezichthoudende
autoriteit om ervoor te zorgen dat de voorgenomen verwerking aan deze
verordening voldoet en met name om de risico’s voor de betrokkenen te beperken
wanneer een voor de verwerking verantwoordelijke of een verwerker
contractbepalingen vaststelt uit hoofde van artikel 42, lid 2, onder d), of
niet in een juridisch bindend instrument passende garanties voor de bescherming
van persoonsgegevens biedt als bedoeld in artikel 42, lid 5, voor de doorgifte
van persoonsgegevens naar een derde land of een internationale organisatie. 2. De voor de verwerking
verantwoordelijke of de verwerker die ten behoeve van de voor de verwerking
verantwoordelijke optreedt, raadpleegt de toezichthoudende autoriteit
voorafgaand aan de verwerking van de persoonsgegevens om ervoor te zorgen dat
de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s
voor de betrokkenen te beperken wanneer: a) een
privacyeffectbeoordeling als bedoeld in artikel 33 aangeeft dat verwerkingen
vanwege hun aard, hun omvang of hun doel waarschijnlijk grote specifieke risico’s
met zich brengen; of b) de toezichthoudende autoriteit het nodig
acht om vooraf tot raadpleging over te gaan over verwerkingen die naar hun
aard, hun omvang en/of hun doel waarschijnlijk specifieke risico’s voor de
rechten en vrijheden van betrokkenen met zich brengen en die overeenkomstig lid
4 zijn gespecificeerd. 3. Wanneer de toezichthoudende
autoriteit van mening is dat de voorgenomen verwerking niet aan deze
verordening voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld
of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende
voorstellen om alsnog aan deze verordening te voldoen. 4. De toezichthoudende
autoriteit stelt een lijst op van verwerkingen waarover uit hoofde van lid 2,
onder b), voorafgaande raadpleging moet plaatsvinden en publiceert deze. De
toezichthoudende autoriteit deelt deze lijsten mee aan het Europees Comité voor
gegevensbescherming. 5. Wanneer de in lid 4 bedoelde
lijst betrekking heeft op verwerkingen met betrekking tot het aanbieden van
goederen of diensten aan betrokkenen in verschillende lidstaten, of op het
observeren van hun gedrag, of op verwerkingen die het vrije verkeer van
persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de
toezichthoudende autoriteit voorafgaand aan de vaststelling van de lijst de in
artikel 57 bedoelde conformiteitstoetsing toe. 6. De voor de verwerking
verantwoordelijke of de verwerker verstrekt de toezichthoudende autoriteit de
in artikel 33 bedoelde privacyeffectbeoordeling en, op verzoek, alle andere
informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van
de verwerking en met name de risico’s voor de bescherming van de
persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen. 7. De lidstaten raadplegen de
toezichthoudende autoriteit bij de voorbereiding van een door het nationale
parlement vast te stellen wettelijke maatregel of een op een dergelijke
wettelijke maatregel gebaseerde maatregel die de aard van de verwerking
bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze
verordening voldoet en met name de betrokken risico’s voor de betrokkenen te
beperken. 8. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor het bepalen van de
in lid 2, onder a), bedoelde grote specifieke risico’s. 9. De Commissie kan
standaardformulieren en –procedures vaststellen voor de in de leden 1 en 2
bedoelde voorafgaande goedkeuring en raadpleging en standaardformulieren en
–procedures voor het verstrekken van informatie aan de toezichthoudende
autoriteiten overeenkomstig lid 6. Die uitvoeringshandelingen worden
vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. AFDELING 4
FUNCTIONARIS VOOR GEGEVENSBESCHERMING Artikel 35
Aanwijzing van de functionaris voor gegevensbescherming 1. De voor de verwerking
verantwoordelijke en de verwerker wijzen een functionaris voor
gegevensbescherming aan in elk geval waarin: a) de verwerking wordt uitgevoerd door een
overheidsinstantie of –orgaan; of b) de verwerking wordt uitgevoerd door een
onderneming met minimaal 250 werknemers; of c) een voor de verwerking verantwoordelijke
of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun
omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen
vereisen. 2. In het in lid 1, onder b),
bedoelde geval kan een groep van ondernemingen één functionaris voor
gegevensbescherming benoemen. 3. Wanneer de voor de verwerking
verantwoordelijke of de verwerker een overheidsinstantie of –orgaan is, kan de
functionaris voor gegevensbescherming voor verschillende entiteiten van die
instantie of dat orgaan worden aangewezen, met inachtneming van de
organisatiestructuur van de overheidsinstantie of het overheidsorgaan. 4. In andere dan de in lid 1
bedoelde gevallen kunnen de voor de verwerking verantwoordelijke of de
verwerker of verenigingen en andere organen die categorieën voor de verwerking
verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor
gegevensbescherming aanwijzen. 5. De functionaris voor
gegevensbescherming wordt door de voor de verwerking verantwoordelijke of de
verwerker aangewezen op grond van zijn professionele kwaliteiten en, in het
bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk
inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te
vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op
grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door
de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens
vereist is. 6. De voor de verwerking
verantwoordelijke en de verwerker zorgen ervoor dat alle andere
beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar
zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming
en niet tot een belangenconflict leiden. 7. De
voor de verwerking verantwoordelijke of de verwerker wijst een functionaris
voor gegevensbescherming aan voor een periode van tenminste twee jaar. De
functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn
ambtstermijn kan de functionaris voor gegevensbescherming alleen worden
ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering
van zijn taken. 8. De functionaris voor
gegevensbescherming kan in dienst zijn van de voor de verwerking
verantwoordelijke of de verwerker dan wel zijn taken op grond van een
dienstverleningscontract verrichten. 9. De voor de verwerking
verantwoordelijke of de verwerker deelt de toezichthoudende autoriteit en het publiek
de naam en de contactgegevens van de functionaris voor gegevensbescherming mee. 10. Betrokkenen hebben het recht
om met de functionaris voor gegevensbescherming contact op te nemen over alle
aangelegenheden die verband houden met de verwerking van de gegevens van de
betrokkene en om te verzoeken om de uitoefening van de rechten uit hoofde van
deze verordening. 11. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de in lid 1, onder
c), bedoelde hoofdactiviteiten van de voor de verwerking verantwoordelijke of
de verwerker en van de criteria voor de in lid 5 bedoelde professionele
kwaliteiten van de functionaris voor gegevensbescherming. Artikel 36
Positie van de functionaris voor gegevensbescherming 1. De voor de verwerking
verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor
gegevensbescherming naar behoren en tijdig wordt betrokken bij alle
aangelegenheden die verband houden met de bescherming van persoonsgegevens. 2. De voor de verwerking
verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor
gegevensbescherming zijn plichten en taken onafhankelijk vervult en geen
instructies ontvangt met betrekking tot de uitoefening van de functie. De
functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de
leiding van de voor de verwerking verantwoordelijke of de verwerker. 3. De voor de verwerking
verantwoordelijke en de verwerker ondersteunen de functionaris voor
gegevensbescherming bij de vervulling van zijn taken en zorgen voor personeel,
kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling
van de in artikel 37 bedoelde plichten en taken. Artikel 37
Taken van de functionaris voor gegevensbescherming 1. De voor de verwerking
verantwoordelijke en de verwerker dragen de functionaris voor
gegevensbescherming ten minste de volgende taken op: a) het informeren en adviseren van de voor
de verwerking verantwoordelijke en de verwerker over hun verplichtingen op
grond van deze verordening en het documenteren van deze activiteit en de
ontvangen antwoorden; b) het toezien op de uitvoering en
toepassing van het beleid van de voor de verwerking verantwoordelijke of de
verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip
van de toewijzing van verantwoordelijkheden, de opleiding van het bij de
verwerking betrokken personeel en de betreffende audits; c) het toezien op de uitvoering en de
toepassing van deze verordening, met name met betrekking tot de vereisten
inzake privacy by design, privacy by default en gegevensbeveiliging en met
betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van
de uitoefening van hun rechten uit hoofde van deze verordening; d) ervoor zorgen dat de in artikel 28
bedoelde documenten worden bewaard; e) het toezien op het documenteren, melden
en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de
artikelen 31 en 32; f) het toezien op de uitvoering van de
privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de
verwerker en op het verzoek om voorafgaande toestemming of raadpleging, voor
zover daartoe op grond van de artikelen 33 en 34 een verplichting bestaat; g) het toezien op het gevolg dat aan
verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de
grenzen van de bevoegdheid van de functionaris voor gegevensbescherming,
verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek of
op eigen initiatief van de functionaris voor gegevensbescherming; h) het optreden als contactpunt voor de
toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking
en het op eigen initiatief in voorkomend geval raadplegen van de
toezichthoudende autoriteit. 2. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog
op de nadere invulling van de criteria en de vereisten voor de taken,
certificering, positie, bevoegdheden en middelen van de lid 1 genoemde
functionaris voor gegevensbescherming. AFDELING 5
GEDRAGSCODES EN CERTIFICERING Artikel 38
Gedragscodes 1. De lidstaten, de
toezichthoudende autoriteiten en de Commissie bevorderen de opstelling van
gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse
gegevensverwerkingssectoren, moeten bijdragen tot de juiste toepassing van deze
verordening en met name met betrekking tot: a) eerlijke en
transparante gegevensverwerking; b) de verzameling
van gegevens; c) het informeren
van het publiek en de betrokkenen: d) verzoeken van
betrokkenen in het kader van de uitoefening van hun rechten; e) het informeren
en de bescherming van kinderen; f) doorgifte van
gegevens naar derde landen of naar internationale organisaties; g) mechanismen voor
het toezicht op en de verzekering van de naleving van de code door de voor de
verwerking verantwoordelijken die deze hebben onderschreven; h) buitengerechtelijke
procedures en andere procedures voor geschillenbeslechting tussen voor de
verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking
van persoonsgegevens, onverminderd de rechten van de betrokkenen op grond van
de artikelen 73 en 75. 2. Verenigingen en andere
organen die in een lidstaat categorieën voor de verwerking verantwoordelijken
of verwerkers vertegenwoordigen en die het voornemen hebben om een gedragscode
op te stellen of bestaande gedragscodes te wijzigen of uit te breiden, kunnen
deze voor advies aan de toezichthoudende autoriteit in die lidstaat voorleggen.
De toezichthoudende autoriteit kan een advies uitbrengen over de
verenigbaarheid van de ontwerpgedragscode of de wijziging daarvan met deze
verordening. De toezichthoudende autoriteit neemt de opmerkingen van de
betrokkenen of hun vertegenwoordigers over deze ontwerpen in ontvangst. 3. Verenigingen en andere
organen die categorieën voor de verwerking verantwoordelijken in verschillende
lidstaten vertegenwoordigen, kunnen ontwerpgedragscodes en wijzigingen of
uitbreidingen van bestaande gedragscodes aan de Commissie voorleggen. 4. De Commissie kan
uitvoeringshandelingen vaststellen waarbij gedragscodes en wijzigingen of
uitbreidingen van bestaande gedragscodes die haar op grond van lid 3 zijn
voorgelegd, algemeen geldig worden verklaard binnen de Unie. Die uitvoeringshandelingen worden vastgesteld volgens
de in artikel 87, lid 2, bedoelde onderzoeksprocedure. 5. De Commissie zorgt ervoor dat
aan de codes die zij overeenkomstig lid 4 algemeen geldig heeft verklaard,
passende bekendheid wordt gegeven. Artikel 39
Certificering 1. De lidstaten en de Commissie
bevorderen, met name op Europees niveau, de vaststelling van
certificeringsmechanismen voor gegevensbescherming en
gegevensbeschermingszegels en –merktekens, zodat betrokkenen snel het door de
voor de verwerking verantwoordelijken en verwerkers geboden niveau van
gegevensbescherming kunnen beoordelen. De certificeringsmechanismen voor
gegevensbescherming dragen bij tot de juiste toepassing van deze verordening,
met inachtneming van de specifieke kenmerken van de verschillende sectoren en
verwerkingen. 2. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van de criteria en de vereisten voor de in lid 1
bedoelde certificeringsmechanismen voor gegevensbescherming, met inbegrip van
de voorwaarden voor toekenning en intrekking, en van de vereisten voor
erkenning binnen de Unie en in derde landen. 3. De Commissie kan technische
normen vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels
en –merktekens en mechanismen ter bevordering en erkenning van
certificeringsmechanismen en gegevensbeschermingszegels en –merktekens. Die uitvoeringshandelingen worden vastgesteld volgens
de in artikel 87, lid 2, bedoelde onderzoeksprocedure. HOOFDSTUK V
DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES Artikel 40
Algemeen beginsel inzake doorgiften Persoonsgegevens die aan verwerking worden
onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een
internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven
indien, onverminderd de naleving van de andere bepalingen van deze verordening,
de voor de verwerking verantwoordelijke en de verwerker de in dit hoofdstuk
neergelegde voorwaarden hebben nageleefd; dit geldt ook voor verdere doorgiften
van persoonsgegevens vanuit het derde land of de internationale organisatie
naar een ander derde land of een andere internationale organisatie. Artikel 41
Doorgiften op basis van een besluit waarbij het beschermingsniveau passend
wordt verklaard 1. Een doorgifte kan
plaatsvinden wanneer de Commissie heeft besloten dat het betrokken derde land,
of een gebied of een verwerkingssector in dat derde land, of de betrokken
internationale organisatie een passend beschermingsniveau waarborgt. Voor een
dergelijke doorgifte is geen verdere toestemming nodig. 2. Bij de beoordeling van de
vraag of er een passend beschermingsniveau is, houdt de Commissie rekening met
de volgende aspecten: a) de rechtsstaat, de relevante geldende
algemene en sectorale wetgeving, onder meer inzake openbare veiligheid,
defensie, nationale veiligheid en strafrecht, de beroepscodes en de
veiligheidsmaatregelen die in het betrokken derde land of de betrokken
internationale organisatie worden nageleefd, alsook het bestaan van effectieve
en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om
administratief beroep of beroep in rechte in te stellen, met name voor in de
Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven; b) het bestaan en de effectieve werking van
een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land
of de betrokken internationale organisatie, die belast zijn met het toezicht op
de naleving van de gegevensbeschermingsregels, het bijstaan en het adviseren
van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de
toezichthoudende autoriteiten van de Unie en de lidstaten; en c) de internationale verbintenissen die het
betrokken derde land of de betrokken internationale organisatie is aangegaan. 3. De Commissie kan bij besluit
vaststellen dat een derde land, of een gebied of een verwerkingssector in dat
derde land, of een internationale organisatie een passend beschermingsniveau in
de zin van lid 2 waarborgt. De betrokken uitvoeringshandelingen worden
vastgesteld volgens de in artikel 87, lid 2, bedoelde
onderzoeksprocedure. 4. In de uitvoeringshandeling
worden het geografische en het sectorale toepassingsgebied vastgelegd en wordt,
in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende
autoriteit vermeld. 5. De Commissie kan bij besluit
vaststellen dat een derde land, of een gebied of een verwerkingssector in dat
derde land, of een internationale organisatie geen passend beschermingsniveau
in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante
algemene en sectorale wetgeving die in het betrokken derde land of de betrokken
internationale organisatie geldt, geen effectieve en afdwingbare rechten
waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of
beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen
wier persoonsgegevens worden doorgegeven. De betrokken uitvoeringshandelingen
worden vastgesteld volgens de in artikel 87, lid 2, bedoelde
onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht
van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in
artikel 87, lid 3, bedoelde procedure. 6. Wanneer de Commissie
overeenkomstig lid 5 een besluit vaststelt, worden alle doorgiften van
persoonsgegevens naar het betrokken derde land, of een gebied of een
verwerkingssector in dat derde land, of de betrokken internationale organisatie
verboden, onverminderd de artikelen 42 tot en met 44. De Commissie
pleegt te gepasten tijde overleg met het derde land of de internationale
organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat
overeenkomstig lid 5 is vastgesteld. 7. De Commissie maakt in het Publicatieblad
van de Europese Unie een lijst bekend van de derde landen, gebieden en
verwerkingssectoren in derde landen en internationale organisaties waarvoor zij
bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau
gewaarborgd is. 8. De besluiten die de Commissie
op grond van artikel 25, lid 6, of artikel 26, lid 4, van
Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij door
de Commissie worden gewijzigd, vervangen of ingetrokken. Artikel 42
Doorgiften op basis van passende garanties 1. Wanneer de Commissie geen
besluit overeenkomstig artikel 41 heeft vastgesteld, kan een voor de
verwerking verantwoordelijke of een verwerker persoonsgegevens naar een derde
land of een internationale organisatie doorgeven, indien hij in een juridisch
bindend instrument passende garanties voor de bescherming van de
persoonsgegevens biedt. 2. De in lid 1 bedoelde
passende garanties zijn met name: a) bindende bedrijfsvoorschriften
overeenkomstig artikel 43; of b) modelbepalingen inzake
gegevensbescherming die door de Commissie zijn vastgesteld. De betrokken
uitvoeringshandelingen worden vastgesteld volgens de in artikel 87,
lid 2, bedoelde onderzoeksprocedure; of c) modelbepalingen inzake
gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld in
het kader van de in artikel 57 bedoelde conformiteitstoetsing, wanneer die
door de Commissie overeenkomstig artikel 62, lid 1, onder b),
algemeen geldig zijn verklaard; of d) contractuele bepalingen tussen de voor de
verwerking verantwoordelijke of de verwerker en de ontvanger van de gegevens,
die door een toezichthoudende autoriteit overeenkomstig lid 4 zijn
goedgekeurd. 3. Voor een doorgifte op basis
van modelbepalingen inzake gegevensbescherming of bindende
bedrijfsvoorschriften als bedoeld in lid 2, onder a), b) of c),
is geen verdere toestemming nodig. 4. Voor een doorgifte op basis
van contractuele bepalingen als bedoeld in lid 2, onder d), verkrijgt
de voor de verwerking verantwoordelijke of de verwerker overeenkomstig
artikel 34, lid 1, onder a), voorafgaande toestemming van de
contractuele bepalingen van de toezichthoudende autoriteit. Indien de doorgifte
verband houdt met verwerkingen die betrekking hebben op betrokkenen in een
andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer
van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de
in artikel 57 bedoelde conformiteitstoetsing. 5. Wanner er geen passende
garanties in verband met de bescherming van persoonsgegevens in een juridisch
bindend instrument worden geboden, verkrijgt de voor de verwerking
verantwoordelijke of de verwerker voorafgaande toestemming voor de doorgifte,
voor een categorie doorgiften of voor bepalingen die moeten worden opgenomen in
de administratieve regelingen die de basis voor een dergelijke doorgifte
vormen. Die toestemming van de toezichthoudende autoriteit moet met
artikel 34, lid 1, in overeenstemming zijn. Indien de doorgifte
verband houdt met verwerkingen die betrekking hebben op betrokkenen in een
andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer
van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de
in artikel 57 bedoelde conformiteitstoetsing. Toestemmingen die een
toezichthoudende autoriteit op grond van artikel 26, lid 2, van
Richtlijn 95/46/EG heeft verleend, blijven geldig, totdat zij door die
toezichthoudende autoriteit worden gewijzigd, vervangen of ingetrokken. Artikel 43
Doorgiften op grond van bindende bedrijfsvoorschriften 1. Een toezichthoudende
autoriteit keurt in het kader van de in artikel 58 bedoelde
conformiteitstoetsing bindende bedrijfsvoorschriften goed, op voorwaarde dat
deze: a) juridisch bindend zijn voor en van
toepassing zijn op alle leden van de groep van ondernemingen van de voor de
verwerking verantwoordelijke of de verwerker, met inbegrip van hun werknemers,
en dat deze leden op de naleving ervan toezien; b) betrokkenen uitdrukkelijk afdwingbare
rechten toekennen; c) voldoen aan de in lid 2 vastgestelde
vereisten. 2. In de bindende bedrijfsvoorschriften
worden minimaal de volgende elementen vastgelegd: a) de structuur en de contactgegevens van de
groep van ondernemingen en haar leden; b) de gegevensdoorgiften of categorie
doorgiften, met inbegrip van de categorieën persoonsgegevens, het soort verwerking
en de doeleinden daarvan, het soort betrokkenen en de naam van het betrokken
derde land of de betrokken derde landen; c) het intern en extern juridisch bindende
karakter; d) de algemene beginselen inzake
gegevensbescherming, namelijk de doelbinding, de kwaliteit van de gegevens, de
rechtsgrondslag voor verwerking, de verwerking van gevoelige persoonsgegevens,
de maatregelen om de beveiliging van de gegevens te waarborgen en de vereisten
die worden gesteld bij verdere doorgiften aan organisaties die niet door de
bedrijfsvoorschriften zijn gebonden; e) de rechten van betrokkenen en de middelen
om deze rechten uit te oefenen, waaronder het recht niet te worden onderworpen
aan een maatregel op basis van profilering overeenkomstig artikel 20, het
recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit of
een vordering in te stellen bij de bevoegde gerechtelijke instanties van de
lidstaten overeenkomstig artikel 75, en, in voorkomend geval, een
vergoeding te ontvangen voor een inbreuk op de bindende bedrijfsvoorschriften; f) de aanvaarding door een in een lidstaat
gevestigde voor de verwerking verantwoordelijke of verwerker van
aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door
een niet in de Unie gevestigd lid van de groep van ondernemingen; de voor de
verwerking verantwoordelijke of de verwerker kan alleen geheel of gedeeltelijk
van deze aansprakelijkheid worden ontheven, indien hij bewijst dat de schade
niet aan dat lid kan worden toegerekend; g) de wijze waarop betrokkenen
overeenkomstig artikel 11 informatie wordt verschaft over de bindende
bedrijfsvoorschriften, met name de onder d), e) en f) bedoelde
bepalingen; h) de taken van de overeenkomstig
artikel 35 aangewezen functionaris voor gegevensbescherming, waaronder het
toezicht op de naleving van de bindende bedrijfsvoorschriften binnen de groep
van ondernemingen, op de opleiding en op de behandeling van klachten; i) de binnen de groep van ondernemingen
bestaande procedures om te controleren of de bindende bedrijfsvoorschriften
zijn nageleefd; j) de procedures om veranderingen in het
beleid te melden en te registreren en die verandering bij de toezichthoudende
autoriteit aan te melden; k) de procedure voor samenwerking met de
toezichthoudende autoriteit om ervoor te zorgen dat alle leden van de groep van
ondernemingen de bindende bedrijfsvoorschriften naleven, onder meer door de
resultaten van de onder i) bedoelde controles aan de toezichthoudende
autoriteit mee te delen. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van de criteria en de vereisten voor bindende
bedrijfsvoorschriften in de zin van dit artikel, waaronder de criteria voor hun
goedkeuring en de toepassing van lid 2, onder b), d), e) en f),
op de bindende bedrijfsvoorschriften van verwerkers, en de andere vereisten die
nodig zijn om de bescherming van de persoonsgegevens van de betrokkenen te
waarborgen. 4. De Commissie kan het model en
de procedures voor de elektronische uitwisseling van informatie over bindende
bedrijfsvoorschriften in de zin van dit artikel tussen voor de verwerking
verantwoordelijken, verwerkers en toezichthoudende autoriteiten nader
vastleggen. De betrokken uitvoeringshandelingen worden vastgesteld volgens de
in artikel 87, lid 2, bedoelde onderzoeksprocedure. Artikel 44
Afwijkingen 1. Bij ontstentenis van een
besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig
artikel 41 of passende garanties overeenkomstig artikel 42, kan een
doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land
of een internationale organisatie slechts plaatsvinden op voorwaarde dat: a) de betrokkene met de voorgestelde
doorgifte heeft ingestemd, na over de risico’s van dergelijke doorgiften bij
ontstentenis van een besluit waarbij het beschermingsniveau passend wordt
verklaard en passende garanties te zijn geïnformeerd; of b) de doorgifte noodzakelijk is voor de
uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking
verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene
genomen precontractuele maatregelen; of c) de doorgifte noodzakelijk is voor de
sluiting of de uitvoering van een in het belang van de betrokkene tussen de
voor de verwerking verantwoordelijke en een andere natuurlijke of rechtspersoon
gesloten overeenkomst; of d) de doorgifte noodzakelijk is wegens
gewichtige redenen van algemeen belang; of e) de doorgifte noodzakelijk is voor de
vaststelling, de uitoefening of de verdediging van een recht in rechte; of f) de doorgifte noodzakelijk is ter
bescherming van de vitale belangen van de betrokkene of van een andere persoon,
indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming
te geven; of g) de doorgifte geschiedt vanuit een
openbaar register dat krachtens de EU-wetgeving of de nationale wetgeving
bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door
iedere persoon die zich op een rechtmatig belang kan beroepen, kan worden
geraadpleegd, voor zover in het betrokken geval is voldaan aan de voorwaarden
van de EU-wetgeving of de nationale wetgeving voor raadpleging; of h) de doorgifte noodzakelijk is voor de
gerechtvaardigde belangen die door de voor de verwerking verantwoordelijke of
de verwerker worden nagestreefd, en niet als frequent of massaal kan worden
beschouwd, en de voor de verwerking verantwoordelijke of de verwerker alle
omstandigheden in verband met de gegevensdoorgifte of de categorie
gegevensdoorgiften heeft beoordeeld en, indien nodig, op basis van die
beoordeling passende garanties biedt voor de bescherming van de
persoonsgegevens. 2. Een doorgifte overeenkomstig
lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens
of volledige categorieën persoonsgegevens die in het register zijn opgeslagen.
Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang
te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van
die personen of wanneer de gegevens voor hen zijn bestemd. 3. Bij verwerking overeenkomstig
lid 1, onder h), besteedt de voor de verwerking verantwoordelijke of
de verwerker bijzondere aandacht aan de aard van de gegevens, het doel en de
duur van de voorgestelde verwerking of verwerkingen, alsook aan de situatie in
het land van herkomst, het derde land en het land van de uiteindelijke
bestemming en, indien nodig, aan de geboden passende garanties in verband met
de bescherming van persoonsgegevens. 4. Lid 1, onder b), c)
en h), is niet van toepassing op activiteiten die worden verricht door
autoriteiten in de uitoefening van het overheidsgezag. 5. Het in lid 1,
onder d), bedoelde openbaar belang moet erkend zijn in de EU-wetgeving of
de nationale wetgeving van de lidstaat waaronder de voor de verwerking
verantwoordelijke ressorteert. 6. De
voor de verwerking verantwoordelijke of de verwerker staaft de beoordeling en
de in lid 1, onder h), bedoelde passende garanties met bewijsstukken
door middel van de in artikel 28 bedoelde documenten en stelt de
toezichthoudende autoriteit in kennis van de doorgifte. 7. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van het begrip “gewichtige
redenen van algemeen belang” in de zin van lid 1, onder d), en
de criteria en de vereisten voor de in lid 1, onder h), bedoelde
passende garanties. Artikel 45
Internationale samenwerking voor de bescherming van persoonsgegevens 1. In verband met derde landen
en internationale organisaties nemen de Commissie en de toezichthoudende
autoriteiten de nodige maatregelen om: a) procedures voor effectieve internationale
samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de
bescherming van persoonsgegevens wordt vergemakkelijkt; b) internationale wederzijdse bijstand te
bieden bij de handhaving van de wetgeving inzake de bescherming van
persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten,
bijstand bij onderzoeken en uitwisseling van informatie, voor zover passende
garanties voor de bescherming van persoonsgegevens en andere grondrechten en
grondvrijheden bestaan; c) belanghebbenden te betrekken bij
besprekingen en activiteiten om de internationale samenwerking in de handhaving
van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen; d) de uitwisseling en het documenteren van
de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te
bevorderen. 2. Met het oog op de toepassing
van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met
derde landen of internationale organisaties, en met name hun toezichthoudende
autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 41,
lid 3, bij besluit heeft vastgesteld dat zij een passend
beschermingsniveau waarborgen. HOOFDSTUK VI
ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN AFDELING 1
ONAFHANKELIJKHEID Artikel 46
Toezichthoudende autoriteit 1. Elke lidstaat zorgt ervoor
dat één of meer overheidsinstanties verantwoordelijk zijn voor het toezicht op
de toepassing van deze verordening en een bijdrage leveren aan de uniforme
toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele
vrijheden van natuurlijke personen in verband met de verwerking van hun
persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen
de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten
samen met elkaar en met de Commissie. 2. Wanneer er in een lidstaat
meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de
toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de
effectieve deelname van die autoriteiten aan het Europees Comité voor
gegevensbescherming en stelt hij de procedure vast om ervoor te zorgen dat de
andere autoriteiten de regels in verband met de in artikel 57 bedoelde
conformiteitstoetsing naleven. 3. Elke lidstaat deelt de
Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de
rechtsvoorschriften mee die hij overeenkomstig dit hoofdstuk vaststelt, alsook
onverwijld alle latere wijzigingen daarvan. Artikel 47
Onafhankelijkheid 1. De toezichthoudende
autoriteit treedt bij de uitvoering van haar taken en de uitoefening van haar
bevoegdheden volledig onafhankelijk op. 2. Bij de uitvoering van hun
taken vragen noch aanvaarden de leden van de toezichthoudende autoriteit
instructies van wie dan ook. 3. De leden van de
toezichthoudende autoriteit onthouden zich van alle handelingen die
onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen
andere al dan niet bezoldigde beroepswerkzaamheden. 4. Na beëindiging van hun
ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het
aanvaarden van functies en voordelen eerlijkheid en kiesheid. 5. Elke lidstaat zorgt ervoor
dat de toezichthoudende autoriteit kan beschikken over passende menselijke,
technische en financiële middelen, en de huisvesting en infrastructuur die
nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van
wederzijdse bijstand, samenwerking en deelname aan het Europees Comité voor
gegevensbescherming, effectief uit te voeren en uit te oefenen. 6. Elke lidstaat zorgt ervoor
dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door
het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn
leiding staan. 7. De lidstaten zorgen ervoor
dat het financieel toezicht op de toezichthoudende autoriteit haar
onafhankelijkheid niet in het gedrang brengt. De lidstaten zorgen ervoor dat de
toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De
begroting wordt openbaar gemaakt. Artikel 48
Algemene voorwaarden voor de leden van de toezichthoudende autoriteit 1. De lidstaten bepalen dat de
leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de
regering van de betrokken lidstaat worden benoemd. 2. De leden worden gekozen uit
personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen
aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de
uitvoering van hun taken, met name op het gebied van de bescherming van
persoonsgegevens. 3. De taken van een lid worden
beëindigd bij het verstrijken van de ambtstermijn, bij ontslag of bij
verplichte pensionering overeenkomstig lid 5. 4. Een lid kan door de bevoegde
nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn
recht op pensioen of andere in de plaats daarvan komende voordelen vervallen
worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de
uitvoering van de taken of op ernstige wijze is tekortgeschoten. 5. Een lid waarvan de
ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren
totdat een nieuw lid is benoemd. Artikel 49
Oprichting van de toezichthoudende autoriteit Binnen de grenzen van deze verordening
regelt elke lidstaat bij wet: a) de oprichting en het statuut van de
toezichthoudende autoriteit; b) de kwalificaties, de ervaring en de
vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende
autoriteit uit te voeren; c) de voorschriften en de procedures voor de
benoeming van de leden van de toezichthoudende autoriteit, alsook de
voorschriften in verband met handelingen en activiteiten die met de taken van
het ambt onverenigbaar zijn; d) de ambtstermijn van de leden van de
toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de
eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan
zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende
autoriteit door middel van een in de tijd gespreide benoemingsprocedure te
beschermen; e) of de leden van de toezichthoudende
autoriteit opnieuw kunnen worden benoemd; f) het statuut en de gemeenschappelijke
voorwaarden in verband met de taken van de leden en de personeelsleden van de
toezichthoudende autoriteit; g) de voorschriften en de procedures voor de
beëindiging van de taken van de leden van de toezichthoudende autoriteit, onder
meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de
uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten. Artikel 50
Beroepsgeheim Ten aanzien van de vertrouwelijke informatie
die hun bij de uitvoering van hun officiële taken ter kennis is gekomen, geldt
voor de leden en de personeelsleden van de toezichthoudende autoriteit zowel
tijdens hun ambtstermijn als daarna het beroepsgeheim. AFDELING 2
TAKEN EN BEVOEGDHEDEN Artikel 51
Competentie 1. Elke toezichthoudende
autoriteit oefent op het grondgebied van haar lidstaat de bevoegdheden uit die
haar overeenkomstig deze verordening zijn toegekend. 2. Wanneer de verwerking van
persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging
van een voor de verwerking verantwoordelijke of een verwerker in de Unie, en de
voor de verwerking verantwoordelijke of de verwerker is in meer dan één
lidstaat gevestigd, is de toezichthoudende autoriteit van de belangrijkste
vestiging van de voor de verwerking verantwoordelijke of de verwerker bevoegd
voor het toezicht op de verwerkingen van de voor de verwerking
verantwoordelijke of de verwerker in alle lidstaten, onverminderd de bepalingen
van hoofdstuk VII van deze verordening. 3. De toezichthoudende
autoriteit is niet bevoegd om toe te zien op verwerkingen door gerechtelijke
instanties in het kader van hun gerechtelijke taken. Artikel 52
Taken 1. De toezichthoudende
autoriteit: a) ziet toe op en waarborgt de toepassing
van deze verordening; b) neemt kennis van klachten van betrokkenen
of van verenigingen die overeenkomstig artikel 73 betrokkenen
vertegenwoordigen, onderzoekt de aangelegenheid in de mate waarin dat nodig is
en stelt de betrokkene of de vereniging binnen een redelijke termijn in kennis
van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek
of coördinatie met een andere toezichthoudende autoriteit nodig is; c) deelt informatie mee en biedt wederzijdse
bijstand aan andere toezichthoudende autoriteiten en zorgt voor de samenhang in
de toepassing en de handhaving van deze verordening; d) verricht onderzoeken hetzij op eigen
initiatief, hetzij op basis van een klacht of op verzoek van een andere toezichthoudende
autoriteit, en stelt de betrokkene, als die bij die toezichthoudende autoriteit
een klacht heeft ingediend, binnen een redelijke termijn in kennis van het
resultaat van de onderzoeken; e) volgt de relevante ontwikkelingen
voorzover deze de bescherming van persoonsgegevens beïnvloeden, met name de
ontwikkelingen in de informatie- en communicatietechnologieën en de
handelspraktijken; f) wordt geraadpleegd door de instellingen
en organen van de lidstaat over wettelijke en bestuursrechtelijke maatregelen
in verband met de bescherming van de rechten en vrijheden van natuurlijke
personen inzake de verwerking van persoonsgegevens; g) verleent toestemming voor de in
artikel 34 bedoelde verwerkingen en wordt dienaangaande geraadpleegd; h) brengt overeenkomstig artikel 38,
lid 2, advies uit over de ontwerpgedragscodes; i) keurt overeenkomstig artikel 43
bindende bedrijfsvoorschriften goed; j) neemt deel aan de activiteiten van het
Europees Comité voor gegevensbescherming. 2. Elke toezichthoudende autoriteit
geeft voorlichting aan het brede publiek over de risico’s, de regels, de
garanties en de rechten in verband met de verwerking van persoonsgegevens. Er
wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte
activiteiten. 3. De toezichthoudende
autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn
rechten uit hoofde van deze verordening en werkt daartoe, indien nodig, samen
met de toezichthoudende autoriteiten van andere lidstaten. 4. Voor de in lid 1, onder
b), bedoelde klachten stelt de toezichthoudende autoriteit een
klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder
dat andere communicatiemiddelen worden uitgesloten. 5. De prestaties van de
toezichthoudende autoriteit zijn kosteloos voor de betrokkene. 6. Wanneer verzoeken kennelijk
buitensporig zijn, met name door hun repetitieve karakter, kan de
toezichthoudende autoriteit een vergoeding in rekening brengen of ervoor
opteren om de door de betrokkene gevraagde maatregelen niet te nemen. De
bewijslast met betrekking tot het kennelijk buitensporige karakter van het
verzoek rust op de toezichthoudende autoriteit. Artikel 53
Bevoegdheden 1. Elk toezichthoudende
autoriteit is bevoegd om: a) de voor de verwerking verantwoordelijke
of de verwerker in kennis te stellen van een vermeende inbreuk op de
voorschriften inzake de verwerking van persoonsgegevens en, indien nodig, de
voor de verwerking verantwoordelijke of de verwerker te gelasten die inbreuk
met bepaalde maatregelen ongedaan te maken, teneinde de bescherming van de
betrokkene te verbeteren; b) de voor de verwerking verantwoordelijke
of de verwerker te gelasten aan de verzoeken van de betrokkene tot uitoefening
van zijn rechten uit hoofde van deze verordening te voldoen; c) de voor de verwerking verantwoordelijke,
de verwerker en, in voorkomend geval, de vertegenwoordiger te gelasten alle
voor de uitvoering van haar taken relevante informatie te verstrekken; d) erop toe te zien dat de in
artikel 34 bedoelde voorafgaande toestemmingen en voorafgaande
raadplegingen worden nageleefd; e) de voor de verwerking verantwoordelijke
of de verwerker te waarschuwen of te berispen; f) de rectificatie, wissing of vernietiging
van alle gegevens te gelasten indien deze in strijd met de bepalingen van deze
verordening verwerkt zijn, en te gelasten dat van dergelijke handelingen
mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn; g) een tijdelijk of definitief
verwerkingsverbod op te leggen; h) gegevensstromen naar een ontvanger in een
derde land of naar een internationale organisatie op te schorten; i) adviezen uit te brengen over alle
aangelegenheden in verband met de bescherming van persoonsgegevens; j) het nationale parlement, de regering of
andere politieke instellingen, alsook het grote publiek te informeren over alle
aangelegenheden in verband met de bescherming van persoonsgegevens. 2. Elke toezichthoudende
autoriteit kan op grond van haar onderzoeksbevoegdheid van de voor de
verwerking verantwoordelijke of de verwerker verlangen dat zij: a) toegang krijgt tot alle persoonsgegevens
en alle informatie die zij nodig heeft voor de uitvoering van haar taken; b) toegang krijgt tot alle gebouwen en
terreinen van de voor de verwerking verantwoordelijke of de verwerker, met
inbegrip van alle installaties en middelen voor gegevensverwerking, wanneer er
redelijke grond bestaat om aan te nemen dat er in strijd met deze verordening
een activiteit wordt verricht. De onder b) bedoelde bevoegdheden worden
conform de EU-wetgeving en de nationale wetgeving uitgeoefend. 3. Elke toezichthoudende
autoriteit is bevoegd om schendingen van deze verordening ter kennis van de
gerechtelijke autoriteiten te brengen en daartegen in rechte op te treden, met
name overeenkomstig artikel 74, lid 4, en artikel 75, lid 2. 4. Elke toezichthoudende
autoriteit is bevoegd om administratieve inbreuken te bestraffen, met name die
welke in artikel 79, leden 4, 5 en 6, zijn vermeld. Artikel 54
Activiteitenverslag Elke toezichthoudende autoriteit stelt
jaarlijks een verslag over haar activiteiten op. Het verslag wordt ingediend
bij het nationale parlement, ter beschikking gesteld van de Commissie en het
Europees Comité voor gegevensbescherming, en openbaar gemaakt. HOOFDSTUK VII SAMENWERKING EN CONFORMITEIT AFDELING 1
SAMENWERKING Artikel 55
Wederzijdse bijstand 1. De toezichthoudende
autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om
deze verordening op een consequente manier ten uitvoer te leggen en toe te
passen, en nemen maatregelen om effectief met elkaar samen te werken. De
wederzijdse samenwerking bestrijkt met name verzoeken om informatie en
toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemmingen en
raadplegingen, inspecties en de snelle mededeling van informatie over de
opening en het verloop van dossiers wanneer een verwerking betrekking kan
hebben op betrokkenen in verschillende lidstaten. 2. Elke toezichthoudende
autoriteit neemt alle passende maatregelen die nodig zijn om het verzoek van
een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand
na de ontvangst van het verzoek te beantwoorden. Daarbij kan het met name gaan
om de toezending van relevante informatie over het verloop van een onderzoek of
de handhavingsmaatregelen die zijn genomen om verwerkingen die in strijd met
deze verordening plaatsvinden, te doen staken of te verbieden. 3. Het verzoek om informatie
bevat alle nodige informatie, waaronder het doel van en de redenen voor het
verzoek. De uitgewisselde informatie wordt alleen gebruikt voor de aangelegenheid
waarvoor om die informatie verzocht is. 4. Een toezichthoudende
autoriteit tot wie een verzoek om bijstand is gericht, kan dit verzoek slechts
afwijzen, indien: a) zij niet bevoegd is voor het verzoek; of b) het verzoek onverenigbaar is met de bepalingen
van de verordening. 5. De toezichthoudende
autoriteit tot wie het verzoek is gericht, informeert de verzoekende
toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de
vooruitgang van de maatregelen die zijn genomen om aan het verzoek van de
verzoekende toezichthoudende autoriteit te voldoen. 6. De toezichthoudende
autoriteiten delen de door andere toezichthoudende autoriteiten gevraagde
informatie elektronisch en binnen de kortst mogelijke termijn mee met
gebruikmaking van een standaardformulier. 7. De maatregelen die na een
verzoek om wederzijdse bijstand worden genomen, zijn kosteloos. 8. Wanneer een toezichthoudende
autoriteit niet binnen één maand op een verzoek van een andere toezichthoudende
autoriteit reageert, is de verzoekende toezichthoudende autoriteit bevoegd om
overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het
grondgebied van haar lidstaat te nemen en legt zij de aangelegenheid volgens de
in artikel 57 bedoelde procedure voor aan het Europees Comité voor
gegevensbescherming. 9. De toezichthoudende
autoriteit legt vast hoe lang een dergelijke voorlopige maatregel geldig is. De
geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende
autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie
onverwijld die maatregelen met opgave van redenen mee. 10. De Commissie kan het model en
de procedures vastleggen voor de wederzijdse bijstand overeenkomstig dit
artikel, alsook de regelingen voor de elektronische uitwisseling van informatie
tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende
autoriteiten en het Europees Comité voor gegevensbescherming, waaronder het in
lid 6 bedoelde standaardformulier. De betrokken uitvoeringshandelingen
worden vastgesteld volgens de in artikel 87, lid 2, bedoelde
onderzoeksprocedure. Artikel 56
Gezamenlijke maatregelen van toezichthoudende autoriteiten 1. Om de samenwerking en de
wederzijdse bijstand te versterken, voeren de toezichthoudende autoriteiten
gezamenlijke onderzoeksmissies uit en nemen zij gezamenlijke
handhavingsmaatregelen en andere gezamenlijke maatregelen, waaraan aangewezen
leden of personeelsleden van de toezichthoudende autoriteiten van andere
lidstaten deelnemen. 2. In gevallen waarin een
verwerking betrekking heeft op betrokkenen in verschillende lidstaten heeft de
toezichthoudende autoriteit van elk van die lidstaten het recht aan de
gezamenlijke onderzoeksmissies of de gezamenlijke maatregelen deel te nemen. De
bevoegde toezichthoudende autoriteit nodigt de toezichthoudende autoriteit van
elk van die lidstaten uit tot deelname aan de respectieve gezamenlijke
onderzoeksmissies of gezamenlijke maatregelen en beantwoordt onverwijld het
verzoek van een toezichthoudende autoriteit om daaraan deel te nemen. 3. Elke toezichthoudende
autoriteit kan als ontvangende toezichthoudende autoriteit overeenkomstig haar
nationale recht en met toestemming van de ondersteunende toezichthoudende
autoriteit, aan de aan gezamenlijke maatregelen deelnemende leden of
personeelsleden van de ondersteunende toezichthoudende autoriteit
uitvoeringsbevoegdheden toekennen, onder meer in verband met het uitvoeren van
onderzoeksmissies, of, voor zover het nationale recht van de ontvangende
toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de
ondersteunende toezichthoudende autoriteit toestaan om hun
uitvoeringsbevoegdheden overeenkomstig het recht van de ondersteunende
toezichthoudende autoriteit uit te oefenen. Deze uitvoerende bevoegdheden mogen
hierbij uitsluitend onder leiding en, in beginsel, in aanwezigheid van leden of
personeelsleden van de ontvangende toezichthoudende autoriteit worden
uitgeoefend. De leden of de personeelsleden van de ondersteunende
toezichthoudende autoriteit zijn onderworpen aan het nationale recht van de
ontvangende toezichthoudende autoriteit. Hun optreden valt onder de
verantwoordelijkheid van de ontvangende toezichthoudende autoriteit. 4. De toezichthoudende
autoriteiten stellen de praktische aspecten van specifieke samenwerkingsmaatregelen
vast. 5. Wanneer een toezichthoudende
autoriteit niet binnen één maand aan de in lid 2 vastgestelde verplichting
voldoet, zijn de andere toezichthoudende autoriteiten bevoegd om overeenkomstig
artikel 51, lid 1, een voorlopige maatregel op het grondgebied van
haar lidstaat te nemen. 6. De toezichthoudende
autoriteit legt vast hoe lang een in lid 5 bedoelde voorlopige maatregel
geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De
toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming
en de Commissie onverwijld die maatregelen met opgave van redenen mee en legt
de aangelegenheid voor in het kader van de in artikel 57 bedoelde
toetsing. AFDELING 2
CONFORMITEIT Artikel 57
Conformiteitstoetsing Voor de in artikel 46, lid 1,
genoemde doeleinden werken de toezichthoudende autoriteiten in het kader van de
in deze afdeling beschreven conformiteitstoetsing samen met elkaar en met de
Commissie. Artikel 58
Advies van het Europees Comité voor gegevensbescherming 1. Alvorens een toezichthoudende
autoriteit een in lid 2 bedoelde maatregel neemt, deelt zij de
ontwerpmaatregel mee aan het Europees Comité voor gegevensbescherming en de
Commissie. 2. De in lid 1 genoemde
verplichting is van toepassing op een maatregel die rechtsgevolgen in het leven
moet roepen en die: a) betrekking heeft op verwerkingen die
verband houden met het aanbieden van goederen of diensten aan betrokkenen in
verschillende lidstaten, of met het observeren van hun gedrag; of b) van aanzienlijke invloed kan zijn op het
vrije verkeer van persoonsgegevens binnen de Unie; of c) de vaststelling beoogt van een lijst van
verwerkingen waarvoor overeenkomstig artikel 34, lid 5, voorafgaande
raadpleging moet plaatsvinden; of d) de vaststelling beoogt van de in artikel 42,
lid 2, bedoelde modelbepalingen inzake gegevensbescherming; of e) de toestemming beoogt voor de in
artikel 42, lid 2, bedoelde contractuele bepalingen; of f) de goedkeuring beoogt van bindende
bedrijfsvoorschriften in de zin van artikel 43. 3. Elke toezichthoudende
autoriteit of het Europees Comité voor gegevensbescherming kan verzoeken dat
een aangelegenheid aan de conformiteitstoetsing wordt onderworpen, met name
wanneer een toezichthoudende autoriteit geen in lid 2 bedoelde
ontwerpmaatregel meedeelt of niet voldoet aan de verplichting tot wederzijdse
bijstand overeenkomstig artikel 55 of de verplichting inzake gezamenlijke
maatregelen overeenkomstig artikel 56. 4. Om ervoor te zorgen dat deze
verordening correct en consequent wordt toegepast, kan de Commissie verzoeken
dat een aangelegenheid aan de conformiteitstoetsing wordt onderworpen. 5. De toezichthoudende
autoriteiten en de Commissie delen elektronisch door middel van een
standaardformulier alle relevante informatie mee, waaronder naargelang van het
geval een samenvatting van de feiten, de ontwerpmaatregel en de redenen waarom
een dergelijke maatregel moet worden genomen. 6. De voorzitter van het
Europees Comité voor gegevensbescherming stelt de leden van het Europees Comité
voor gegevensbescherming en de Commissie onmiddellijk elektronisch door middel
van een standaardformulier in kennis van alle relevante informatie die het
comité heeft ontvangen. De voorzitter van het Europees Comité voor
gegevensbescherming verstrekt indien nodig vertalingen van relevante
informatie. 7. Het Europees Comité voor
gegevensbescherming brengt over de aangelegenheid een advies uit, indien het
Europees Comité daartoe beslist met gewone meerderheid van stemmen van zijn
leden of indien een toezichthoudende autoriteit of de Commissie binnen één week
nadat de relevante informatie overeenkomstig lid 5 is verstrekt, daarom
verzoekt. Het advies wordt binnen één maand vastgesteld met gewone meerderheid
van stemmen van de leden van het Europees Comité voor gegevensbescherming. De
voorzitter van het Europees Comité voor gegevensbescherming stelt zonder
onnodige vertraging de in de leden 1 en 3 bedoelde toezichthoudende
autoriteit, de Commissie en de overeenkomstig artikel 51 bevoegde
toezichthoudende autoriteit in kennis van het advies en maakt dat advies
bekend. 8. De in lid 1 bedoelde
toezichthoudende autoriteit en de overeenkomstig artikel 51 bevoegde
toezichthoudende autoriteit nemen het advies van het Europees Comité voor
gegevensbescherming in aanmerking en delen de voorzitter van het Europees
Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het
advies door de voorzitter van het Europees Comité voor gegevensbescherming ter
kennis is gebracht, elektronisch door middel van een standaardformulier mee of zij
hun ontwerpmaatregel handhaven of wijzigen en delen in voorkomend geval de
gewijzigde ontwerpmaatregel mee. Artikel 59
Advies van de Commissie 1. Om ervoor te zorgen dat deze
verordening correct en consequent wordt toegepast, kan de Commissie binnen tien
weken nadat een aangelegenheid overeenkomstig artikel 58 is voorgelegd, of
uiterlijk binnen zes weken in het geval van artikel 61, een advies
vaststellen in verband met aangelegenheden die haar overeenkomstig de
artikelen 58 of 61 zijn voorgelegd. 2. Wanneer de Commissie
overeenkomstig lid 1 een advies heeft vastgesteld, neemt de betrokken
toezichthoudende autoriteit het advies van de Commissie zoveel mogelijk in
aanmerking en deelt zij de Commissie en het Europees Comité voor
gegevensbescherming mee of zij voornemens is haar ontwerpmaatregel te handhaven
of te wijzigen. 3. Tijdens de in lid 1
bedoelde periode stelt de toezichthoudende autoriteit de ontwerpmaatregel niet
vast. 4. Wanneer de betrokken
toezichthoudende autoriteit niet voornemens is het advies van de Commissie te
volgen, stelt zij de Commissie en het Europees Comité voor gegevensbescherming
daarvan binnen de in lid 1 bedoelde termijn in kennis. In dat geval wordt
de ontwerpmaatregel gedurende nog één maand niet vastgesteld. Artikel 60
Schorsing van een ontwerpmaatregel 1. Binnen één maand na de in
artikel 59, lid 4, bedoelde mededeling kan de Commissie, wanneer zij
ernstig betwijfelt of de ontwerpmaatregel voor correcte toepassing van deze
verordening zorgt of anderszins tot inconsequente toepassing zou leiden, een
met redenen omkleed besluit vaststellen, waarin de toezichthoudende autoriteit
gevraagd wordt de vaststelling van de ontwerpmaatregel te schorsen, rekening
houdend met het advies dat overeenkomstig artikel 58, lid 7, of artikel 61,
lid 2, door het Europees Comité voor gegevensbescherming is uitgebracht,
indien dat nodig lijkt om: a) de uiteenlopende standpunten van de
toezichthoudende autoriteit en het Europees Comité voor gegevensbescherming te
verzoenen, als dat nog mogelijk blijkt; of b) overeenkomstig artikel 62,
lid 1, onder a), een maatregel vast te stellen. 2. De Commissie legt de duur van
de schorsing vast, die evenwel niet langer mag zijn dan twaalf maanden. 3. Tijdens de in lid 2
bedoelde periode mag de toezichthoudende autoriteit de ontwerpmaatregel niet
vaststellen. Artikel 61
Spoedprocedure 1. In buitengewone
omstandigheden kan een toezichthoudende autoriteit, wanneer zij van mening is
dat er dringend moet worden opgetreden om de belangen van betrokkenen te
beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht
van een betrokkene aanzienlijk kan worden belemmerd door een verandering in de
bestaande toestand, om grote nadelen af te wenden of om andere redenen, in
afwijking van de in artikel 58 bedoelde procedure onverwijld voorlopige
maatregelen met een bepaalde geldigheidsduur nemen. De toezichthoudende
autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie
onverwijld die maatregelen met opgave van redenen mee. 2. Wanneer een toezichthoudende
autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening
is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het
Europees Comité voor gegevensbescherming met opgave van redenen, waaronder de
redenen waarom de definitieve maatregelen spoedeisend zijn, om een dringend
advies verzoeken. 3. Een toezichthoudende
autoriteit kan met opgave van redenen, waaronder de redenen waarom er dringend
moet worden opgetreden, om een dringend advies verzoeken, wanneer de bevoegde
toezichthoudende autoriteit geen passende maatregel heeft genomen in een
situatie waarin er dringend moet worden opgetreden om de belangen van
betrokkenen te beschermen. 4. In afwijking van
artikel 58, lid 7, wordt een in de leden 2 en 3 bedoeld dringend
advies binnen twee weken met gewone meerderheid van stemmen van de leden van
het Europees Comité voor gegevensbescherming vastgesteld. Artikel 62
Uitvoeringshandelingen 1. De Commissie kan
uitvoeringshandelingen vaststellen om: a) te besluiten over de correcte toepassing
van deze verordening overeenkomstig haar doelstellingen en vereisten in verband
met aangelegenheden die overeenkomstig artikel 58 of artikel 61 door
toezichthoudende autoriteiten zijn meegedeeld, een aangelegenheid waarvoor
overeenkomstig artikel 60, lid 1, een met redenen omkleed besluit is
vastgesteld of een aangelegenheid waarvoor een toezichthoudende autoriteit geen
ontwerpmaatregel indient en zij heeft meegedeeld dat zij niet voornemens is het
overeenkomstig artikel 59 door de Commissie vastgestelde advies te volgen; b) binnen de in artikel 59, lid 1,
bedoelde termijn te besluiten of zij in artikel 58, lid 2,
onder d), bedoelde ontwerp‑modelbepalingen inzake gegevensbescherming
algemeen geldig verklaart; c) het model en de procedures voor de
toepassing van de in deze afdeling bedoelde conformiteitstoetsing vast te
leggen; d) de regelingen voor de elektronische
uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en
tussen toezichthoudende autoriteiten en het Europees Comité voor
gegevensbescherming, met name het in artikel 58, leden 5, 6
en 8, bedoelde standaardformulier, vast te leggen. Die uitvoeringshandelingen worden vastgesteld
volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. 2. De Commissie stelt om
dwingende en gegronde redenen van spoedeisendheid die verband houden met de
belangen van betrokkenen in de in lid 1, onder a), bedoelde gevallen,
onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in
artikel 87, lid 3, bedoelde procedure. Die handelingen blijven geldig
voor een duur die niet langer mag zijn dan twaalf maanden. 3. De vaststelling of
niet-vaststelling van een maatregel overeenkomstig deze afdeling doet geen
afbreuk aan andere maatregelen die de Commissie overeenkomstig het Verdrag
heeft vastgesteld. Artikel 63
Tenuitvoerlegging 1. Voor de toepassing van deze
verordening wordt een uitvoerbare maatregel van de toezichthoudende autoriteit
van een lidstaat in alle betrokken lidstaten ten uitvoer gelegd. 2. Wanneer een toezichthoudende
autoriteit voor een ontwerpmaatregel in strijd met artikel 58,
leden 1 tot en met 5, de conformiteitstoetsing niet naleeft, wordt
die maatregel niet rechtsgeldig en uitvoerbaar geacht. AFDELING 3
EUROPEES COMITÉ VOOR GEGEVENSBESCHERMING Artikel 64
Europees Comité voor gegevensbescherming 1. Er wordt een Europees Comité
voor gegevensbescherming ingesteld. 2. Het Europees Comité voor
gegevensbescherming bestaat uit de voorzitter van één toezichthoudende
autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming. 3. Wanneer in een lidstaat meer
dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing
van de bepalingen van deze verordening, wordt de voorzitter van één van deze
toezichthoudende autoriteiten als gezamenlijke vertegenwoordiger aangewezen. 4. De Commissie heeft het recht
deel te nemen aan de activiteiten en bijeenkomsten van het Europees Comité voor
gegevensbescherming en wijst een vertegenwoordiger aan. De voorzitter van het
Europees Comité voor gegevensbescherming informeert de Commissie onverwijld
over alle activiteiten van het Europees Comité voor gegevensbescherming. Artikel 65
Onafhankelijkheid 1. Het Europees Comité voor
gegevensbescherming treedt bij de uitvoering van zijn taken overeenkomstig de
artikelen 66 en 67 onafhankelijk op. 2. Onverminderd de in
artikel 66, lid 1, onder b), en artikel 66, lid 2,
bedoelde verzoeken van de Commissie, vraagt noch aanvaardt het Europees Comité
voor gegevensbescherming instructies van wie dan ook. Artikel 66
Taken van het Europees Comité voor gegevensbescherming 1. Het Europees Comité voor
gegevensbescherming zorgt ervoor dat deze verordening consequent wordt
toegepast. Daartoe verricht het Europees Comité voor gegevensbescherming op
eigen initiatief of op verzoek van de Commissie de volgende activiteiten: a) adviseren van de Commissie over
aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie,
waaronder alle voorgestelde wijzigingen van deze verordening; b) onderzoeken van, op eigen initiatief of
op verzoek van één van zijn leden of op verzoek van de Commissie, van alle
kwesties in verband met de toepassing van deze verordening en opstellen van
richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten,
teneinde te bevorderen dat deze verordening consequent wordt toegepast; c) evalueren van de praktische toepassing
van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken
en hierover regelmatig verslag uitbrengen bij de Commissie; d) uitbrengen van adviezen over
ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van de in
artikel 57 bedoelde conformiteitstoetsing; e) bevorderen van samenwerking en effectieve
bilaterale en multilaterale uitwisseling van de informatie en praktijken tussen
de toezichthoudende autoriteiten; f) bevorderen van gemeenschappelijke
opleidingsprogramma’s en vergemakkelijken van uitwisselingen van
personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend
geval, met de toezichthoudende autoriteiten van derde landen of van
internationale organisaties; g) bevorderen van de uitwisseling van kennis
en documentatie over de wetgeving en praktijken op het gebied van
gegevensbescherming met de toezichthoudende autoriteiten op het gebied van
gegevensbescherming wereldwijd. 2. Wanneer de Commissie het
Europees Comité voor gegevensbescherming om advies vraagt, kan zij een termijn
bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met
inachtneming van de spoedeisendheid van de aangelegenheid. 3. Het Europees Comité voor
gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste
praktijken toe aan de Commissie en aan het in artikel 87 bedoelde comité
en maakt deze bekend. 4. De Commissie informeert het
Europees Comité voor gegevensbescherming over de maatregelen die zij naar
aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van
het Europees Comité voor gegevensbescherming heeft genomen. Artikel 67
Rapportage 1. Het Europees Comité voor gegevensbescherming
informeert de Commissie regelmatig en tijdig over de resultaten van zijn
activiteiten. Het stelt een jaarverslag op over de situatie in verband met de
bescherming van natuurlijke personen met betrekking tot de verwerking van
persoonsgegevens in de Unie en in derde landen. Het verslag omvat de in artikel 66,
lid 1, onder c), bedoelde evaluatie van de richtsnoeren,
aanbevelingen en beste praktijken. 2. Het verslag wordt openbaar
gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie. Artikel 68
Procedure 1. Het Europees Comité voor
gegevensbescherming neemt besluiten met gewone meerderheid van zijn leden. 2. Het Europees Comité voor
gegevensbescherming stelt zijn reglement van orde en zijn eigen werkregelingen
vast. Het comité zorgt er met name voor dat het zijn activiteiten kan
voortzetten wanneer de ambtstermijn van een lid afloopt of een lid ontslag
neemt, dat er voor specifieke kwesties of sectoren subgroepen worden opgericht
en dat er voor de in artikel 57 bedoelde conformiteitstoetsing procedures
worden vastgesteld. Artikel 69
Voorzitter 1. Het Europees Comité voor
gegevensbescherming kiest uit zijn leden een voorzitter en twee
vicevoorzitters. De Europese Toezichthouder voor gegevensbescherming is een van
de twee vicevoorzitters, tenzij hij tot voorzitter is gekozen. 2. De ambtstermijn van de
voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden
verlengd. Artikel 70
Taken van de voorzitter 1. De voorzitter heeft de
volgende taken: a) het samenroepen van de bijeenkomsten van
het Europees Comité voor gegevensbescherming en het voorbereiden van de agenda
daarvan; b) ervoor zorgen dat de taken van het
Europees Comité voor gegevensbescherming tijdig worden uitgevoerd, met name wat
de in artikel 57 bedoelde conformiteitstoetsing betreft. 2. Het Europees Comité voor
gegevensbescherming stelt in zijn reglement van orde de taakverdeling tussen de
voorzitter en de vicevoorzitters vast. Artikel 71
Secretariaat 1. Het Europees Comité voor
gegevensbescherming heeft een secretariaat. De Europese Toezichthouder voor
gegevensbescherming zorgt voor dat secretariaat. 2. Het secretariaat biedt het
Europees Comité voor gegevensbescherming onder leiding van zijn voorzitter
analytische, administratieve en logistieke ondersteuning. 3. Het secretariaat is met name
belast met: a) de dagelijkse werking van het Europees
Comité voor gegevensbescherming; b) de communicatie tussen de leden van het
Europees Comité voor gegevensbescherming, zijn voorzitter en de Commissie en de
communicatie met andere instellingen en het brede publiek; c) het gebruik van elektronische middelen
voor interne en externe communicatie; d) de vertaling van relevante informatie; e) de voorbereiding en follow‑up van de
bijeenkomsten van het Europees Comité voor gegevensbescherming; f) de voorbereiding, het opstellen en de
bekendmaking van de adviezen en andere teksten die door het Europees Comité
voor gegevensbescherming worden aangenomen. Artikel 72
Vertrouwelijkheid 1. De besprekingen van het
Europees Comité voor gegevensbescherming zijn vertrouwelijk. 2. De documenten die aan de
leden van het Europees Comité voor gegevensbescherming, deskundigen en
vertegenwoordigers van derde partijen worden voorgelegd, zijn vertrouwelijk,
tenzij daartoe overeenkomstig Verordening (EG) nr. 1049/2001 toegang
is verleend of het Europees Comité voor gegevensbescherming deze op een andere
wijze bekendmaakt. 3. De leden van het Europees
Comité voor gegevensbescherming alsmede de deskundigen en de vertegenwoordigers
van derde partijen zijn verplicht de in dit artikel vastgestelde
vertrouwelijkheidsplicht na te leven. De voorzitter zorgt ervoor dat de
deskundigen en de vertegenwoordigers van derde partijen in kennis worden
gesteld van de voor hen geldende vertrouwelijkheidsvereisten. HOOFDSTUK VIII BEROEP, AANSPRAKELIJKHEID EN SANCTIES Artikel 73
Recht een klacht in te dienen bij een toezichthoudende autoriteit 1. Onverminderd andere
mogelijkheden van administratief beroep of beroep in rechte, heeft iedere
betrokkene het recht een klacht in te dienen bij een toezichthoudende
autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem
betreffende persoonsgegevens niet aan deze verordening voldoet. 2. Alle organen, organisaties of
verenigingen die de bescherming van de rechten en belangen van betrokkenen in
verband met de bescherming van hun persoonsgegevens tot doel hebben en die op
geldige wijze volgens het recht van een lidstaat zijn opgericht, hebben het
recht een klacht in te dienen bij een toezichthoudende autoriteit in een
lidstaat namens een of meer betrokkenen, indien zij van mening zijn dat de
rechten van betrokkenen uit hoofde van deze verordening geschonden zijn als
gevolg van de verwerking van persoonsgegevens. 3. Onafhankelijk van een klacht
van een betrokkene, hebben alle in lid 2 bedoelde organen, organisaties of
verenigingen het recht een klacht in te dienen bij een toezichthoudende
autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in
verband met persoonsgegevens heeft plaatsgevonden. Artikel 74
Recht een beroep in rechte in te stellen tegen een toezichthoudende
autoriteit 1. Iedere natuurlijke of
rechtspersoon heeft het recht tegen hem betreffende besluiten van een
toezichthoudende autoriteit een beroep in rechte in te stellen. 2. Iedere betrokkene heeft het
recht een beroep in rechte in te stellen teneinde de toezichthoudende
autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen
besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer
de toezichthoudende autoriteit hem niet overeenkomstig artikel 52,
lid 1, onder b), binnen drie maanden van de vooruitgang of het
resultaat van de klacht in kennis heeft gesteld. 3. Een vordering tegen een
toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van
de lidstaat waar de toezichthoudende autoriteit gevestigd is. 4. Een betrokkene waarop een
besluit van een toezichthoudende autoriteit van een andere lidstaat dan die
waar hij gewoonlijk verblijft, betrekking heeft, kan de toezichthoudende
autoriteit van de lidstaat waar hij gewoonlijk verblijft vragen om namens hem
in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een
vordering in te stellen. 5. De lidstaten leggen de
definitieve beslissingen van de gerechtelijke instanties in de zin van dit
artikel ten uitvoer. Artikel 75
Recht een beroep in rechte in te stellen tegen een voor de verwerking
verantwoordelijke of een verwerker 1. Onverminderd andere
mogelijkheden van administratief beroep, waaronder het in artikel 73
bedoelde recht een klacht in te dienen bij een toezichthoudende autoriteit,
heeft iedere natuurlijke persoon het recht een beroep in rechte in te stellen,
indien hij van mening is dat zijn rechten uit hoofde van deze verordening
geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die
niet aan deze verordening voldoet. 2. Een vordering tegen een voor
de verwerking verantwoordelijke of een verwerker wordt ingesteld bij de
gerechtelijke instanties van de lidstaat waar de voor de verwerking
verantwoordelijke of de verwerker een vestiging heeft. Een dergelijke vordering
kan ook worden ingesteld bij de gerechtelijke instanties van de lidstaat waar
de betrokkene gewoonlijk verblijft, tenzij de voor de verwerking
verantwoordelijke een autoriteit is die optreedt in de uitoefening van het
overheidsgezag. 3. Wanneer dezelfde maatregel,
hetzelfde besluit of dezelfde praktijk het voorwerp uitmaakt van de in
artikel 58 bedoelde conformiteitstoetsing, kan een gerechtelijke instantie
het voor haar aanhangige geding schorsen, tenzij het op grond van
spoedeisendheid voor de bescherming van de rechten van betrokkene niet mogelijk
is om te wachten op het resultaat van de conformiteitstoetsing. 4. De lidstaten leggen de
definitieve beslissingen van de gerechtelijke instanties in de zin van dit
artikel ten uitvoer. Artikel 76
Gemeenschappelijke voorschriften voor beroepen in rechte 1. Alle in artikel 73,
lid 2, bedoelde organen, organisaties of verenigingen hebben het recht de
in de artikelen 74 en 75 bedoelde rechten namens één of meer
betrokkenen uit te oefenen. 2. Elke toezichthoudende
autoriteit heeft het recht in rechte op te treden en bij een gerechtelijke
instantie een vordering in te stellen om de bepalingen van deze verordening te
doen naleven of om de conformiteit van de bescherming van persoonsgegevens in
de Unie te garanderen. 3. Wanneer een bevoegde
gerechtelijke instantie van een lidstaat gegronde redenen heeft om aan te nemen
dat er tegelijkertijd in een andere lidstaat een vordering is ingesteld, neemt
het contact op met de bevoegde gerechtelijke instantie in de andere lidstaat om
zich ervan te vergewissen dat er een dergelijk parallel geding bestaat. 4. Wanneer een dergelijk
parallel geding in een andere lidstaat dezelfde maatregel, hetzelfde besluit of
dezelfde praktijk betreft, kan de gerechtelijke instantie het geding schorsen. 5. De lidstaten zorgen ervoor
dat hun nationale wetgeving voorziet in rechtsgedingen waarbij snel maatregelen
kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de
vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken
belangen verder worden geschaad. Artikel 77
Recht op vergoeding en aansprakelijkheid 1. Iedere persoon die schade
heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die
met deze verordening strijdig is, heeft het recht om van de voor de verwerking
verantwoordelijke of de verwerker vergoeding te ontvangen. 2. Wanneer meer dan één voor de
verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn
alle voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden
tot volledige vergoeding van de schade. 3. De voor de verwerking
verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven
van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan
worden toegerekend. Artikel 78
Sancties 1. De lidstaten stellen de
regels inzake sancties vast die van toepassing zijn op schendingen van deze
verordening en treffen alle maatregelen die nodig zijn om de daadwerkelijke
toepassing van die sancties te garanderen, onder meer in het geval waarin de
voor de verwerking verantwoordelijke de verplichting om een vertegenwoordiger
aan te wijzen niet heeft nageleefd. De vastgestelde sancties moeten
doeltreffend, evenredig en afschrikkend zijn. 2. Wanneer de voor de verwerking
verantwoordelijke een vertegenwoordiger heeft aangewezen, worden alle sancties
op de vertegenwoordiger toegepast, onverminderd de sanctieprocedures die tegen
de voor de verwerking verantwoordelijke kunnen worden ingesteld. 3. Elke lidstaat deelt de
Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de
rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook
onverwijld alle latere wijzigingen daarvan. Artikel 79
Administratieve sancties 1. Elke toezichthoudende
autoriteit is bevoegd om overeenkomstig dit artikel administratieve sancties op
te leggen. 2. De administratieve sanctie is
in elke zaak doeltreffend, evenredig en afschrikkend. Het bedrag van de
administratieve geldboete wordt vastgesteld op grond van de aard, de ernst en
de duur van de inbreuk, het feit of de inbreuk opzettelijk of uit nalatigheid
is gepleegd, de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is
en reeds vorige inbreuken heeft gepleegd, de technische en organisatorische
maatregelen en procedures die overeenkomstig artikel 23 ten uitvoer zijn
gelegd en de mate waarin er met de toezichthoudende autoriteit is samengewerkt
om de inbreuk te verhelpen. 3. Bij een eerste en niet‑opzettelijke
niet‑naleving van deze verordening kan een schriftelijke waarschuwing worden
gegeven zonder dat er een sanctie wordt opgelegd, wanneer: a) een natuurlijke persoon persoonsgegevens
verwerkt zonder commerciële belangen; of b) een onderneming of organisatie met minder
dan 250 werknemers persoonsgegevens slechts als nevenactiviteit verwerkt. 4. De toezichthoudende
autoriteit legt een geldboete tot 250 000 euro op of, bij een
onderneming, een geldboete van 0,5 % van haar jaarlijkse wereldwijde
omzet, aan eenieder die opzettelijk of uit nalatigheid: a) niet voorziet in mechanismen voor de
uitoefening van de rechten van betrokkenen of niet onmiddellijk of in de
vereiste vorm betrokkenen antwoordt overeenkomstig artikel 12,
leden 1 en 2; b) in strijd met artikel 12,
lid 4, een vergoeding aanrekent voor informatie of voor het beantwoorden
van verzoeken van betrokkenen. 5. De toezichthoudende
autoriteit legt een geldboete tot 500 000 euro op of, bij een
onderneming, een geldboete van 1 % van haar jaarlijkse wereldwijde omzet,
aan eenieder die opzettelijk of uit nalatigheid: a) de betrokkene geen informatie verstrekt,
of onvolledige informatie verstrekt, of de informatie niet op voldoende
transparante wijze verstrekt overeenkomstig artikel 11, artikel 12,
lid 3, en artikel 14; b) de betrokkene geen toegang verstrekt
overeenkomstig artikel 15, persoonsgegevens niet rectificeert
overeenkomstig artikel 16 of een ontvanger relevante informatie niet
meedeelt overeenkomstig artikel 13; c) het recht om te worden vergeten of het
recht op uitwissing van gegevens niet eerbiedigt, geen mechanismen invoert om
ervoor te zorgen dat de termijnen worden nageleefd, of niet alle nodige
maatregelen neemt om derde partijen in kennis te stellen van verzoeken van
betrokkenen om koppelingen naar of kopieën of reproducties van persoonsgegevens
uit te wissen overeenkomstig artikel 17; d) in strijd met artikel 18 geen
elektronische kopie van persoonsgegevens verstrekt of de betrokkene verhindert
om persoonsgegevens naar een andere toepassing over te dragen; e) niet of niet voldoende de respectieve
verantwoordelijkheden van gemeenschappelijk voor de verwerking
verantwoordelijken vaststelt overeenkomstig artikel 24; f) geen of niet voldoende documenten
bewaart overeenkomstig artikel 28, artikel 31, lid 4, en
artikel 44, lid 3; g) in gevallen waarin geen bijzondere
categorieën gegevens worden verwerkt, de voorschriften in verband met de
vrijheid van meningsuiting of de verwerking in het kader van de
arbeidsverhouding, of de voorwaarden voor verwerking voor historische,
statistische of wetenschappelijke doeleinden niet naleeft overeenkomstig de
artikelen 80, 82 en 93. 6. De toezichthoudende
autoriteit legt een geldboete tot 1 000 000 euro op of, bij een
onderneming, een geldboete van 2 % van haar jaarlijkse wereldwijde omzet,
aan eenieder die opzettelijk of uit nalatigheid: a) persoonsgegevens verwerkt zonder of
zonder toereikende rechtsgrondslag voor de verwerking of de voorwaarden voor
toestemming niet naleeft overeenkomstig de artikelen 6, 7 en 8; b) in strijd met de artikelen 9
en 81 bijzondere categorieën gegevens verwerkt; c) geen gevolg geeft aan een bezwaar of een
verplichting overeenkomstig artikel 19; d) de voorwaarden in verband met de
maatregelen op basis van profilering niet naleeft overeenkomstig
artikel 20; e) geen intern beleid vaststelt of geen
passende maatregelen uitvoert om voor naleving te zorgen en die naleving te
kunnen aantonen overeenkomstig de artikelen 22, 23 en 30; f) geen vertegenwoordiger aanwijst
overeenkomstig artikel 25; g) persoonsgegevens verwerkt, of opdracht
tot de verwerking van persoonsgegevens geeft, in strijd met de verplichtingen
inzake verwerking namens een voor de verwerking verantwoordelijke
overeenkomstig de artikelen 26 en 27; h) de toezichthoudende autoriteit of de
betrokkene niet waarschuwt bij een inbreuk in verband met persoonsgegevens of
die inbreuk niet tijdig of niet volledig meldt overeenkomstig de
artikelen 31 en 32; i) geen privacyeffectbeoordeling verricht,
of persoonsgegevens verwerkt zonder voorafgaande toestemming of voorafgaande
raadpleging van de toezichthoudende autoriteit overeenkomstig de
artikelen 33 en 34; j) geen gegevensbeschermingsfunctionaris
aanwijst of niet de voorwaarden in het leven roept voor de uitvoering van diens
taken overeenkomstig de artikelen 35, 36 en 37; k) misbruik maakt van een
gegevensbeschermingszegel of ‑merktekens in de zin van artikel 39; l) een gegevensdoorgifte naar een derde
land of een internationale organisatie verricht, of opdracht daartoe geeft, die
niet is toegestaan op basis van een besluit waarbij het beschermingsniveau
passend wordt verklaard of passende garanties of een afwijking overeenkomstig
de artikelen 40 tot en met 44; m) een bevel of een tijdelijk of definitief
verwerkingsverbod of een opschorting van gegevensstromen door de
toezichthoudende autoriteit niet naleeft overeenkomstig artikel 53,
lid 1; n) de verplichtingen inzake het assisteren
van, het geven van antwoord of het verstrekken van relevante informatie aan, of
het verlenen van toegang aan de toezichthoudende autoriteit tot gebouwen en
terreinen niet naleeft overeenkomstig artikel 28, lid 3,
artikel 29, artikel 34, lid 6, en artikel 53, lid 2; o) de voorschriften inzake het bewaren van
het beroepsgeheim niet naleeft overeenkomstig artikel 84. 7. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen
teneinde de bedragen van de in de leden 4, 5 en 6 bedoelde geldboeten
te actualiseren, rekening houdend met de in lid 2 bedoelde criteria. HOOFDSTUK IX
BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN
GEGEVENSVERWERKING Artikel 80
Verwerking van persoonsgegevens en vrijheid van meningsuiting 1. De
lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend
journalistieke of voor artistieke en literaire doeleinden in uitzonderingen op
of afwijkingen van de bepalingen inzake de algemene beginselen in
hoofdstuk II, de rechten van de betrokkenen in hoofdstuk III, de voor
de verwerking verantwoordelijke en de verwerker in hoofdstuk IV, de doorgifte
van persoonsgegevens naar derde landen en internationale organisaties in
hoofdstuk V, de onafhankelijke toezichthoudende autoriteiten in
hoofdstuk VI en samenwerking en conformiteit in hoofdstuk VII, om het
recht op bescherming van persoonsgegevens te verzoenen met de regels
betreffende de vrijheid van meningsuiting. 2. Elke lidstaat deelt de
Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de
rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook
onverwijld alle latere wijzigingen daarvan. Artikel 81
Verwerking van persoonsgegevens over gezondheid 1. Binnen de grenzen van deze
verordening en overeenkomstig artikel 9, lid 2, onder h), moeten
verwerkingen van persoonsgegevens over gezondheid worden verricht op grond van
EU-wetgeving of nationale wetgeving waarin passende en specifieke waarborgen
voor de bescherming van de gerechtvaardigde belangen van de betrokkene zijn
opgenomen, en moeten deze verwerkingen noodzakelijk zijn: a) voor doeleinden van preventieve of arbeidsgeneeskunde,
medische diagnose, het verstrekken van zorg of behandelingen of het beheren van
gezondheidsdiensten, mits die gegevens worden verwerkt door een
gezondheidswerker die onderworpen is aan het in de nationale wetgeving, of in
de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde
beroepsgeheim of door een andere persoon voor wie een gelijkwaardige
vertrouwelijkheidsplicht geldt; of b) om redenen van openbaar belang op het
gebied van volksgezondheid, zoals de bescherming tegen ernstige
grensoverschrijdende bedreigingen voor de gezondheid of het garanderen van hoge
kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen of medische
hulpmiddelen; of c) om andere redenen van openbaar belang op
gebieden als sociale bescherming, vooral voor wat betreft het waarborgen van de
kwaliteit en de rentabiliteit van de procedures voor de afwikkeling van
aanvragen voor uitkeringen en diensten in het kader van de
ziektekostenverzekering. 2. De verwerking van
persoonsgegevens over gezondheid die noodzakelijk is voor historische,
statistische of wetenschappelijke doeleinden, zoals patiëntenregisters om de
diagnoses te verbeteren, soortgelijke typen ziekten te onderscheiden en studies
voor therapieën voor te bereiden, is onderworpen aan de in artikel 83
genoemde voorwaarden en waarborgen. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van de in lid 1, onder b), bedoelde andere
redenen van openbaar belang op het gebied van volksgezondheid, en van de
criteria en de vereisten voor de waarborgen voor de verwerking van
persoonsgegevens voor de in lid 1 bedoelde doeleinden. Artikel 82
Verwerking in het kader van de arbeidsverhouding 1. Binnen de grenzen van deze verordening
kunnen de lidstaten bij wet specifieke voorschriften vaststellen voor de
verwerking van de persoonsgegevens van werknemers in het kader van de
arbeidsverhouding, met name met het oog op aanwerving, de uitvoering van het
arbeidscontract, met inbegrip van de naleving van wettelijke of uit collectieve
overeenkomsten voortvloeiende verplichtingen, het beheer, de planning en de
organisatie van de arbeid, en gezondheid en veiligheid op het werk, met het oog
op de uitoefening en het genot van de met de arbeidsverhouding samenhangende
individuele of collectieve rechten en voordelen, en met het oog op de
beëindiging van de arbeidsverhouding. 2. Elke
lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2,
vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1
vaststelt, alsook onverwijld alle latere wijzigingen daarvan. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van de criteria en de vereisten voor de waarborgen
voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde
doeleinden. Artikel 83
Verwerking voor historische, statistische en wetenschappelijke doeleinden 1. Binnen de grenzen van deze
verordening mogen persoonsgegevens alleen voor historische, statistische of
wetenschappelijke doeleinden worden verwerkt, wanneer: a) deze doeleinden niet op een andere manier
kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de
betrokkene niet of niet langer kan worden geïdentificeerd; b) gegevens waardoor informatie aan een
geïdentificeerde of identificeerbare betrokkene kan worden toegekend,
gescheiden worden bewaard van andere informatie, voor zover deze doeleinden op
die manier kunnen worden bereikt. 2. Organen die historisch, statistisch
of wetenschappelijk onderzoek verrichten, mogen persoonsgegevens alleen
publiceren of op andere wijze bekendmaken, wanneer: a) de betrokkene onder de in artikel 7
gestelde voorwaarden daarvoor toestemming heeft gegeven; b) de publicatie van persoonsgegevens nodig
is om de onderzoeksresultaten te presenteren of het onderzoek te
vergemakkelijken, mits de belangen of de grondrechten en grondvrijheden van de
betrokkene geen voorrang hebben boven deze belangen; of c) de betrokkene de gegevens heeft bekendgemaakt. 3. De Commissie is bevoegd
overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het
oog op de nadere invulling van de criteria en de vereisten voor de verwerking
van persoonsgegevens voor de in de leden 1 en 2 bedoelde doeleinden,
van de nodige beperkingen van het recht op informatie en toegang van de
betrokkene, en van de in die omstandigheden geldende voorwaarden en waarborgen
voor de rechten van de betrokkene. Artikel 84
Geheimhoudingsplicht 1. Binnen de grenzen van deze verordening
kunnen de lidstaten specifieke voorschriften vaststellen voor de in
artikel 53, lid 2, bedoelde onderzoeksbevoegdheden van de
toezichthoudende autoriteiten in verband met voor de verwerking
verantwoordelijken of verwerkers die onderworpen zijn aan het in de nationale
wetgeving, of in de door nationale bevoegde instanties vastgestelde
regelgeving, vastgelegde beroepsgeheim of een andere gelijkwaardige
geheimhoudingsplicht, wanneer dit noodzakelijk en evenredig is om het recht op
bescherming van persoonsgegevens te verzoenen met de geheimhoudingsplicht. Deze
voorschriften zijn slechts van toepassing op persoonsgegevens die de voor de
verwerking verantwoordelijke of de verwerker in het kader van een onder deze
geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. 2. Elke lidstaat deelt de
Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de
voorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook
onverwijld alle latere wijzigingen daarvan. Artikel 85
Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen 1. Wanneer kerken en religieuze
verenigingen of gemeenschappen in een lidstaat op het tijdstip van de
inwerkingtreding van deze verordening uitgebreide voorschriften betreffende de
bescherming van personen in verband met de verwerking van persoonsgegevens
toepassen, kunnen dergelijke voorschriften van toepassing blijven, mits deze in
overeenstemming worden gebracht met de bepalingen van deze verordening. 2. Kerken en religieuze
verenigingen die overeenkomstig lid 1 uitgebreide voorschriften toepassen,
voorzien in de oprichting van een onafhankelijke toezichthoudende autoriteit
overeenkomstig hoofdstuk VI van deze verordening. HOOFDSTUK X
GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN Artikel 86
Uitoefening van de bevoegdheidsdelegatie 1. De bevoegdheid om
gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend
onder de in dit artikel vastgestelde voorwaarden. 2. De in artikel 6,
lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12,
lid 5, artikel 14, lid 7, artikel 15, lid 3,
artikel 17, lid 9, artikel 20, lid 6, artikel 22,
lid 4, artikel 23, lid 3, artikel 26, lid 5,
artikel 28, lid 5, artikel 30, lid 3, artikel 31,
lid 5, artikel 32, lid 5, artikel 33, lid 6,
artikel 34, lid 8, artikel 35, lid 11, artikel 37,
lid 2, artikel 39, lid 2, artikel 43, lid 3,
artikel 44, lid 7, artikel 79, lid 6, artikel 81,
lid 3, artikel 82, lid 3, en artikel 83, lid 3,
bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor onbepaalde
duur vanaf de datum van inwerkingtreding van deze verordening. 3. De in artikel 6,
lid 5, artikel 8, lid 3, artikel 9, lid 3,
artikel 12, lid 5, artikel 14, lid 7, artikel 15,
lid 3, artikel 17, lid 9, artikel 20, lid 6,
artikel 22, lid 4, artikel 23, lid 3, artikel 26,
lid 5, artikel 28, lid 5, artikel 30, lid 3,
artikel 31, lid 5, artikel 32, lid 5, artikel 33,
lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37,
lid 2, artikel 39, lid 2, artikel 43, lid 3,
artikel 44, lid 7, artikel 79, lid 6, artikel 81,
lid 3, artikel 82, lid 3, en artikel 83, lid 3,
bedoelde bevoegdheidsdelegatie kan te allen tijde door het Europees Parlement
of door de Raad worden ingetrokken. Het besluit tot intrekking maakt een einde
aan de delegatie van de bevoegdheden die in het besluit worden vermeld. Het
wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad
van de Europese Unie of op een daarin genoemde latere datum. Het laat de
geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet. 4. Zodra de Commissie een
gedelegeerde handeling vaststelt, stelt zij het Europees Parlement en de Raad
daarvan gelijktijdig in kennis. 5. Een overeenkomstig
artikel 6, lid 5, artikel 8, lid 3, artikel 9,
lid 3, artikel 12, lid 5, artikel 14, lid 7,
artikel 15, lid 3, artikel 17, lid 9, artikel 20,
lid 6, artikel 22, lid 4, artikel 23, lid 3,
artikel 26, lid 5, artikel 28, lid 5, artikel 30,
lid 3, artikel 31, lid 5, artikel 32, lid 5,
artikel 33, lid 6, artikel 34, lid 8, artikel 35,
lid 11, artikel 37, lid 2, artikel 39, lid 2,
artikel 43, lid 3, artikel 44, lid 7, artikel 79,
lid 6, artikel 81, lid 3, artikel 82, lid 3, en
artikel 83, lid 3, vastgestelde gedelegeerde handeling treedt alleen
in werking indien noch het Europees Parlement, noch de Raad binnen een termijn
van twee maanden na de kennisgeving van de handeling aan het Europees Parlement
en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees
Parlement als de Raad voor het verstrijken van deze termijn de Commissie hebben
meegedeeld dat zij geen bezwaar zullen maken. Die termijn wordt op initiatief
van het Europees Parlement of de Raad met twee maanden verlengd. Artikel 87
Comitéprocedure 1. De Commissie wordt bijgestaan
door een comité. Dat comité is een comité in de zin van Verordening (EU)
nr. 182/2011. 2. Wanneer naar dit lid wordt
verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van
toepassing. 3. Wanneer naar dit lid wordt
verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in
samenhang met artikel 5 van die verordening, van toepassing. HOOFDSTUK XI SLOTBEPALINGEN Artikel 88
Intrekking van Richtlijn 95/46/EG 1. Richtlijn 95/46/EG wordt
ingetrokken. 2. Verwijzingen naar de
ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen
naar de groep voor de bescherming van personen in verband met de verwerking van
persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is
opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte
Europees Comité voor gegevensbescherming. Artikel 89
Verhouding tot en wijziging van Richtlijn 2002/58/EG 1. Deze verordening legt
natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking
tot de verwerking van persoonsgegevens in verband met het verstrekken van openbare
elektronischecommunicatiediensten in openbare communicatienetwerken in de Unie,
voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan
specifieke verplichtingen met dezelfde doelstelling. 2 Artikel 1, lid 2,
van Richtlijn 2002/58/EG wordt geschrapt. Artikel 90
Evaluatie De Commissie brengt op gezette tijden verslag
uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van
deze verordening. Het eerste verslag wordt uiterlijk vier jaar na de
inwerkingtreding van deze verordening ingediend. Daarna worden de volgende
verslagen om de vier jaar ingediend. Indien nodig dient de Commissie passende
voorstellen in teneinde deze verordening te wijzigen en andere
rechtsinstrumenten aan te passen, met name in het licht van de ontwikkelingen
in de informatietechnologie en de stand van zaken in de informatiemaatschappij.
Deze verslagen worden gepubliceerd. Artikel 91
Inwerkingtreding en toepassing 1. Deze verordening treedt in
werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad
van de Europese Unie. 2. Zij is van toepassing met
ingang van [twee jaar na de in lid 1 genoemde datum]. Deze verordening is verbindend in al
haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat. Gedaan te Brussel, op 25.1.2012 Voor het Europees Parlement Voor
de Raad De voorzitter De
voorzitter FINANCIEEL MEMORANDUM 1. KADER VAN HET VOORSTEL/INITIATIEF 1.1. Benaming van het voorstel/initiatief 1.2. Betrokken
beleidsterrein(en) in de ABM/ABB-structuur 1.3. Aard
van het voorstel/initiatief 1.4. Doelstelling(en)
1.5. Motivering
van het voorstel/initiatief 1.6. Duur
en financiële gevolgen 1.7. Voorgenomen
beheersvorm(en) 2. BEHEERSMAATREGELEN 2.1. Regels
inzake het toezicht en de verslagen 2.2. Beheers-
en controlesysteem 2.3. Maatregelen
ter voorkoming van fraude en onregelmatigheden 3. GERAAMDE FINANCIËLE GEVOLGEN VAN HET
VOORSTEL/INITIATIEF 3.1. Rubriek(en)
van het meerjarige financiële kader en betrokken begrotingsonde(e)l(en) voor
uitgaven 3.2. Geraamde
gevolgen voor de uitgaven 3.2.1. Samenvatting van de
geraamde gevolgen voor de uitgaven 3.2.2. Geraamde gevolgen
voor de beleidskredieten 3.2.3. Geraamde gevolgen
voor de administratieve kredieten 3.2.4. Verenigbaarheid met
het huidige meerjarige financiële kader 3.2.5. Bijdragen van derden
aan de financiering 3.3. Geraamde gevolgen voor de
ontvangsten FINANCIEEL
MEMORANDUM
4.
KADER VAN HET VOORSTEL/INITIATIEF
Dit financieel memorandum geeft in detail de
voorschriften aan voor de administratieve uitgaven ter verwezenlijking van de
hervorming van de gegevensbescherming, zoals in de daarmee overeenstemmende
effectbeoordeling wordt uitgelegd. Deze hervorming omvat twee
wetgevingsvoorstellen, een algemene verordening betreffende gegevensbescherming
en een richtlijn betreffende de bescherming van natuurlijke personen in verband
met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog
op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare
feiten of de tenuitvoerlegging van strafrechtelijke sancties. Dit financieel
memorandum bestrijkt de gevolgen voor de begroting van beide instrumenten. Volgens de taakverdeling zijn er middelen nodig
voor de Commissie en voor de Europese Toezichthouder voor gegevensbescherming. Wat de Commissie betreft, zijn de nodige middelen
reeds opgenomen in de voorgestelde financiële vooruitzichten voor 2014-2020.
Gegevensbescherming is een van de doelstellingen van het programma “Grondrechten
en burgerschap” dat ook maatregelen zal steunen om het wettelijke kader in de
praktijk om te zetten. De administratieve kredieten met inbegrip van de
behoeften voor personeel zijn opgenomen in de administratieve begroting voor DG
JUST. Wat de Europese Toezichthouder voor
gegevensbescherming betreft, zal in de jaarlijkse begrotingen voor de
toezichthouder telkens rekening moeten worden gehouden met de nodige middelen.
De middelen worden gedetailleerd in de bijlage bij dit financieel memorandum.
Om te zorgen voor de middelen die nodig zijn voor de nieuwe taken van het
Europees Comité voor gegevensbescherming, waarvoor de Europese Toezichthouder
voor gegevensbescherming het secretariaat zal verzorgen, zal een
herprogrammering van Rubriek 5 van de financiële vooruitzichten 2014-2020
noodzakelijk zijn.
4.1.
Benaming van het voorstel/initiatief
Voorstel
voor een verordening van het Europees Parlement en de Raad betreffende de
bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene
verordening gegevensbescherming). Voorstel
voor een richtlijn van het Europees Parlement en de Raad betreffende de
bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het
onderzoek, de opsporing en de vervolging van strafbare feiten of de
tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die
gegevens.
4.2.
Betrokken beleidsterrein(en) in de
ABM/ABB-structuur[49]
Justitie
– Bescherming van persoonsgegevens De
gevolgen voor de begroting hebben betrekking op de Commissie en de Europese
Toezichthouder voor gegevensbescherming. De gevolgen voor de begroting van de
Commissie worden gedetailleerd in de tabellen van dit financieel memorandum. De
beleidsuitgaven zijn een onderdeel van het programma “Grondrechten en
burgerschap” en er is bij het financieel memorandum voor dat programma reeds
rekening mee gehouden, aangezien de administratieve uitgaven binnen de
enveloppe van DG Justitie vallen. De elementen die betrekking hebben op de
Europese Toezichthouder voor gegevensbescherming, worden in de bijlage
aangegeven.
4.3.
Aard van het voorstel/initiatief
¨ Het
voorstel/initiatief betreft een nieuwe actie ¨ Het
voorstel/initiatief betreft een nieuwe actie na een
proefproject/voorbereidende actie[50]
þ Het voorstel/initiatief betreft de
verlenging van een bestaande actie ¨ Het
voorstel/initiatief betreft een actie die wordt omgebogen naar een nieuwe
actie
4.4.
Doelstellingen
4.4.1.
De met het voorstel/initiatief beoogde strategische
meerjarendoelstelling(en) van de Commissie
De hervorming heeft tot
doel de oorspronkelijke doelstellingen te verwezenlijken, rekening houdend met
nieuwe ontwikkelingen en problemen, t.w.: - grotere
doeltreffendheid van het fundamentele recht op gegevensbescherming en controle
van de betrokkenen daarop, meer bepaald in de context van technologische
ontwikkelingen en de toenemende globalisering; - versterking van de
interne-martktdimensie van gegevensbescherming door beperking van de
fragmentering, grotere consistentie en vereenvoudigde regelgeving, waardoor
onnodige kosten worden vermeden en de bureaucratische rompslomp wordt
verminderd. Voorts biedt de
inwerkingtreding van het Verdrag van Lissabon, meer bepaald de invoering van
een nieuwe rechtsgrondslag (artikel 16 VWEU) de gelegenheid een nieuwe
doelstelling te bereiken, nl. - het opzetten van een
omvattend kader voor gegevensbescherming dat alle gebieden bestrijkt.
4.4.2.
Specifieke doelstelling(en) en betrokken
ABM/ABB-activiteit(en)
Specifieke doelstelling nr. 1 Consistente toepassing verzekeren van de
regelgeving inzake gegevensbescherming Specifieke doelstelling nr. 2 Rationaliseren van het huidige bestuurssysteem
voor een meer consistente toepassing Betrokken ABM/ABB-activiteit(en) […]
4.4.3.
Verwacht(e) resulta(a)t(en) en gevolgen
Vermeld de gevolgen
die het voorstel/initiatief zou moeten hebben op de begunstigden/doelgroepen Wat
de voor de verwerking verantwoordelijken betreft, zullen zowel publieke als
particuliere entiteiten hun voordeel doen met de grotere rechtszekerheid, door
geharmoniseerde en duidelijke EU-regelgeving en procedures inzake
gegevensbescherming, gelijke behandeling en consistente toepassing van de
regelgeving inzake gegevensbescherming, alsook een aanzienlijke reductie van de
administratieve rompslomp. Individuele
personen zullen beter toezicht hebben op hun persoonsgegevens en vertrouwen
hebben in de digitale omgeving; zij blijven beschermd ook wanneer hun
persoonsgegevens in het buitenland worden verwerkt. Ook de verantwoordingsplicht
van de verwerkers van persoonsgegevens zal blijken te zijn versterkt. Daarnaast
zullen politie en justitie worden bestreken door een omvattend systeem voor
gegevensbescherming, met inbegrip van de derde pijler en daarbuiten.
4.4.4.
Resultaat- en effectindicatoren
Vermeld de indicatoren
aan de hand waarvan kan worden nagegaan in hoeverre het voorstel/initiatief is
uitgevoerd. (zie effectbeoordeling,
afdeling 8) De indicatoren worden
geregeld geëvalueerd en omvatten de volgende elementen: • tijd en kosten
besteed door de voor de verwerking verantwoordelijken bij het toepassen van de
wetgeving “in andere lidstaten”; • middelen
toegewezen aan gegevensbeschermingsautoriteiten; • vaste
functionarissen voor gegevensbescherming in openbare en particuliere organisaties; • gebruik dat
wordt gemaakt van de effectbeoordeling gegevensbescherming; • aantal klachten
van betrokkenen en vergoedingen van betrokkenen; • aantal gevallen
die leiden tot vervolging van voor de verwerking verantwoordelijken; • boeten opgelegd
aan voor de verwerking verantwoordelijken voor inbreuken op de
gegevensbescherming.
4.5.
Motivering van het voorstel/initiatief
4.5.1.
Behoefte(n) waarin op korte of lange termijn moet
worden voorzien
De
bestaande verschillen in de tenuitvoerlegging, interpretatie en toepassing van
de richtlijn door de lidstaten zijn een belemmering voor het functioneren
van de interne markt en de samenwerking tussen de overheden in verband met het
EU-beleid. Dit gaat in tegen de
fundamentele doelstelling van de richtlijn om het vrije verkeer van
persoonsgegevens op de interne markt te vergemakkelijken. De snelle ontwikkeling van nieuwe technologieën
en de globalisering verscherpen dit probleem nog. Individuele
personen hebben verschillende rechten inzake gegevensbescherming, ten gevolge
van de fragmentering en de inconsistente tenuitvoerlegging en toepassing in de
verschillende lidstaten. Voorts zijn
individuele personen veelal niet op de hoogte van wat met hun persoonsgegevens
gebeurt, noch kunnen zij daar controle over uitoefenen, waardoor zij hun
rechten niet doeltreffend waarnemen.
4.5.2.
Toegevoegde waarde van de deelname van de EU
De
problemen met de huidige situatie kunnen niet door de lidstaten alleen worden
verholpen. Dat geldt vooral voor problemen die ontstaan door de fragmentatie van
de nationale wetgevingen ter uitvoering van het EU-regelgevingskader voor
gegevensbescherming. Om die reden is er een sterke beweegreden voor een
wettelijk kader voor gegevensbescherming op EU-niveau. Er is een specifieke
noodzaak om een geharmoniseerd en samenhangend kader te ontwikkelen waardoor
vlotte grensoverschrijdende doorgifte van persoonsgegevens binnen de EU kan
plaatsvinden en tegelijkertijd iedereen in de EU doeltreffend wordt beschermd.
4.5.3.
Ervaring die bij soortgelijke activiteiten in het
verleden is opgedaan
Onderhavige
voorstellen bouwen voort op de ervaringen met Richtlijn 95/46/EG en de
geconstateerde problemen ten gevolge van de gefragmenteerde omzetting en
tenuitoverlegging van die richtlijn, waardoor de doelstellingen ervan niet
konden worden bereikt, nl. een hoog niveau van gegevensbescherming en een
interne markt voor gegevensbescherming.
4.5.4.
Samenhang en eventuele synergie met andere
relevante instrumenten
Onderhavig
hervormingspakket voor de gegevensbescherming beoogt een sterk, consistent en
modern kader voor gegevensbescherming op EU-niveau op te zetten, technologisch
neutraal, en voor de volgende decennia bestand tegen de toekomst. Het pakket
zal individuele personen ten goede komen, door hun rechten van
gegevensbescherming te versterken, meer bepaald in een digitale omgeving, en
zal voor bedrijven en de overheid de wetgeving vereenvoudigen, waardoor de
digitale economie op de interne markt van de EU en daarbuiten wordt
gestimuleerd, overeenkomstig de doelstellingen van de strategie Europa 2020. De kernelementen van het
hervormingspakket voor de gegevensbescherming omvatten: – een verordening
ter vervanging van Richtlijn 95/46/EG; – een richtlijn
betreffende de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de
voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die
gegevens. Deze
wetgevingsvoorstellen worden vergezeld van een verslag over de
tenuitvoerlegging door de lidstaten van het thans vigerende belangrijkste
EU-gegevensbeschermingsinstrument op het gebied van politiële en gerechtelijke
samenwerking in strafzaken, nl. Kaderbesluit 2008/977/JBZ.
4.6.
Duur en financiële gevolgen
¨ Voorstel/initiatief met een beperkte
geldigheidsduur ¨ Voorstel/initiatief is van kracht vanaf [DD/MM]JJJJ tot en met
[DD/MM]JJJJ ¨ Financiële gevolgen vanaf JJJJ tot en met JJJJ þ Voorstel/initiatief met een onbeperkte
geldigheidsduur Uitvoering met een opstartperiode vanaf 2014
tot en met 2016, gevolgd door een volledige uitvoering.
4.7.
Beheersvorm(en)[51]
þ Direct gecentraliseerd beheer door de Commissie ¨ Indirect gecentraliseerd beheer door delegatie van uitvoeringstaken aan: ¨ uitvoerende agentschappen ¨ door de Unie opgerichte organen[52] ¨ nationale publiekrechtelijke organen of organen met een
openbaredienstverleningstaak ¨ personen aan wie de uitvoering van specifieke acties in het kader van
titel V van het Verdrag betreffende de Europese Unie is toevertrouwd en die
worden genoemd in het betrokken basisbesluit in de zin van artikel 49 van het
Financieel Reglement ¨ Gedeeld beheer met
de lidstaten ¨ Gedecentraliseerd beheer met derde landen ¨ Gezamenlijk beheer
met internationale organisaties (geef aan welke) Verstrek,
indien meer dan een beheersvorm is aangekruist, extra informatie onder “Opmerkingen”. Opmerkingen
5.
BEHEERSMAATREGELEN
5.1.
Regels inzake het toezicht en de verslagen
Vermeld frequentie en
voorwaarden. De
eerste evaluatie wordt vier jaar na de inwerkingtreding van de wettelijke
instrumenten verricht. Een expliciete toetsingssclausule voor toetsing door de
Commissie van de tenuitvoerlegging is in de wettelijke instrumenten opgenomen.
De Commissie zal daarna over deze evaluatie verslag uitbrengen bij het Europees
Parlement en de Raad. Verdere evaluaties dienen alle vier jaar plaats te
hebben. De methode van de Commissie voor evaluaties zal worden toegepast. Deze
evaluaties zullen worden verricht met behulp van doelgerichte onderzoeken over
de tenuitvoerlegging van de wettelijke instrumenten, vragenlijsten voor
nationale gegevensbeschermingsautoriteiten, discussies onder deskundigen,
workshops, Eurobarometer-enquêtes, enzovoort.
5.2.
Beheers- en controlesysteem
5.2.1.
Mogelijks risico’s
Er werd bijgaand bij de
voorstellen voor verordeningen en de richtlijn een effectbeoordeling uitgevoerd
voor de hervorming van het gegevensbeschermingskader in de EU. Het nieuwe wettelijke
instrument zal een conformiteitstoetsing invoeren, waardoor wordt verzekerd dat
de toezichtshoudende autoriteiten in de lidstaten het kader op een consistente
en coherente manier toepassen. De toetsing zal geschieden via het Europees
Comité voor gegevensbescherming dat is samengesteld uit de hoofden van de
nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor
gegevensbescherming, en dat de huidige Groep artikel 29 zal vervangen. De
Europese Toezichthouder voor gegevensbescherming verzorgt het secretariaat voor
dit orgaan. Indien de autoriteiten
van de lidstaten uiteenlopende besluiten treffen, zal het Europees Comité voor
gegevensbescherming worden geraadpleegd om een advies terzake uit te brengen.
Indien deze procedure faalt, of indien een toezichthoudende autoriteit weigert
zich bij het advies neer te leggen, kan de Commissie met het oog op een
correcte en consistente toepassing van deze verordening een advies uitbrengen,
of indien nodig een besluit vaststellen, waar zij ernstige twijfels heeft of de
ontwerp-maatregel een correcte toepassing van de verordening verzekert, dan wel
anderszins resulteert in een niet-consistente toepassing. De conformiteitstoetsing
vereist aanvullende middelen voor de Europese Toezichthouder voor
gegevensbescherming (12 VTE en aangepaste administratieve en beleidskredieten,
bv. voor IT-systemen en -operaties), voor het secretariaat en voor de Commissie
(5 VTE en desbetreffende administratieve en beleidskredieten), voor de
behandeling van de consistentiegevallen.
5.2.2.
Controlemiddel(en)
De
bestaande controlemiddelen van de Europese Toezichthouder voor
gegevensbescherming en de Commissie bestrijken de extra kredieten.
5.3.
Maatregelen ter
voorkoming van fraude en onregelmatigheden
Vermeld de bestaande en geplande preventie- en beschermingsmaatregelen.
De bestaande
fraudepreventiemiddelen van de Europese Toezichthouder voor gegevensbescherming
en de Commissie bestrijken de extra kredieten.
6.
GERAAMDE FINANCIËLE GEVOLGEN VAN HET VOORSTEL/INITIATIEF
6.1.
Rubriek(en) van het meerjarige financiële kader en
betrokken begrotingsonde(e)l(en) voor uitgaven
Bestaande begrotingsonderdelen voor uitgaven
In volgorde van de
rubrieken van het meerjarige financiële kader en de begrotingsonderdelen. Rubriek van het meerjarige financiële kader || Begrotingsonderdeel || Soort uitgave || Bijdrage Nummer [Beschrijving……………………...……….] || GK/ NGK ([53]) || van EVA-landen[54] || van kandidaat-lidstaten[55] || van derde landen || in de zin van artikel 18, lid 1, onder a bis), van het Financieel Reglement || || || || || ||
6.2.
Geraamde gevolgen voor de uitgaven
6.2.1.
Samenvatting van de geraamde gevolgen voor de
uitgaven
in miljoenen euro’s (tot op 3 decimalen) Rubriek van het meerjarige financiële kader: || Nummer || || || || Jaar N[56]= 2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL Beleidskredieten || || || || || || || || Nummer begrotingsonderdeel || Vastleggingen || (1) || || || || || || || || Betalingen || (2) || || || || || || || || Nummer begrotingsonderdeel || Vastleggingen || (1a) || || || || || || || || Betalingen || (2a) || || || || || || || || Administratieve kredieten gefinancierd uit het budget van specifieke programma’s[57] || || || || || || || || Nummer begrotingsonderdeel || || (3) || || || || || || || || TOTAAL kredieten voor DG || Vastleggingen || =1+1a +3 || || || || || || || || Betalingen || =2+2a+3 || || || || || || || || TOTAAL beleidskredieten || Vastleggingen || (4) || || || || || || || || Betalingen || (5) || || || || || || || || TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten || (6) || || || || || || || || TOTAAL kredieten onder RUBRIEK 3 van het meerjarige financiële kader || Vastleggingen || =4+ 6 || || || || || || || || Betalingen || =5+ 6 || || || || || || || || Wanneer het voorstel/initiatief gevolgen heeft voor meerdere
rubrieken: TOTAAL beleidskredieten || Vastleggingen || (4) || || || || || || || || Betalingen || (5) || || || || || || || || TOTAAL uit het budget van specifieke programma’s gefinancierde administratieve kredieten || (6) || || || || || || || || TOTAAL kredieten onder RUBRIEKEN 1 tot 4 van het meerjarige financiële kader (Referentiebedrag ) || Vastleggingen || =4+ 6 || || || || || || || || Betalingen || =5+ 6 || || || || || || || || Rubriek van het meerjarige financiële kader: || 5 || “Administratieve uitgaven” in miljoenen euro’s (tot op 3 decimalen) || || || Jaar N= 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020 || TOTAAL DG: JUST || Personeel || || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454 Andere administratieve uitgaven || || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885 TOTAAL DG JUST || || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 TOTAAL kredieten onder RUBRIEK 5 van het meerjarige financiële kader || (totaal vastleggingen = totaal betalingen) || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 in miljoenen euro’s (tot op 3 decimalen) || || || Jaar N[58] || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL TOTAAL kredieten onder RUBRIEKEN 1 tot 5 van het meerjarige financiële kader || Vastleggingen || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 Betalingen || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339
6.2.2.
Geraamde gevolgen
voor de beleidskredieten
þ Voor het voorstel/initiatief zijn geen beleidskredieten nodig Een hoge mate van bescherming van
persoonsgegevens is ook een van de doelstellingen van het programma “Grondrechten
en burgerschap”. ¨ Voor het voorstel/initiatief zijn beleidskredieten nodig, zoals
hieronder nader wordt beschreven: Vastleggingskredieten, in miljoenen euro’s (tot op 3
decimalen) Vermeld doelstellingen en outputs ò || || || Jaar N=2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL OUTPUTS Soort output[59] || Gem. kosten van de output || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Totaal outputs || Totale kosten SPECIFIEKE DOELSTELLING NR. 1 || Output || Dossiers[60] || || || || || || || || || || || || || || || || || Subtotaal voor specifieke doelstelling nr. 1 || || || || || || || || || || || || || || || || SPECIFIEKE DOELSTELLING NR. 2 || Output || Gevallen[61] || || || || || || || || || || || || || || || || || Subtotaal voor specifieke doelstelling nr. 2 || || || || || || || || || || || || || || || || TOTALE KOSTEN || || || || || || || || || || || || || || || ||
6.2.3.
Geraamde gevolgen voor de administratieve kredieten
6.2.3.1.
Samenvatting
¨ Voor het voorstel/initiatief zijn geen administratieve kredieten nodig
þ Voor het voorstel/initiatief zijn administratieve kredieten nodig,
zoals hieronder nader wordt beschreven: in miljoenen euro’s
(tot op 3 decimalen) || Jaar N[62] 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020 || TOTAAL RUBRIEK 5 van het meerjarige financiële kader || || || || || || || || Personeel || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 2.922 || 20.454 Andere administratieve uitgaven || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 0.555 || 3.885 Subtotaal RUBRIEK 5 van het meerjarige financiële kader || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339 Buiten RUBRIEK 5[63] van het meerjarige financiële kader || || || || || || || || Personeel || || || || || || || || Andere administratieve uitgaven || || || || || || || || Subtotaal buiten RUBRIEK 5 van het meerjarige financiële kader || || || || || || || || TOTAAL || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 3.477 || 24.339
6.2.3.2.
Geraamde personeelsbehoeften
¨ Voor het voorstel/initiatief zijn geen personele middelen nodig þ Voor het voorstel/initiatief zijn personele middelen nodig, zoals
hieronder nader wordt beschreven: Raming in voltijdequivalenten (of met
hoogstens 1 decimaal) || Jaar 2014 || Jaar 2015 || Jaar 2016 || Jaar 2017 || Jaar 2018 || Jaar 2019 || Jaar 2020 Posten opgenomen in de lijst van het aantal ambten (ambtenaren en tijdelijke functionarissen) XX 01 01 01 (hoofdzetel en vertegenwoordigingen van de Commissie) || 22 || 22 || 22 || 22 || 22 || 22 || 22 XX 01 01 02 (delegaties) || || || || || || || Extern personeel (in voltijdequivalenten: VTE)[64] XX 01 02 01 (CA, INT,SNE van de “totale financiële middelen”) || 2 || 2 || 2 || 2 || 2 || 2 || 2 XX 01 02 02 (CA, INT, JED, LA en SNE in de delegaties) || || || || || || || XX 01 04 jj[65] || - hoofdzetel[66] || || || || || || || - delegaties || || || || || || || XX 01 05 02 (CA, INT, SNE – onderzoek door derden) || || || || || || || 10 01 05 02 (CA, INT, SNE – eigen onderzoek) || || || || || || || Ander begrotingsonderdeel (te vermelden) || || || || || || || TOTAAL || 24 || 24 || 24 || 24 || 24 || 24 || 24 XX is het beleidsterrein of de
begrotingstitel. Met deze hervorming zal de Commissie nieuwe
taken moeten vervullen op het gebied van de bescherming van persoonsgegevens
van individuele personen bij de verwerking daarvan, naast de reeds vandaag vervulde
taken. Deze extra taken hebben voornamelijk
betrekking op de uitvoering van de nieuwe conformiteitstoetsing waarmee de
coherente toepassing van de geharmoniseerde wetgeving inzake
gegevensbescherming wordt verzekerd, de evaluatie van de passendheid van het
beschermingsniveau in derde landen waarvoor de Commissie alleen
verantwoordelijkheid zal dragen, en de voorbereiding van uitvoeringsmaatregelen
en gedelegeerde handelingen. De andere taken
die de Commissie momenteel uitvoert (bv. beleidsontwikkeling, toezicht op de
omzetting, bewustmaking, klachten, enz.) zullen ook daarna blijven. De benodigde personele middelen zullen worden
gefinancierd uit de middelen die reeds voor het beheer van deze actie zijn
toegewezen en/of binnen het DG zijn herverdeeld, eventueel aangevuld met
middelen die in het kader van de jaarlijkse toewijzingsprocedure met
inachtneming van de budgettaire beperkingen aan het beherende DG kunnen worden
toegewezen. Beschrijving van de
uit te voeren taken: Ambtenaren en tijdelijke functionarissen || Dossierbehandelaars die de conformiteitstoetsing uitvoeren om een eenvormige toepassing van de gegevensbeschermingsregels van de EU te garanderen. De taken omvatten onderzoek en studie van gevallen die voor het treffen van een besluit worden ingediend door de autoriteiten van de lidstaten, onderhandelingen met de lidstaten en voorbereiding van de besluiten van de Commissie. Gebaseerd op recente ervaringen kunnen 5 tot 10 gevallen per jaar de inroeping van de conformiteitstoetsing vereisen. De afhandeling van verzoeken tot passendverklaring van het beschermingsniveau vereist een directe interactie met het verzoekende land, mogelijk het beheer van deskundigenonderzoek over de toestand in het land, evaluatie van deze toestand, voorbereiding van de relevante besluiten van de Commissie en van de procedure, met inbegrip van bijstand door het comité van de Commissie en indien nodig van deskundigengroepen. Gebaseerd op de bestaande ervaringen kunnen per jaar ongeveer 4 verzoeken tot passendverklaring van het beschermingsniveau worden verwacht. De procedure voor de goedkeuring van uitvoeringsmaatregelen omvat voorbereidende maatregelen, zoals rapporten, onderzoek en openbaar overleg, alsook het opstellen van het eigenlijke instrument en het beheer van het onderhandelingsproces in de relevante comités en andere groepen, alsook contacten met belanghebbenden in het algemeen. Op die gebieden waar een meer precieze sturing noodzakelijk is, kunnen tot drie uitvoeringsmaatregelen per jaar worden behandeld, terwijl de procedure kan oplopen tot 24 maanden, naargelang van de intensiteit van het overleg. Extern personeel || Administratieve en technische bijstand
6.2.4.
Verenigbaarheid met het huidige meerjarige
financiële kader
¨ Het voorstel/initiatief is verenigbaar met het volgende meerjarige
financiële kader. þ Het voorstel/initiatief vergt herprogrammering van de betrokken
rubriek van het meerjarige financiële kader. Onderstaande tabel toont de bedragen van de financiële middelen die
jaarlijks nodig zijn voor de nieuwe taken van de Europese Toezichthouder voor
gegevensbescherming (verzekeren van het secretariaat van het Europees Comité
voor gegevensbescherming) en de gerelateerde procedures en hulpmiddelen voor de
periode van de volgende financiële vooruitzichten, naast de middelen die reeds
in de planning zijn. Jaar || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totaal Personeel enz. || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823 Werking || 0.850 || 1.500 || 1.900 || 1.900 || 1.500 || 1.200 || 1.400 || 10.250 Totaal || 2.405 || 3.055 || 3.443 || 3.443 || 3.043 || 2.743 || 2.943 || 21.073 ¨ Het voorstel/initiatief vergt toepassing van het
flexibiliteitsinstrument of herziening van het meerjarige financiële kader[67].
6.2.5.
Bijdragen van derden aan de financiering
þHet voorstel/initiatief voorziet niet in medefinanciering door derden. ¨Het voorstel/initiatief voorziet in medefinanciering, zoals hieronder
wordt geraamd: Kredieten in miljoenen euro’s (tot op 3 decimalen) || Jaar N || Jaar N+1 || Jaar N+2 || Jaar N+3 || zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || Totaal Medefinancieringsbron || || || || || || || || TOTAL medegefinancierde kredieten || || || || || || || ||
6.3.
Geraamde gevolgen
voor de ontvangsten
þ Het voorstel/initiatief heeft geen financiële gevolgen voor de
ontvangsten. ¨ Het voorstel/initiatief
heeft de hieronder beschreven financiële gevolgen: ·
¨ voor de eigen middelen ·
¨ voor de diverse ontvangsten in miljoenen euro’s (tot op 3 decimalen) Begrotingsonderdeel voor ontvangsten: || Voor het lopende begrotingsjaar beschikbare kredieten || Gevolgen van het voorstel/initiatief[68] Jaar N || Jaar N+1 || Jaar N+2 || Jaar N+3 || … zoveel jaren invullen als nodig is om de duur van de gevolgen weer te geven (zie punt 1.6) || || || || || || || || Vermeld
voor de diverse ontvangsten die worden toegewezen het (de) betrokken
begrotingsonderde(e)l(en) voor uitgaven. Vermeld
de wijze van berekening van de gevolgen voor de ontvangsten. Bijlage bij
het financieel memorandum van het voorstel voor een verordening van het
Europees Parlement en de Raad betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens. Toegepaste methode en voornaamste
basisaannamen De kosten die verband houden met de nieuwe
taken van de Europese Toezichthouder voor gegevensbescherming voortvloeiend uit
beide voorstellen, werden qua personeelsuitgaven geraamd op basis van de kosten
die de Commissie voor vergelijkbare taken oploopt. De Europese Toezichthouder voor
gegevensbescherming zal het secretariaat van het Europees Comité voor
gegevensbescherming huisvesten dat de Groep artikel 29 vervangt. Op basis van de huidige werkbelasting van de
Commissie voor deze taak wordt geraamd dat drie extra VTE nodig zijn met de
bijbehorende administratieve en beleidsuitgaven. Deze
werkbelasting gaat in bij het inwerkingtreden van de verordening. Voorts zal de Europese Toezichthouder voor
gegevensbescherming een rol hebben in de conformiteitstoetsing, waarvoor naar
verwachting 5 VTE nodig zijn, en bij de ontwikkeling en inwerkingstelling van
een gezamenlijk IT-hulpmiddel voor de nationale toezichthoudende autoriteiten,
waarvoor 2 extra personeelsleden nodig zijn. De berekeningsmethode van de toename van de
vereiste begroting voor personeel voor de eerste zeven jaar wordt meer in
detail toegelicht in de tabel hierna. Een
tweede tabel toont het vereiste operationele budget.
Dit zal zijn weerslag vinden in de EU-begroting in Afdeling IX –
Europese Toezichthouder voor gegevensbescherming. Kostensoort || Berekening || Bedrag (in duizenden euro’s) 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Totaal Salarissen en vergoedingen || || || || || || || || || - van de Europese Toezichthouder voor gegevensbescherming || || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 0.300 || 2.100 - waarvan ambtenaren en tijdelijke functionarissen || =7*0.127 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 0.889 || 6.223 - waarvan gedetacheerde nationale deskundigen || =1*0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.073 || 0.511 - waarvan arbeidscontractanten || =2*0.064 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.128 || 0.896 Uitgaven voor aanwerving || =10*0.005 || 0.025 || 0.025 || 0.013 || 0.013 || 0.013 || 0.013 || 0.013 || 0.113 Kosten voor dienstreizen || || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.090 || 0.630 Andere uitgaven, opleiding || =10*0.005 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.050 || 0.350 Totale administratieve uitgaven || || 1.555 || 1.555 || 1.543 || 1.543 || 1.543 || 1.543 || 1.543 || 10.823 Beschrijving van de uit te voeren taken: Ambtenaren en tijdelijke functionarissen || Functionarissen belast met het secretariaat van het Comité voor gegevensbescherming. Behalve logistieke steun, inclusief budgettaire en contractuele kwesties, omvat dit de voorbereiding van de agenda van vergaderingen en de uitnodiging van deskundigen, onderzoek over de onderwerpen die op de agenda van het comité staan, beheer van de documenten die verband houden met de werkzaamheden van het comité, met inbegrip van de relevante gegevensbescherming, vertrouwelijkheid en vereisten van publieke toegang. Met inbegrip van alle subgroepen en deskundigengroepen kunnen tot 50 vergaderingen en besluitprocedures per jaar nodig zijn. Dossierbehandelaars die de conformiteitstoetsing uitvoeren om een eenvormige toepassing van de gegevensbeschermingsregels van de EU te garanderen. De taken omvatten onderzoek en studie van gevallen die voor het treffen van een besluit worden ingediend door de autoriteiten van de lidstaten, onderhandelingen met de lidstaten en voorbereiding van de besluiten van de Commissie. Gebaseerd op recente ervaringen kunnen 5 tot 10 gevallen per jaar de inroeping van de conformiteitstoetsing vereisen. Het IT-hulpmiddel moet de operationele interactie tussen de nationale toezichthoudende autoriteiten en de voor de verwerking verantwoordelijken die verplicht zijn met de overheid informatie uit te wisselen, vergemakkelijken. De verantwoordelijke personeelsleden verzekeren kwaliteitscontrole, projectbeheer en budgettaire vervolgcontrole van de IT-procedures inzake vereisten, opbouw, uitvoering en werking van de systemen. Extern personeel || Administratieve en secretariaatsbijstand Uitgaven voor de
Europese Toezichthouder voor gegevensbescherming in verband met specifieke
taken Vermeld doelstellingen en outputs ò || || || Jaar N=2014 || Jaar N+1 || Jaar N+2 || Jaar N+3 || invullen: zoveel jaren als nodig om de duur van de gevolgen weer te geven (zie punt 1.6) || TOTAAL OUTPUTS Soort output[69] || Gemiddelde kosten van de output || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Number Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Aantal outputs || Kos-ten || Totaal outputs || Totale kosten SPECIFIEKE DOELSTELLING nr. 1[70] || Secretariaat van het Comité voor gegevensbescherming Output || Gevallen[71] || 0.010 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 Subtotaal voor specifieke doelstelling nr. 1 || 30 || 0.300 || 40 || 0.400 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 50 || 0.500 || 320 || 3.200 SPECIFIEKE DOELSTELLING NR. 2 || Conformiteitstoetsing Output || Dossiers[72] || 0.050 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 Subtotaal voor specifieke doelstelling nr. 2 || 5 || 0.250 || 10 || 0.500 || 10 || 0.500 || 10 || 0.500 || 8 || 0.400 || 8 || 0.400 || 8 || 0.400 || 59 || 2.950 SPECIFIEKE DOELSTELLING NR. 3 || Gezamenlijk IT-hulpmiddel voor toezichthoudende autoriteiten (Europese Toezichthouder voor gegevensbescherming) Output || Gevallen[73] || 0.100 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 Subtotaal voor specifieke doelstelling nr. 3 || 3 || 0.300 || 6 || 0.600 || 9 || 0.900 || 9 || 0.900 || 6 || 0.600 || 3 || 0.300 || 5 || 0.500 || 41 || 4.100 TOTALE KOSTEN || 38 || 0.850 || 56 || 1.500 || 69 || 1.900 || 69 || 1.900 || 64 || 1.500 || 61 || 1.200 || 63 || 1.400 || 420 || 10.250 [1] “Safeguarding
Privacy in a Connected World – A European Data Protection Framework for the
21st Century”, COM(2012) 9 definitief. [2] COM(2012)
10 definitief. [3] Richtlijn
95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende
de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281
van 23.11.1995, blz. 31. [4] Kaderbesluit
2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van
persoonsgegevens die worden verwerkt in het kader van de politiële en
justitiële samenwerking in strafzaken, PB L 350 van 30.12.2008, blz. 60 (hierna
“het Kaderbesluit” genoemd). [5] COM(2010)
245 definitief. [6] COM(2010)
2020 definitief. [7] “Het
programma van Stockholm – Een open en veilig Europa ten dienste en ter
bescherming van de burger”, PB C 115 van 4.5.2010, blz. 1. [8] Resolutie
van het Europees Parlement van 25 november 2009 over de mededeling van de
Commissie aan het Europees Parlement en de Raad − Een ruimte van vrijheid,
veiligheid en recht ten dienste van de burger − programma van Stockholm,
goedgekeurd op 25 november 2009 (P7_TA(2009)0090). [9] COM(2010)
171 definitief. [10] COM(2010)
609 definitief. [11] Special
Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in
the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
. [12] http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm. [13] De
niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de
Commissie: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [14] De
niet-vertrouwelijke bijdragen kunnen worden ingezien op de website van de
Commissie: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [15] http://ec.europa.eu/justice/newsroom/data-protection/opinion/100701_en.htm. [16] http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. [17] Europees
Agentschap voor netwerk- en informatiebeveiliging, verantwoordelijk voor
veiligheidskwesties op het gebied van communicatienetwerken en
informatiesystemen. [18] Europees
Agentschap voor netwerk- en informatiebeveiliging, verantwoordelijk voor
veiligheidskwesties op het gebied van communicatienetwerken en
informatiesystemen. [19] Speciale
Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in
the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf
. [20] Zie de
studie over de economische voordelen van privacybevorderende technologieën en
de vergelijkende studie over verschillende benaderingen van de nieuwe
privacyproblemen, in het bijzonder in het licht van de technologische
ontwikkelingen, januari 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[21] De Groep
artikel 29 is opgericht in 1996 (bij artikel 29 van Richtlijn 95/46/EG) en
heeft een adviserende taak; hij is samengesteld uit vertegenwoordigers van de
nationale toezichthoudende autoriteiten inzake gegevensbescherming, de Europese
Toezichthouder voor gegevensbescherming en de Commissie. Zie voor nadere
informatie over de werkzaamheden:
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [22] Zie met
name de adviezen over de toekomst van privacy (2009, WP 168), de begrippen
‘voor de verwerking verantwoordelijke’ en ‘verwerker’ (1/2010, WP 169), over
online reclame op basis van surfgedrag (‘behavioural advertising’) (2/2010, WP
171), het verantwoordingsbeginsel (3/2010, WP 173), toepasselijk recht (8/2010,
WP 179), over toestemming (15/2011, WP 187). Op verzoek van de Commissie heeft
de groep ook drie adviezen vastgesteld over respectievelijk aanmelding,
gevoelige gegevens en de toepassing van artikel 28, lid 6, van de richtlijn
gegevensbescherming. Al deze adviezen zijn beschikbaar op: http://ec.europa.eu/justice/newsroom/data-protection/opinion/-29_en.htm. [23] Het advies
is beschikbaar op de website van de Europese Toezichthouder: http://www.edps.europa.eu/EDPSWEB. [24] Resolutie
van het EP van 6 juli 2011 over een integrale aanpak van de bescherming van
persoonsgegevens in de Europese Unie (2011/2025(INI)):
http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=NL&ring=A7-2011-0244
(rapporteur Axel Voss (EPP/DE). [25] SEC(2012) 72. [26] CESE
999/2011. [27] Arrest van
het Hof van Justitie van de EU van 9.11.2011 in gevoegde zaken C-92/09 en
C-93/09, Volker und Markus Schecke en Eifert [2010], Jurispr. blz. I-0000. [28] Artikel
52, lid 1, van het Handvest van de grondrechten bepaalt dat beperkingen op de
uitoefening van het recht op gegevensbescherming bij wet moeten worden
vastgesteld en de wezenlijke inhoud van die rechten en vrijheden moeten
eerbiedigen, en dat, met inachtneming van het evenredigheidsbeginsel slechts
beperkingen kunnen worden vastgesteld, indien zij noodzakelijk zijn en
daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen
belang of aan de eisen van de bescherming van de rechten en vrijheden van
anderen. [29] Richtlijn
2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende
de verwerking van persoonsgegevens en de bescherming van de persoonlijke
levenssfeer in de sector elektronische communicatie (richtlijn betreffende
privacy en elektronische communicatie), PB L 201 van 31.7.2002, blz. 37. [30] Richtlijn
2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot
wijziging van Richtlijn 2002/22/EG inzake de universele dienst en
gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en
-diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens
en de bescherming van de persoonlijke levenssfeer in de sector elektronische
communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen
de nationale instanties die verantwoordelijk zijn voor handhaving van de
wetgeving inzake consumentenbescherming (voor de EER relevante tekst), PB L 337
van 18.12.2009, blz. 11. [31] Goedgekeurd
en opengesteld voor ondertekening, ratificatie en toetreding bij Resolutie nr.
44/25 van de Algemene Vergadering van 20 november 1989. [32] Goedgekeurd
op de internationale conferentie van commissarissen voor de bescherming van
gegevens en de persoonlijke levenssfeer op 5 november 2009. Zie ook artikel 13,
lid 3, van het voorstel voor een verordening inzake een gemeenschappelijk
Europees verkooprecht (COM(2011) 635 definitief). [33] CM/Rec
(2010)13. [34] Hof van
Justitie van de EU, arrest van 9.3.2010 in zaak C-518/01 Commissie / Duitsland,
Jurispr. 2010, blz. I-1885. [35] Verordening
(EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000
betreffende de bescherming van natuurlijke personen in verband met de
verwerking van persoonsgegevens door de communautaire instellingen en organen
en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz.
1). [36] Op. cit.,
voetnoot 34. [37] Besluit
2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de
grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van
terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz.
1). [38] Voortbouwend
op artikel 5, lid 1, van Kaderbesluit 2009/948/JBZ van de Raad van 30 november
2009 over het voorkomen en beslechten van geschillen over de uitoefening van
rechtsmacht bij strafprocedures, PB L 328 van 15.12.2009, blz. 42; en artikel
13, lid 1, van Verordening (EG) nr. 1/2003 van de Raad van 16 december 2002
betreffende de uitvoering van de mededingingsregels van de artikelen 81 en 82
van het Verdrag, PB L 1 van 4.1.2003, blz. 1. [39] Voortbouwend
op artikel 18, lid 1, van Richtlijn 2000/31/EG van het Europees Parlement en de
Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten
van de informatiemaatschappij, met name de elektronische handel, in de interne
markt (‘Richtlijn inzake elektronische handel’), PB L 178 van 17.7.2000, blz.
1. [40] Zie voor
de interpretatie, bv. Hof van Justitie van de EU, arrest van 16 december 2008,
Satakunnan Markkinapörssi en Satamedia (C-73/07, Jurispr. 2008 blz. I-9831). [41] PB C […]
van [...], blz. […]. [42] PB C […]
van [...], blz. […]. [43] PB L 281
van 23.11.1995, blz. 31. [44] PB L 8 van
12.1.2001, blz. 1. [45] Verordening
(EU) nr. 2011 van het Europees Parlement en de Raad van
16 februari 2011 tot vaststelling van de algemene voorschriften en
beginselen die van toepassing zijn op de wijze waarop de lidstaten de
uitoefening van uitvoeringsbevoegdheden door de Commissie controleren (PB L 55
van 28.2.2011, blz.. 13). [46] PB L 176
van 10.7.1999, blz. 36. [47] PB L 53
van 27.2.2008, blz. 52. [48] PB
L 160 van 18.6.2011, blz. 19. [49] ABM: Activity
Based Management – ABB: Activity Based Budgeting. [50] Als
bedoeld in artikel 49, lid 6, onder a) of b), van het Financieel Reglement. [51] Nadere
informatie over beheerswijzen en verwijzingen naar het Financieel Reglement
zijn te vinden op de BudgWeb-site: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html. [52] In de zin
van artikel 185 van het Financieel Reglement. [53] GK =
gesplitste kredieten/NGK = niet-gesplitste kredieten. [54] EVA: Europese
Vrijhandelsassociatie. [55] Kandidaat-lidstaten
en, in voorkomend geval, potentiële kandidaat-lidstaten van de Westelijke
Balkan. [56] Het jaar N
is het jaar waarin met de uitvoering van het voorstel/initiatief wordt
begonnen. [57] Technische
en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering
van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), indirect
onderzoek, direct onderzoek. [58] Het jaar N
is het jaar waarin met de uitvoering van het voorstel/initiatief wordt begonnen. [59] Outputs
zijn de te verstrekken producten en diensten (bv.: aantal gefinancierde
studentenuitwisselingen, aantal km aangelegde wegen, enz.). [60] Adviezen,
besluiten, procedures, vergaderingen van het comité. [61] Gevallen
behandeld in het kader van de conformiteitstoetsing. [62] Het jaar N
is het jaar waarin met de uitvoering van het voorstel/initiatief wordt
begonnen. [63] Technische
en/of administratieve bijstand en uitgaven ter ondersteuning van de uitvoering
van programma’s en/of acties van de EU (vroegere “BA”-onderdelen), indirect
onderzoek, direct onderzoek. [64] CA = Agent
Contractuel (arbeidscontractant); INT = Intérimaire (uitzendkracht); JED =
Jeune Expert en Délégation (jonge deskundige in delegaties); LA = Local Agent
(plaatselijk functionaris); SNE = Seconded National Expert (gedetacheerd
nationaal deskundige). [65] Submaximum
voor extern personeel uit beleidskredieten (vroegere “BA”-onderdelen). [66] Vooral
voor structuurfondsen, Europees Landbouwfonds voor Plattelandsontwikkeling
(ELFPO) en Europees Visserijfonds (EVF). [67] Zie de
punten 19 en 24 van het Interinstitutioneel Akkoord. [68] Voor
traditionele eigen middelen (douanerechten en suikerheffingen), moeten
nettobedragen worden vermeld, d.w.z. na aftrek van 25% aan inningskosten. [69] Outputs
zijn de te verstrekken producten en diensten (bv.: aantal gefinancierde
studentenuitwisselingen, aantal km aangelegde wegen, enz.). [70] Zoals
beschreven in punt 1.4.2 “Specifieke doelstelling(en)…”. [71] Gevallen
behandeld in het kader van de conformiteitstoetsing. [72] Adviezen, besluiten,
procedures, vergaderingen van het comité. [73] De totalen
voor elk jaar zijn een raming van de inspanningen voor ontwikkeling en werking
van de IT-hulpmiddelen.