Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0680

    Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad

    PB L 119 van 04/05/2016, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

    ELI: http://data.europa.eu/eli/dir/2016/680/oj

    4.5.2016   

    NL

    Publicatieblad van de Europese Unie

    L 119/89


    RICHTLIJN (EU) 2016/680 VAN HET EUROPEES PARLEMENT EN DE RAAD

    van 27 april 2016

    betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad

    HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

    Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

    Gezien het voorstel van de Europese Commissie,

    Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

    Gezien het advies van het Comité van de Regio's (1),

    Handelend volgens de gewone wetgevingsprocedure (2),

    Overwegende hetgeen volgt:

    (1)

    De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie („het Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van de hem betreffende persoonsgegevens.

    (2)

    De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht hun nationaliteit of verblijfplaats, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. Deze richtlijn is bedoeld om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht.

    (3)

    Snelle technologische ontwikkelingen en de mondialisering brachten nieuwe uitdagingen voor de bescherming van persoonsgegevens. De mate waarin persoonsgegevens worden verzameld en gedeeld, is aanzienlijk gestegen. Dankzij de technologie kunnen bij activiteiten zoals de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen meer dan ooit tevoren persoonsgegevens worden verwerkt.

    (4)

    Het vrije verkeer van persoonsgegevens tussen bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid binnen de Unie en de doorgifte van dergelijke persoonsgegevens aan derde landen en internationale organisaties, moet worden vergemakkelijkt, en tegelijk moet een hoge mate van bescherming van persoonsgegevens worden gewaarborgd. Die ontwikkelingen vereisen dat een solide en coherenter kader voor de bescherming van persoonsgegevens in de Unie wordt ontwikkeld, gestoeld op een strakke handhaving.

    (5)

    Richtlijn 95/46/EG van het Europees Parlement en de Raad (3) is van toepassing op elke verwerking van persoonsgegevens in de lidstaten, zowel in de publieke als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

    (6)

    Kaderbesluit 2008/977/JBZ van de Raad (4) is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten.

    (7)

    Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequente en hoge mate van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd, én dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardige mate van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken, alsmede gelijkwaardige bevoegdheden om de regelgeving inzake de bescherming van persoonsgegevens in de lidstaten te handhaven en toe te zien op naleving daarvan.

    (8)

    Overeenkomstig artikel 16, lid 2, VWEU dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens.

    (9)

    Op die basis worden bij Verordening (EU) 2016/679 van het Europees Parlement en de Raad (5) algemene regels vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.

    (10)

    In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.

    (11)

    Derhalve is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, daarbij rekening houdend met de specifieke aard van die activiteiten. Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is Verordening (EU) 2016/679 van toepassing. Verordening (EU) 2016/679 is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. Zo bewaren financiële instellingen met het oog op onderzoek, opsporing of vervolging van strafbare feiten bepaalde persoonsgegevens die door hen worden verwerkt, en verstrekken zij die persoonsgegevens uitsluitend in specifieke gevallen en overeenkomstig het lidstatelijke recht aan de bevoegde nationale autoriteiten. Een orgaan dat of entiteit die namens die autoriteiten persoonsgegevens verwerkt binnen het toepassingsgebied van deze richtlijn, dient gebonden te zijn door een overeenkomst of een andere rechtshandeling en door de ingevolge deze richtlijn op verwerkers toepasselijke bepalingen, terwijl Verordening (EU) 2016/679 onverminderd van toepassing blijft op de verwerking van persoonsgegevens door de verwerker die buiten het toepassingsgebied van deze richtlijn valt.

    (12)

    De door de politie of andere rechtshandhavingsautoriteiten verrichte activiteiten zijn hoofdzakelijk gericht op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, met inbegrip van politieactiviteiten waarbij vooraf niet bekend is of een voorval al dan niet een strafbaar feit is. Tot die activiteiten behoren ook de uitoefening van gezag door het nemen van dwangmaatregelen zoals politieactiviteiten bij demonstraties, belangrijke sportevenementen en rellen. Zij omvatten ook de rechts- en ordehandhaving als een, zo nodig, aan de politie of andere rechtshandhavingsautoriteiten toevertrouwde taak ter bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en voor bij wet beschermde fundamentele belangen van de samenleving, die tot strafbare feiten kunnen leiden. De lidstaten kunnen de bevoegde autoriteiten belasten met andere taken die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden, voor zover zij binnen het toepassingsgebied van het Unierecht valt, binnen het toepassingsgebied van Verordening (EU) 2016/679 valt.

    (13)

    Een strafbaar feit in de zin van deze richtlijn moet een autonoom Unierechtelijk begrip zijn zoals uitgelegd door het Hof van Justitie van de Europese Unie (het „Hof van Justitie”).

    (14)

    Aangezien deze richtlijn niet mag gelden voor de verwerking van persoonsgegevens in de loop van een activiteit die buiten het toepassingsgebied van het Unierecht valt, mogen activiteiten die de nationale veiligheid betreffen, activiteiten van agentschappen of eenheden die zich met nationale veiligheidsvraagstukken bezighouden en de verwerking van persoonsgegevens door de lidstaten in het kader van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen, niet als binnen het toepassingsgebied van deze richtlijn vallende activiteiten worden beschouwd.

    (15)

    Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van in rechte afdwingbare rechten en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, moet deze richtlijn voorzien in geharmoniseerde regels betreffende de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. De onderlinge afstemming van de rechtsstelsels van de lidstaten mag niet tot verminderde bescherming van persoonsgegevens leiden, maar moet juist zorgen voor een hoog beschermingsniveau in de Unie. De lidstaten mag niet worden belet met betrekking tot de bescherming van de rechten en vrijheden van de betrokkene inzake de verwerking van persoonsgegevens door bevoegde autoriteiten uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet.

    (16)

    Deze richtlijn laat het beginsel van recht van toegang van het publiek tot officiële documenten onverlet. Uit hoofde van Verordening (EU) 2016/679 mogen persoonsgegevens in officiële documenten die door een overheidsinstantie of een publiek of particulier orgaan voor de uitvoering van een taak van algemeen belang worden bijgehouden, door die instantie of dat orgaan worden bekendgemaakt in overeenstemming met het Unierecht of het lidstatelijke recht waaraan de overheidsinstantie of het orgaan is onderworpen, teneinde de openbare toegang tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens.

    (17)

    De door deze richtlijn geboden bescherming dient van toepassing te zijn op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.

    (18)

    Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technieken. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.

    (19)

    Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (6) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op zulke verwerking van persoonsgegevens moeten worden aangepast aan de beginselen en regels van Verordening (EU) 2016/679.

    (20)

    Deze richtlijn belet niet dat de lidstaten in nationale regels over strafrechtelijke procedures met betrekking tot de verwerking van persoonsgegevens door gerechten en andere rechterlijke autoriteiten een nadere omschrijving geven van verwerkingsactiviteiten en verwerkingsprocedures, met name wat betreft persoonsgegevens die zijn vervat in een rechterlijke beslissing of in registers betreffende strafrechtelijke procedures.

    (21)

    De beginselen van gegevensbescherming moeten voor alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen mogen derhalve niet van toepassing zijn op anonieme gegevens, met name gegevens die geen verband houden met een geïdentificeerde of identificeerbare natuurlijke persoon of met persoonsgegevens die zodanig geanonimiseerd zijn dat de betrokkene niet langer identificeerbaar is.

    (22)

    Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden bekendgemaakt voor het vervullen van een officiële taak, zoals belasting- of douaneautoriteiten, financiële onderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet als ontvangers worden beschouwd indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek in het algemeen belang, overeenkomstig het Unierecht of het recht van de lidstaten. Verzoeken om bekendmaking vanwege overheidsinstanties dienen in ieder geval schriftelijk te worden ingediend, gemotiveerd te worden en incidenteel te zijn, en mogen geen volledig bestand betreffen of resulteren in de koppeling van bestanden. De verwerking van persoonsgegevens door die overheidsinstanties moet stroken met de voor het doel van de verwerking toepasselijke gegevensbeschermingsregels.

    (23)

    Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie geven over de fysiologie of de gezondheid van die natuurlijke persoon, die voortkomen uit een analyse van een biologisch monster van de betrokken persoon, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of een analyse van een ander element waarmee soortgelijke informatie kan worden verkregen. Gezien de complexe en gevoelige aard van genetische informatie bestaat een groot risico op misbruik en hergebruik voor uiteenlopende doeleinden door de verwerkingsverantwoordelijke. Discriminatie op grond van genetische kenmerken moet in beginsel worden verboden.

    (24)

    Als persoonsgegevens over gezondheid moeten worden beschouwd alle gegevens die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Zij omvatten informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten aan die natuurlijke persoon als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad (7), alsmede een aan een natuurlijke persoon toegekend nummer, symbool of kenmerk dat uitsluitend als identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden, de informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters, en alle informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, bijvoorbeeld een arts of andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostische test.

    (25)

    Alle lidstaten zijn aangesloten bij de Internationale Criminele Politieorganisatie (Interpol). Om haar taak te kunnen uitvoeren, zorgt Interpol voor het ontvangen, opslaan en verspreiden van persoonsgegevens om bevoegde autoriteiten bij te staan in het voorkomen en bestrijden van internationale criminaliteit. Daarom is het passend de samenwerking tussen de Unie en Interpol te versterken door een efficiënte uitwisseling van persoonsgegevens te bevorderen, zulks met eerbiediging van de grondrechten en fundamentele vrijheden met betrekking tot de automatische verwerking van persoonsgegevens. Wanneer persoonsgegevens worden doorgegeven van de Unie aan Interpol, en aan landen die vertegenwoordigers naar Interpol hebben afgevaardigd, dient deze richtlijn, met name de bepalingen inzake internationale doorgiften, van toepassing te zijn. Deze richtlijn mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad (8) en van Besluit 2007/533/JBZ van de Raad (9).

    (26)

    Iedere verwerking van persoonsgegevens dient ten aanzien van de natuurlijke personen in kwestie rechtmatig, behoorlijk en transparant te zijn en uitsluitend te geschieden met het oog op specifieke, bij wet vastgestelde doeleinden. Dit belet als zodanig niet dat de rechtshandhavingsinstanties activiteiten verrichten zoals infiltratieoperaties of videobewaking. Die activiteiten kunnen worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, voor zover de activiteiten bij wet zijn vastgelegd en in een democratische samenleving, met inachtneming van de legitieme belangen van de betrokken natuurlijke persoon, een noodzakelijke en evenredige maatregel vormen. Het gegevensbeschermingsbeginsel van behoorlijke verwerking is een ander begrip dan het recht op een onpartijdig gerecht zoals omschreven in artikel 47 van het Handvest en artikel 6 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van hun persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens moeten toereikend en ter zake dienend zijn voor de doeleinden waarvoor zij worden verwerkt. Meer bepaald moet ervoor worden gezorgd dat niet bovenmatig veel gegevens worden verzameld en dat zij niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere manier kan worden verwezenlijkt. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. De lidstaten moeten voorzien in passende waarborgen voor persoonsgegevens die langer worden bewaard voor archivering in het algemeen belang of voor wetenschappelijk of historisch onderzoek of statistische doeleinden.

    (27)

    Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat bevoegde autoriteiten de persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van bepaalde strafbare feiten hebben verzameld, ook buiten dat kader verwerken, teneinde inzicht te verwerven in criminele activiteiten en verbanden te leggen tussen verschillende opgespoorde strafbare feiten.

    (28)

    Om de veiligheid in verband met de verwerking te handhaven en te voorkomen dat met een verwerking inbreuk wordt gemaakt op deze richtlijn, dienen persoonsgegevens te worden verwerkt met inachtneming van een passend niveau van beveiliging en vertrouwelijkheid, wat onder meer inhoudt dat ongeoorloofde toegang tot of het gebruik van persoonsgegevens en de voor de verwerking gebruikte apparatuur wordt voorkomen, en met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met de risico's en de aard van de te beschermen persoonsgegevens.

    (29)

    Persoonsgegevens dienen te worden verzameld voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden binnen het toepassingsgebied van deze richtlijn, en mogen niet worden verwerkt voor doeleinden die onverenigbaar zijn met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Indien persoonsgegevens door dezelfde of een andere verwerkingsverantwoordelijke worden verwerkt voor een doelstelling die binnen het toepassingsgebied van deze richtlijn valt, niet zijnde die waarvoor zij zijn verzameld, moet deze verwerking worden toegestaan, op voorwaarde dat zij is toegestaan op grond van toepasselijke wettelijke bepalingen, noodzakelijk is en in verhouding staat tot die doestelling.

    (30)

    Het beginsel van juistheid van gegevens moet worden toegepast met inachtneming van de aard en het doel van de verwerking in kwestie. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van natuurlijke personen en niet altijd te controleren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

    (31)

    Het is inherent aan de verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking dat persoonsgegevens betreffende verschillende categorieën van betrokkenen worden verwerkt. Daarom moet in voorkomend geval en zoveel mogelijk een onderscheid worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers. Dit mag geen afbreuk doen aan de toepassing van het recht op het vermoeden van onschuld zoals gewaarborgd bij het Handvest en het EVRM, zoals uitgelegd in de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens.

    (32)

    De bevoegde autoriteiten moeten ervoor zorgen dat persoonsgegevens die onjuist, onvolledig of niet langer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Om de bescherming van natuurlijke personen en de juistheid, de volledigheid of mate waarin de persoonsgegevens actueel zijn en de betrouwbaarheid van de doorgezonden of beschikbaar gestelde persoonsgegevens te waarborgen, dienen de bevoegde autoriteiten voor zover mogelijk bij elke doorzending van persoonsgegevens de noodzakelijk informatie toe te voegen.

    (33)

    Wanneer in deze richtlijn wordt verwezen naar het lidstatelijke recht, een rechtsgrond of een wetgevingsmaatregel, betekent dit niet noodzakelijk dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de constitutionele vereisten van de betrokken lidstaat. Dit lidstatelijke recht, die rechtsgrond of die wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens. In het lidstatelijke recht dat de verwerking van persoonsgegevens binnen het toepassingsgebied van deze richtlijn regelt, dienen ten minste de doeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking te worden gespecificeerd, alsmede de procedures voor het vrijwaren van de integriteit en de vertrouwelijkheid van persoonsgegevens en de procedures voor de vernietiging ervan, zodat voldoende garanties worden geboden tegen het risico op misbruik en willekeur.

    (34)

    De verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid moet betrekking hebben op een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens voor die doeleinden, al dan niet uitgevoerd met behulp van geautomatiseerde procedés of anderszins, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, aligneren, combineren, aan verwerkingsbeperkingen onderwerpen, wissen of vernietigen van gegevens. Meer bepaald dienen de bepalingen van deze richtlijn van toepassing te zijn op de doorzending van persoonsgegevens met het oog op de doelstellingen van deze richtlijn aan een ontvanger die niet onder deze richtlijn valt. Onder ontvanger dient te worden verstaan, een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of enig ander orgaan aan wie of waaraan de persoonsgegevens rechtmatig door de bevoegde autoriteit worden bekendgemaakt. Wanneer de persoonsgegevens in eerste instantie zijn verzameld door een bevoegde autoriteit voor een van de doeleinden van deze richtlijn, moet Verordening (EU) 2016/679 van toepassing zijn op de doorzending van die gegevens voor andere doeleinden dan die van deze richtlijn, indien deze verwerking is toegestaan bij het Unierecht of het lidstatelijke recht. Meer bepaald dienen de bepalingen van Verordening (EU) 2016/679 van toepassing te zijn op de doorgifte van persoonsgegevens voor doeleinden die niet onder deze richtlijn vallen. Verordening (EU) 2016/679 dient van toepassing te zijn op de verwerking van persoonsgegevens door een ontvanger die niet de bevoegde autoriteit is of die niet optreedt als bevoegde autoriteit in de zin van deze richtlijn en aan wie de persoonsgegevens rechtmatig zijn bekendgemaakt door een bevoegde autoriteit. Bij de uitvoering van deze richtlijn moeten de lidstaten ook de toepassing van de regels van Verordening (EU) 2016/679 nader kunnen bepalen, mits wordt voldaan aan de daarin gestelde voorwaarden.

    (35)

    Een verwerking van persoonsgegevens op grond van deze richtlijn geldt slechts als rechtmatig indien zij noodzakelijk is om een bevoegde autoriteit in staat te stellen op grond van het Unierecht of het lidstatelijke recht een taak in het algemeen belang uit te voeren met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Die activiteiten dienen de bescherming van vitale belangen van de betrokkene te omvatten. Het uitvoeren van de bij wet aan de bevoegde autoriteiten toegewezen taken in verband met de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, stelt hen in staat van natuurlijke personen te verlangen of te eisen dat zij aan de gedane verzoeken gevolg geven. In dit geval mag de toestemming van de betrokkene als omschreven in Verordening (EU) 2016/679 geen rechtsgrond vormen voor de verwerking van persoonsgegevens door bevoegde autoriteiten. Wanneer van de betrokkene wordt verlangd dat hij aan een wettelijke verplichting voldoet, heeft hij geen echte, vrije keuze, en kan zijn reactie derhalve niet als een spontane blijk van zijn wil worden uitgelegd. Dit mag de lidstaten niet beletten om in hun wetgeving te bepalen dat de betrokkene kan instemmen met de verwerking van zijn persoonsgegevens voor de doeleinden van deze richtlijn, zoals DNA-tests in strafrechtelijke onderzoeken of het toezicht, met behulp van elektronische enkelbanden, op de locatie waar de betrokkene zich bevindt met het oog op de tenuitvoerlegging van straffen.

    (36)

    De lidstaten moeten bepalen dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of lidstatelijke recht voorziet in specifieke voorwaarden die in specifieke omstandigheden op de verwerking van persoonsgegevens van toepassing zijn, zoals het gebruik van behandelingscodes, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging ervan in kennis dient te stellen. Die voorwaarden kunnen bijvoorbeeld voorzien in een verbod om de persoonsgegevens aan anderen door te zenden, of deze voor andere doeleinden te gebruiken dan deze waarvoor zij aan de ontvanger werden doorgezonden, of de betrokkene niet in kennis te stellen in geval van een beperking van het recht op informatie zonder de voorafgaande toestemming van de doorzendende bevoegde autoriteit. Die verplichtingen dienen ook te gelden voor doorgiften van de doorzendende bevoegde autoriteit aan ontvangers in derde landen of internationale organisaties. De lidstaten moeten ervoor zorgen dat de doorzendende bevoegde autoriteit geen andere voorwaarden toepast op ontvangers in andere lidstaten of op agentschappen, organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V VWEU, dan die welke van toepassing zijn op vergelijkbare doorzending van gegevens binnen de lidstaat van die bevoegde autoriteit.

    (37)

    Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico's voor de grondrechten en fundamentele vrijheden kan meebrengen. Die persoonsgegevens dienen de persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. Dergelijke persoonsgegevens mogen slechts worden verwerkt indien bij de verwerking passende bij wet vastgelegde waarborgen gelden wat de rechten en vrijheden van de betrokkene betreft en zij is toegelaten in bij wet bepaalde gevallen; bij ontstentenis van zulke wet, indien de verwerking noodzakelijk is om de vitale belangen van de betrokkene of een andere persoon te beschermen; of indien de verwerking betrekking heeft op gegevens die de betrokkene zelf kennelijk openbaar heeft gemaakt. Passende waarborgen voor de rechten en vrijheden van de betrokkene kunnen bijvoorbeeld inhouden dat die gegevens enkel mogen worden verzameld in samenhang met andere gegevens over de natuurlijke persoon in kwestie, dat de verzamelde gegevens afdoende kunnen worden beveiligd, dat strengere regels gelden voor de toegang van het personeel van de bevoegde autoriteit tot de gegevens, en dat de doorzending van die gegevens wordt verboden. De verwerking van die gegevens dient ook bij wet toegelaten te zijn wanneer de betrokkene uitdrukkelijk heeft toegestemd met de verwerking die een ingrijpende inbreuk vormt op zijn privacy. De toestemming van de betrokkene op zich mag evenwel geen rechtsgrond vormen voor de verwerking van die gevoelige persoonsgegevens door bevoegde autoriteiten.

    (38)

    De betrokkene dient het recht te hebben niet te worden onderworpen aan een besluit waaraan voor hem negatieve rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking die bedoeld is om een beeld te krijgen van bepaalde van zijn persoonlijke aspecten. Voor die verwerking moeten in ieder geval passende waarborgen worden geboden, waaronder specifieke voorlichting van de betrokkene en het recht op menselijke tussenkomst, met name om zijn standpunt kenbaar te maken, om uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit. Profilering die leidt tot discriminatie van natuurlijke personen op grond van persoonsgegevens die door de aard ervan bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, dient verboden te worden overeenkomstig de bepalingen van de artikelen 21 en 52 van het Handvest.

    (39)

    Informatie die aan de betrokkene wordt verstrekt, dient eenvoudig toegankelijk, onder meer op de website van de verwerkingsverantwoordelijke, en begrijpelijk te zijn, en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten uit te oefenen. Die informatie dient aangepast te zijn aan de behoeften van kwetsbare personen, zoals kinderen.

    (40)

    Er moet worden voorzien in regelingen om de betrokkene beter in staat te stellen zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen uit te oefenen, waaronder regelingen voor het verzoeken om, en in voorkomend geval kosteloos verkrijgen van, inzage in, en rectificatie of wissing van persoonsgegevens en verwerkingsbeperking. De verwerkingsverantwoordelijke dient te worden verplicht zonder onnodige vertraging op verzoeken van betrokkenen te reageren, tenzij de verwerkingsverantwoordelijke beperkingen toepast op de rechten van betrokkenen overeenkomstig de regels van deze richtlijn. De verwerkingsverantwoordelijke moet bovendien een redelijke vergoeding kunnen aanrekenen of kunnen weigeren aan het verzoek gevolg te geven wanneer verzoeken kennelijk ongegrond of buitensporig zijn, zoals wanneer de betrokkene zonder goede reden en herhaaldelijk om informatie verzoekt, of wanneer de betrokkene zijn recht om informatie te verkrijgen misbruikt, bijvoorbeeld door bij het verzoek valse of misleidende informatie te verstrekken.

    (41)

    Wanneer de verwerkingsverantwoordelijke om aanvullende informatie verzoekt die noodzakelijk is ter bevestiging van de identiteit van de betrokkene, dient die informatie uitsluitend voor dat specifieke doel te worden verwerkt en mag die informatie niet langer worden opgeslagen dan voor dat doel noodzakelijk is.

    (42)

    Ten minste de volgende informatie moet ter beschikking van de betrokkene worden gesteld: de identiteit van de verwerkingsverantwoordelijke, het bestaan van de verwerking, de doeleinden van de verwerking, het recht klacht in te dienen en het bestaan van het recht om van de verwerkingsverantwoordelijke toegang tot en rectificatie of wissing van persoonsgegevens of verwerkingsbeperking te verlangen. Dit kan worden gedaan op de website van de bevoegde autoriteit. Daarnaast dient de betrokkene, in specifieke gevallen en om hem in staat te stellen zijn rechten uit te oefenen, te worden ingelicht over de rechtsgrond voor de verwerking en over hoe lang de gegevens zullen worden opgeslagen, voor zover die nadere informatie noodzakelijk is om, met inachtneming van de specifieke omstandigheden waarin de persoonsgegevens worden verwerkt, met betrekking tot de betrokkene een behoorlijke verwerking te waarborgen.

    (43)

    Een natuurlijke persoon moet beschikken over het recht op inzage van de gegevens die over hem zijn verzameld, en moet dit recht gemakkelijk en met redelijke tussenpozen kunnen uitoefenen, zodat hij kennis kan nemen van de verwerking en de rechtmatigheid daarvan kan nagaan. Iedere betrokkene moet dan ook het recht hebben om op de hoogte te zijn van, en mededelingen te verkrijgen over, de doeleinden waarvoor de gegevens worden verwerkt, de periode waarin deze gegevens worden verwerkt, en de ontvangers van de gegevens, ook in derde landen. Wanneer die mededelingen informatie behelzen over de oorsprong van de persoonsgegevens, mag die informatie de identiteit van natuurlijke personen, met name van vertrouwelijke bronnen, niet onthullen. Om aan dit recht te voldoen, volstaat het dat aan de betrokkene in een begrijpelijke vorm een volledig overzicht van die gegevens wordt verstrekt, dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van deze gegevens en na te gaan of deze juist zijn en overeenkomstig deze richtlijn zijn verwerkt, zodat hij in voorkomend geval de hem uit hoofde van deze richtlijn toegekende rechten kan uitoefenen. Dat overzicht kan worden verstrekt in de vorm van een kopie van de persoonsgegevens die worden verwerkt.

    (44)

    De lidstaten dienen de mogelijkheid te hebben wetgevingsmaatregelen te treffen om de informatieverstrekking aan de betrokkenen uit te stellen, te beperken of achterwege te laten, of de inzage in hun persoonsgegevens volledig of gedeeltelijk te beperken, voor zover en zolang die maatregel in een democratische samenleving, met inachtneming van de grondrechten en van de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om ervoor te zorgen dat de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen niet in het gedrang komt, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de rechten en vrijheden van anderen te beschermen. De verwerkingsverantwoordelijke dient door middel van een concreet en individueel onderzoek van elk geval te beoordelen of het inzagerecht gedeeltelijk dan wel volledig moet worden beperkt.

    (45)

    Elke weigering of beperking van de inzage dient in principe schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen.

    (46)

    Elke beperking van de rechten van de betrokkene dient in overeenstemming te zijn met het Handvest en met het EVRM, zoals uitgelegd in de rechtspraak van respectievelijk het Hof van Justitie en het Europees Hof voor de Rechten van de Mens, en met name de wezenlijke inhoud van die rechten en vrijheden te eerbiedigen.

    (47)

    Een natuurlijke persoon dient het recht te hebben onjuiste hem betreffende persoonsgegevens te laten rectificeren, vooral wanneer het gaat om feiten, en deze te laten wissen indien de verwerking van die gegevens inbreuk maakt op deze richtlijn. Het recht op rectificatie mag echter geen invloed hebben op, bijvoorbeeld, de inhoud van een getuigenverklaring. Een natuurlijke persoon dient tevens recht te hebben op verwerkingsbeperking wanneer hij de juistheid van persoonsgegevens betwist en de juistheid of onjuistheid niet kan worden vastgesteld, of wanneer de persoonsgegevens moeten worden bewaard als bewijsmateriaal. Meer bepaald moeten persoonsgegevens niet worden gewist maar moet de verwerking worden beperkt indien in een specifiek geval redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de legitieme belangen van de betrokkene zou kunnen schaden. In een dergelijk geval moeten de aan beperkingen onderworpen gegevens alleen worden verwerkt voor het doel dat aan het wissen in de weg staat. De verwerking van persoonsgegevens zou onder meer kunnen worden beperkt door het overbrengen van de geselecteerde gegevens naar een ander verwerkingssysteem, bijvoorbeeld voor archivering, of door het niet-beschikbaar maken van de geselecteerde gegevens. In geautomatiseerde bestanden moet de verwerking in beginsel met technische middelen worden beperkt. Het feit dat de verwerking van persoonsgegevens wordt beperkt, dient in het bestand duidelijk te worden aangegeven. Die rectificatie of wissing van persoonsgegevens of die verwerkingsbeperking moet worden meegedeeld aan de ontvangers aan wie de gegevens zijn bekendgemaakt en aan de bevoegde autoriteiten van wie de onjuiste data afkomstig waren. De verwerkingsverantwoordelijke dient er tevens voor te zorgen dat verdere verspreiding van die gegevens achterwege blijft.

    (48)

    Indien de verwerkingsverantwoordelijke een betrokkene zijn recht op informatie, inzage, rectificatie of wissing van persoonsgegevens of verwerkingsbeperking ontzegt, moet de betrokkene het recht hebben de nationale toezichthoudende autoriteit te verzoeken om de rechtmatigheid van de verwerking te controleren. De betrokkene dient over dat recht te worden ingelicht. Wanneer de toezichthoudende autoriteit namens de betrokkene optreedt, dient zij de betrokkene er ten minste van in kennis te stellen dat zij alle noodzakelijke controles of toetsingen heeft verricht. De toezichthoudende autoriteit dient de betrokkene tevens te informeren over zijn recht om een voorziening in rechte in te stellen.

    (49)

    Indien de persoonsgegevens in het kader van een strafrechtelijk onderzoek en een strafrechtelijke procedure worden verwerkt, moeten de lidstaten erin kunnen voorzien dat het recht op informatie, inzage en op rectificatie of wissing van persoonsgegevens en op verwerkingsbeperking overeenkomstig het nationaal procesrecht wordt uitgeoefend.

    (50)

    De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke met betrekking tot elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd, dienen te worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen te implementeren, en dient hij te kunnen aantonen dat de verwerkingsactiviteiten stroken met deze richtlijn. Bij die maatregelen moet rekening worden gehouden met de aard, de reikwijdte, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. De door de verwerkingsverantwoordelijke genomen maatregelen dienen onder meer te bestaan in het opstellen en implementeren van specifieke waarborgen inzake de behandeling van persoonsgegevens van kwetsbare natuurlijke personen, zoals kinderen.

    (51)

    Gegevensverwerking kan voor de rechten en vrijheden van natuurlijke personen qua waarschijnlijkheid en ernst uiteenlopende risico's inhouden die tot lichamelijke, materiële of immateriële schade kunnen leiden, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden of de controle over hun persoonsgegevens dreigen te verliezen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt; wanneer genetische gegevens of biometrische gegevens worden verwerkt met het oog op de unieke identificatie van een persoon of wanneer gegevens over gezondheid of gegevens over seksueel gedrag en seksuele gerichtheid of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen worden verwerkt; wanneer persoonlijke aspecten worden geëvalueerd, om met name aspecten van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of belangstellingssferen, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens en een groot aantal betrokkenen betreft.

    (52)

    De waarschijnlijkheid en ernst van het risico moet worden bepaald op basis van de aard, de reikwijdte, de context en de doeleinden van de gegevensverwerking. Het risico moet worden beoordeeld op basis van een objectieve evaluatie, aan de hand waarvan wordt bepaald of de gegevensverwerking een hoog risico inhoudt. Een hoog risico is een bijzonder risico op aantasting van de rechten en vrijheden van betrokkenen.

    (53)

    De bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de voorschriften van deze richtlijn wordt voldaan. De tenuitvoerlegging van die maatregelen mag niet alleen van economische overwegingen afhangen. Om de naleving van deze richtlijn te kunnen aantonen, dient de verwerkingsverantwoordelijke intern beleid vast te stellen en maatregelen te implementeren die in het bijzonder voldoen aan de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Wanneer de verwerkingsverantwoordelijke ingevolge deze richtlijn een gegevensbeschermingseffectbeoordeling heeft uitgevoerd, dienen de resultaten daarvan in acht te worden genomen bij de ontwikkeling van die maatregelen en procedures. Die maatregelen kunnen onder meer inhouden dat zo spoedig mogelijk wordt overgegaan tot pseudonimisering. Het gebruik van pseudonimisering voor de toepassing van deze richtlijn kan dienst doen als instrument om het vrije verkeer van persoonsgegevens binnen de ruimte van vrijheid, veiligheid en recht te vergemakkelijken.

    (54)

    Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers, onder meer wat de monitoring door en de maatregelen van toezichthoudende autoriteiten betreft, is het noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, onder meer voor het geval waarin een verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd.

    (55)

    De uitvoering van een verwerking door een verwerker dient te worden geregeld door een rechtshandeling, met inbegrip van een overeenkomst die de verwerker bindt aan de verwerkingsverantwoordelijke, en waarin met name is bepaald dat de verwerker uitsluitend op instructie van de verwerkingsverantwoordelijke dient te handelen. De verwerker dient de beginselen van gegevensbescherming door ontwerp en van gegevensbescherming door standaardinstellingen in acht te nemen.

    (56)

    Om de naleving van deze richtlijn aan te tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van alle categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Iedere verwerkingsverantwoordelijke en verwerker dient ertoe te worden verplicht met de toezichthoudende autoriteit samen te werken en haar desgevraagd dat register te verstrekken zodat zij die kan gebruiken om op die verwerkingen toe te zien. De verwerkingsverantwoordelijke of de verwerker die persoonsgegevens verwerkt in systemen voor niet-geautomatiseerde verwerking dient te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de verwerking aan te tonen, om interne controle mogelijk te maken en om de integriteit en de beveiliging van gegevens te waarborgen.

    (57)

    Er dienen logbestanden te worden bijgehouden van ten minste de volgende activiteiten in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van doorgiften, samenvoeging en wissing. De identificatie van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, dient te worden geregistreerd en op basis daarvan moeten de redenen voor de verwerkingsactiviteiten kunnen worden vastgesteld. De logbestanden dienen uitsluitend te worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen, om de integriteit en de beveiliging van de gegevens te garanderen en om strafrechtelijke procedures te waarborgen. Interne controle dient interne tuchtprocedures van bevoegde autoriteiten te omvatten.

    (58)

    Indien verwerkingsactiviteiten op grond van hun aard, reikwijdte of doel waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen met zich brengen, dient de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de voorgenomen maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan. Effectbeoordelingen dienen relevante systemen en procedures van verwerkingsactiviteiten te bestrijken, maar geen individuele gevallen.

    (59)

    Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen dient de verwerkingsverantwoordelijke of de verwerker in bepaalde gevallen de toezichthoudende autoriteit voorafgaand aan de verwerking te raadplegen.

    (60)

    Teneinde de veiligheid te handhaven en te voorkomen dat met een verwerking inbreuk op deze richtlijn wordt gemaakt, dient de verwerkingsverantwoordelijke of de verwerker de risico's die de verwerking met zich brengt te beoordelen en maatregelen te treffen om deze risico's te beperken, zoals versleuteling. Die maatregelen dienen een passend niveau van veiligheid, met inbegrip van vertrouwelijkheid, te waarborgen, met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met het risico en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van gegevensbeveiligingsrisico's dient aandacht te worden besteed aan de risico's die zich voordoen bij gegevensverwerking, zoals de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden. De verwerkingsverantwoordelijke en de verwerker dienen ervoor te zorgen dat de verwerking van persoonsgegevens niet door onbevoegde personen wordt verricht.

    (61)

    Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en adequaat wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit zonder onnodige vertraging en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer ze niet binnen 72 uur kan plaatsvinden, dient de kennisgeving vergezeld te gaan van een toelichting bij de vertraging en kan informatie zonder verdere onnodige vertraging in fasen worden verstrekt.

    (62)

    Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich brengt, dienen de natuurlijke personen daarvan zonder onnodige vertraging in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. De kennisgeving moet melding maken van de aard van de inbreuk in verband met persoonsgegevens en aanbevelingen bevatten over hoe de persoon in kwestie mogelijke negatieve gevolgen kan beperken. Betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door deze laatste of andere relevante autoriteiten aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere termijn gerechtvaardigd kan zijn wanneer passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens. Wanneer door het uitstellen of beperken van de kennisgeving inzake een inbreuk in verband met persoonsgegevens aan de natuurlijk persoon in kwestie niet kan worden belet dat officiële of gerechtelijke onderzoeken of procedures worden belemmerd, dat de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten in het gedrang komen, dat straffen niet ten uitvoer worden gelegd, dat de openbare veiligheid, de nationale veiligheid of de rechten en vrijheden van anderen niet worden beschermd, zou die kennisgeving in uitzonderlijke omstandigheden achterwege kunnen worden gelaten.

    (63)

    De verwerkingsverantwoordelijke dient een persoon aan te wijzen die de verwerkingsverantwoordelijke bijstaat bij het toezicht op de interne naleving van de krachtens deze richtlijn vastgestelde bepalingen, behalve wanneer een lidstaat beslist om gerechten en andere onafhankelijke rechterlijke autoriteiten daarvan vrij te stellen in het kader van hun gerechtelijke taken. Die persoon kan een lid van het bestaande personeel van de verwerkingsverantwoordelijke zijn die een speciale opleiding inzake gegevensbeschermingswetgeving en -praktijk heeft genoten om deskundigheid op dat gebied te verwerven. Het vereiste expertiseniveau dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de verwerkingsverantwoordelijke verwerkte persoonsgegevens wordt vereist. De aangewezen persoon kan zijn taken op deeltijdse of voltijdse basis uitvoeren. Verschillende verwerkingsverantwoordelijken kunnen, rekening houdend met hun organisatiestructuur en omvang, samen een functionaris voor gegevensbescherming benoemen, bijvoorbeeld in het geval van gezamenlijke middelen in centrale eenheden. Binnen de structuur van de verwerkingsverantwoordelijken in kwestie kunnen aan deze persoon ook verschillende functies worden toegewezen. Die persoon dient de verwerkingsverantwoordelijke en de werknemers die persoonsgegevens verwerken bij te staan door hen te informeren en te adviseren over de nakoming van hun relevante verplichtingen inzake gegevensbescherming. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk in overeenstemming met het lidstatelijke recht uit te voeren.

    (64)

    De lidstaten dienen ervoor te zorgen dat doorgifte aan een derde land of aan een internationale organisatie enkel plaatsvindt indien die specifieke doorgifte noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, waaronder de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en dat de verwerkingsverantwoordelijke in het derde land of de internationale organisatie een bevoegde autoriteit is in de zin van deze richtlijn. Doorgifte mag enkel worden verricht door bevoegde autoriteiten die als verwerkingsverantwoordelijken optreden, behalve wanneer verwerkers expliciet wordt opgedragen om namens verwerkingsverantwoordelijken gegevens door te geven. Een dergelijke doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het derde land of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden of waarin afwijkingen voor specifieke situaties van toepassing zijn. Wanneer persoonsgegevens van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarin voor natuurlijke personen in de Unie door deze richtlijn wordt voorzien, ook in gevallen van verdere doorgiften van persoonsgegevens door het derde land of de internationale organisatie aan verwerkingsverantwoordelijken of verwerkers in hetzelfde of een ander derde land dan wel in dezelfde of een andere internationale organisatie.

    (65)

    Doorgifte van persoonsgegevens vanuit een lidstaat aan derde landen of internationale organisaties is in beginsel enkel toegestaan nadat de lidstaat waarvan de gegevens zijn verkregen daarin heeft toegestemd. Wanneer de bedreiging van de openbare veiligheid van een lidstaat of derde land of voor de fundamentele belangen van een lidstaat zo onmiddellijk is dat de voorafgaande toestemming niet tijdig kan worden verkregen, dient de bevoegde autoriteit met het oog op een doeltreffende samenwerking op het gebied van rechtshandhaving de mogelijkheid te hebben de desbetreffende persoonsgegevens zonder voorafgaande toestemming aan het derde land of de internationale organisatie in kwestie door te geven. De lidstaten dienen te bepalen dat eventuele specifieke voorwaarden met betrekking tot de doorgifte moeten worden meegedeeld aan derde landen of internationale organisaties. Aan verdere doorgiften van persoonsgegevens dient de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht voorafgaand haar toestemming te verlenen. Wanneer de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, beslist over een verzoek om toestemming voor een verdere doorgifte, dient deze naar behoren rekening te houden met alle relevante factoren, waaronder de ernst van het strafbare feit, de specifieke voorwaarden voor en het doel van de oorspronkelijke gegevensdoorgifte, de aard en de modaliteiten van de uitvoering van de strafrechtelijke sanctie, en het beschermingsniveau van de persoonsgegevens in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven. De bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, moet ook specifieke voorwaarden kunnen stellen aan de verdere doorgifte. Dergelijke specifieke voorwaarden kunnen worden beschreven in, bijvoorbeeld, behandelingscodes.

    (66)

    De Commissie moet kunnen besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat niveau van persoonsgegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die worden geacht een dergelijk beschermingsniveau te bieden. In die gevallen moeten doorgiften van persoonsgegevens aan die landen zonder specifieke toestemming kunnen plaatsvinden, behalve wanneer een andere lidstaat waarvan de gegevens zijn verkregen zijn toestemming aan de doorgifte moet verlenen.

    (67)

    Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van een derde land of van een gebied of een nader bepaalde sector in een derde land, in aanmerking te nemen in hoeverre de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het specifieke derde land worden geëerbiedigd, en dient zij rekening te houden met het algemene en sectorale recht, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land. Voor de vaststelling van een adequaatheidsbesluit met betrekking tot een gebied of een nader bepaalde sector in een derde land dienen duidelijke en objectieve criteria te worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de toepasselijke wettelijke normen en geldende wetgeving in het derde land. Het derde land dient waarborgen te bieden voor een adequaat beschermingsniveau dat in wezen overeenkomt met het beschermingsniveau in de Unie, vooral wanneer gegevens in één of meerdere specifieke sectoren worden verwerkt. Meer bepaald moet het derde land zorgen voor doeltreffend onafhankelijk gegevensbeschermingstoezicht en voor mechanismen van samenwerking met de gegevensbeschermingsautoriteiten van de lidstaten en moeten de betrokkenen beschikken over daadwerkelijke en afdwingbare rechten en dienen zij effectief administratief beroep en beroep in rechte te kunnen instellen.

    (68)

    Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie ook rekening te houden met de verplichtingen die voortvloeien uit de deelname van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de nakoming van die verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het bij Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming (het „Comité”). De Commissie dient tevens rekening te houden met de relevante adequaatheidsbesluiten die zij overeenkomstig artikel 45 van Verordening (EU) 2016/679 heeft vastgesteld.

    (69)

    De Commissie dient toe te zien op de werking van besluiten over het beschermingsniveau in een derde land, een gebied of nader bepaalde sector in een derde land, of in een internationale organisatie. Bij haar adequaatheidsbesluiten dient de Commissie te voorzien in een mechanisme voor de periodieke evaluatie van de werking ervan. Die periodieke evaluatie dient in overleg met het derde land of de internationale organisatie in kwestie en met inachtneming van alle relevante ontwikkelingen in het derde land of de internationale organisatie te geschieden.

    (70)

    De Commissie dient tevens te kunnen erkennen dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie niet langer een adequaat gegevensbeschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens aan dat derde land of die internationale organisatie te worden verboden, tenzij aan de voorschriften van deze richtlijn met betrekking tot doorgiften is voldaan en met inachtneming van passende waarborgen en afwijkingen voor specifieke gevallen. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie dient het derde land of de internationale organisatie tijdig op de hoogte te brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen.

    (71)

    Doorgiften die niet plaatsvinden op grond van een adequaatheidsbesluit mogen enkel worden toegestaan indien in een juridisch bindend instrument passende waarborgen voor de persoonsgegevensbescherming worden geboden, of indien de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende waarborgen voor de bescherming van persoonsgegevens worden geboden. Dergelijke juridisch bindende instrumenten zouden bijvoorbeeld juridisch bindende bilaterale overeenkomsten kunnen zijn die door de lidstaten zijn gesloten en in hun rechtsorde zijn geïmplementeerd en waarop de betrokkenen van die lidstaten zich zouden kunnen beroepen, en die de naleving van gegevensbeschermingsvoorschriften en de rechten van de betrokkenen waarborgen, waaronder het recht om administratief beroep of beroep in rechte in te stellen. De verwerkingsverantwoordelijke moet rekening kunnen houden met tussen Europol of Eurojust en derde landen gesloten samenwerkingsovereenkomsten die de uitwisseling van persoonsgegevens mogelijk maken wanneer de beoordeling van alle omstandigheden omtrent de gegevensdoorgifte wordt verricht. De verwerkingsverantwoordelijke moet er ook rekening mee kunnen houden dat de doorgifte van persoonsgegevens zal worden onderworpen aan verplichtingen inzake vertrouwelijkheid en aan het beginsel van specificiteit, om ervoor te zorgen dat de gegevens niet worden verwerkt voor andere doeleinden dan die waarvoor zij worden doorgegeven. Verder dient de verwerkingsverantwoordelijke in acht te nemen dat de persoonsgegevens niet zullen worden gebruikt om de doodstraf of enige vorm van wrede of onmenselijke behandeling te vorderen, uit te spreken of uit te voeren. Hoewel die voorwaarden kunnen worden bezien als passende waarborgen voor de overdracht van gegevens, moet de verwerkingsverantwoordelijke bijkomende waarborgen kunnen eisen.

    (72)

    Wanneer er geen adequaatheidsbesluit voorhanden is en geen passende waarborgen worden geboden, zou een doorgifte of een categorie van doorgiften slechts in specifieke situaties kunnen plaatsvinden, indien zulks noodzakelijk is: om de vitale belangen van de betrokkene of een andere persoon te beschermen of om legitieme belangen van de betrokkene te waarborgen indien het recht van de lidstaat die de persoonsgegevens doorgeeft aldus bepaalt; om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; in een afzonderlijk geval, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of, in een afzonderlijk geval, met het oog op de vaststelling, de uitoefening of de onderbouwing van rechtsvorderingen. Die afwijkingen dienen beperkend te worden opgevat en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar dienen tot de strikt noodzakelijke gegevens te worden beperkt. Dergelijke doorgiften dienen te worden gedocumenteerd en op verzoek ter beschikking van de toezichthoudende autoriteit te worden gesteld zodat deze de rechtmatigheid van de doorgifte kan controleren.

    (73)

    De bevoegde autoriteiten van de lidstaten passen de vigerende bilaterale of multilaterale internationale overeenkomsten met derde landen op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking toe met het oog op de uitwisseling van relevante informatie voor het uitvoeren van de hun bij wet opgedragen taken. Deze uitwisseling vindt in beginsel plaats door samenwerking met, of ten minste met de medewerking van, de autoriteiten die in de betrokken derde landen bevoegd zijn voor de toepassing van deze richtlijn, soms zelfs zonder bilaterale of multilaterale internationale overeenkomst. In specifieke individuele gevallen kunnen de normale procedures die het contacteren van die autoriteit in het derde land voorschrijven, echter inefficiënt of ongepast zijn, met name omdat de doorgifte niet tijdig kon worden verricht of omdat de autoriteit in het derde land de rechtsstatelijkheid of de internationale mensenrechtennormen en -regels niet eerbiedigt, zodat de bevoegde autoriteiten van de lidstaten zouden kunnen beslissen de persoonsgegevens rechtstreeks aan in die derde landen gevestigde ontvangers door te geven. Dit kan het geval zijn wanneer doorgifte van persoonsgegevens dringend noodzakelijk is om het leven van een persoon die het slachtoffer van een strafbaar feit dreigt te worden, te redden of om een op handen zijnd misdrijf, waaronder terrorisme, te voorkomen. Niettegenstaande dat een dergelijke vorm van doorgifte tussen bevoegde autoriteiten en in derde landen gevestigde ontvangers voorbehouden moet blijven voor specifieke individuele gevallen, dient deze richtlijn te voorzien in voorwaarden om dergelijke gevallen te regelen. Die bepalingen mogen niet worden beschouwd als afwijkingen van bestaande bilaterale of multilaterale internationale overeenkomsten op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking. Die regels dienen te gelden naast de overige bepalingen van deze richtlijn, met name de bepalingen betreffende de rechtmatigheid van de verwerking en de bepalingen van hoofdstuk V.

    (74)

    Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor natuurlijke personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige bekendmaking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten in verband met activiteiten in het buitenland. Daarnaast kunnen hun inspanningen met het oog op grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden en inconsistente rechtskaders. Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland.

    (75)

    Voor de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens is het van wezenlijk belang dat in de lidstaten toezichthoudende autoriteiten worden ingesteld die hun taken volstrekt onafhankelijk uitvoeren. De toezichthoudende autoriteiten dienen toe te zien op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en moeten bijdragen aan de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen op het vlak van verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.

    (76)

    De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) 2016/679 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren.

    (77)

    De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over de financiële en personele middelen, dienstruimten en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. Iedere toezichthoudende autoriteit dient over een afzonderlijke openbare jaarbegroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting.

    (78)

    De toezichthoudende autoriteiten dienen te worden onderworpen aan onafhankelijke controle- of monitoringmechanismen betreffende hun financiële uitgaven, op voorwaarde dat die financiële controle geen afbreuk doet aan hun onafhankelijkheid.

    (79)

    De algemene voorwaarden voor het lid of de leden van de toezichthoudende autoriteit dienen in het lidstatelijke recht te worden vastgesteld en dienen met name te bepalen dat de leden moeten worden benoemd door het parlement dan wel de regering of het staatshoofd van de lidstaat op voordracht van de regering, een lid van de regering, het parlement of haar kamer, hetzij door een onafhankelijke instantie die krachtens het lidstatelijke recht middels een transparante procedure met de benoeming is belast. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het lid of dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met zijn of hun taken en gedurende zijn of hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met zijn of hun taken. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het personeel door de toezichthoudende autoriteit te worden gekozen, met eventueel een interventie van een onafhankelijk instantie die krachtens het lidstatelijke recht met die taak is belast.

    (80)

    Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechten en andere rechterlijke autoriteiten, dient de competentie van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun taken, teneinde de onafhankelijkheid van rechters bij de uitvoering van hun gerechtelijke taken te vrijwaren. Die vrijstelling dient beperkt te blijven tot gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het lidstatelijke recht verrichten. De lidstaten moeten ook kunnen bepalen dat de bevoegdheid van de toezichthoudende autoriteit zich niet uitstrekt tot de verwerking van persoonsgegevens door andere onafhankelijke rechterlijke autoriteiten in het kader van hun gerechtelijke taken, bijvoorbeeld het openbaar ministerie. De naleving van de regels van deze richtlijn door gerechten en andere onafhankelijke rechterlijke autoriteiten is in elk geval altijd onderworpen aan onafhankelijk toezicht in overeenstemming met artikel 8, lid 3, van het Handvest.

    (81)

    Elke toezichthoudende autoriteit dient klachten die door een betrokkene zijn ingediend, in behandeling te nemen en dient de zaak te onderzoeken of deze door te zenden naar de bevoegde toezichthoudende autoriteit. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt.

    (82)

    Met het oog op efficiënte, betrouwbare en consequente monitoring van de naleving en handhaving van deze richtlijn in de gehele Unie krachtens het VWEU zoals uitgelegd door het Hof van Justitie, dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder onderzoeksbevoegdheden, bevoegdheden tot het nemen van corrigerende maatregelen en adviesbevoegdheden die noodzakelijk zijn voor de uitvoering van hun taken. Hun bevoegdheden mogen echter geen afbreuk doen aan de specifieke regels voor strafrechtelijke procedures, met inbegrip van het onderzoek en de vervolging van strafbare feiten, of aan de onafhankelijkheid van de rechterlijke macht. Onverminderd de bevoegdheden die krachtens het lidstatelijke recht aan de met vervolging belaste autoriteiten zijn toegekend, dienen de toezichthoudende autoriteiten tevens de bevoegdheid te hebben inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen of gerechtelijke procedures te voeren. De bevoegdheden van de toezichthoudende autoriteiten dienen in overeenstemming met passende in het Unierecht of het lidstatelijke recht vastgestelde procedurele waarborgen, op onpartijdige en eerlijke wijze en binnen een redelijke termijn te worden uitgeoefend. In het bijzonder dient elke maatregel passend, noodzakelijk en proportioneel te zijn met het oog op naleving van deze richtlijn en, rekening houdend met de omstandigheden van elk afzonderlijk geval, het recht te eerbiedigen van eenieder om te worden gehoord voordat een individuele maatregel wordt genomen die voor hem nadelige gevolgen zou hebben; verder dienen overbodige kosten en buitensporige ongemakken voor de persoon in kwestie te worden vermeden. Onderzoeksbevoegdheden betreffende toegang tot dienstruimten dienen overeenkomstig de specifieke voorschriften van het lidstatelijke recht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, te worden uitgeoefend. De vaststelling van een juridisch bindend besluit dient te worden onderworpen aan rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.

    (83)

    De toezichthoudende autoriteiten dienen elkaar te helpen bij de uitvoering van hun taken en wederzijdse bijstand te verlenen met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen.

    (84)

    Het Comité dient bij te dragen tot de consequente toepassing van deze richtlijn in de gehele Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen.

    (85)

    Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één toezichthoudende autoriteit en om overeenkomstig artikel 47 van het Handvest een doeltreffende voorziening in rechte in te stellen indien de betrokkene meent dat inbreuk is gemaakt op zijn rechten krachtens uit hoofde van deze richtlijn vastgestelde bepalingen, of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel afwijst, of niet optreedt wanneer zulk optreden voor de bescherming van de rechten van de betrokkene noodzakelijk is. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De bevoegde toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan ook worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

    (86)

    Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om voor de bevoegde nationale rechterlijke instantie een doeltreffende voorziening in rechte in te stellen tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening door de toezichthoudende autoriteit van bevoegdheden in verband met onderzoek, corrigerende maatregelen en toestemming, of op de afwijzing van klachten. Dat recht geldt echter niet voor andere maatregelen van de toezichthoudende autoriteiten die niet juridisch bindend zijn, zoals standpunten en adviezen. Een vordering tegen een toezichthoudende autoriteit dient te worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd, en moet stroken met het recht van die lidstaat. Die gerechten dienen volledige rechtsmacht uit te oefenen, waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het aanhangige geschil te onderzoeken.

    (87)

    Wanneer een betrokkene van oordeel is dat zijn rechten uit hoofde van deze richtlijn zijn geschonden, dient hij het recht te hebben een instantie die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel heeft en die volgens het recht van een lidstaat is opgericht, te machtigen om namens hem klacht in te dienen bij een toezichthoudende autoriteit en het recht op een voorziening in rechte uit te oefenen. Het recht van vertegenwoordiging van de betrokkenen mag geen afbreuk doen aan het lidstatelijke procesrecht op grond waarvan een verplichte vertegenwoordiging van de betrokkenen door een advocaat, zoals omschreven in Richtlijn 77/249/EEG van de Raad (10), voor de nationale rechter vereist kan zijn.

    (88)

    Alle schade die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, moet worden vergoed door de verwerkingsverantwoordelijke of door een naar lidstatelijk recht bevoegde instantie. Het begrip „schade” moet ruim worden opgevat in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doeleinden van deze richtlijn. Dit laat eventuele vorderingen tot schadevergoeding wegens inbreuken op andere regels van het Unierecht of het lidstatelijke recht onverlet. Wanneer sprake is van een verwerking die onrechtmatig is of die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, worden daarmee ook verwerkingen bedoeld die inbreuk maken op overeenkomstig deze richtlijn vastgestelde uitvoeringshandelingen. De betrokkenen dienen volledige en daadwerkelijke vergoeding van de door hen geleden schade te ontvangen.

    (89)

    Er dienen sancties te worden opgelegd aan de natuurlijke personen of rechtspersonen, ongeacht of deze personen onder het publiekrecht dan wel onder het privaatrecht vallen, die inbreuk maken op deze richtlijn. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en dienen alle maatregelen te nemen om de sancties ten uitvoer te leggen.

    (90)

    Met het oog op uniforme voorwaarden voor de uitvoering van deze richtlijn dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend met betrekking tot het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie en het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité. Die bevoegdheden dienen te worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11).

    (91)

    De onderzoeksprocedure dient te worden toegepast voor de vaststelling van uitvoeringshandelingen inzake het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie, en inzake het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité, aangezien dit handelingen van algemene strekking zijn.

    (92)

    Wanneer een derde land, een gebied of nader bepaalde sector in een derde land, dan wel een internationale organisatie niet langer een adequaat beschermingsniveau waarborgt, dient de Commissie in naar behoren gerechtvaardigde gevallen onmiddellijk toepasselijke uitvoeringshandelingen vast te stellen indien dit om dwingende redenen van urgentie is vereist.

    (93)

    Aangezien de doeleinden van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder het recht op de bescherming van hun persoonsgegevens, en het waarborgen van de vrije uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt en, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie worden gerealiseerd, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen treffen. Overeenkomstig het in datzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om die doeleinden te verwezenlijken.

    (94)

    Specifieke bepalingen van handelingen van de Unie op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven, zoals de specifieke bepalingen inzake de bescherming van persoonsgegevens die worden toegepast uit hoofde van Besluit 2008/615/JBZ van de Raad (12), of artikel 23 van de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie. (13) Aangezien artikel 8 van het Handvest en artikel 16 VWEU voorschrijven dat het grondrecht op bescherming van persoonsgegevens op een consequente manier in de Unie wordt gewaarborgd, dient de Commissie na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen. In voorkomend geval dient de Commissie voorstellen te doen om consistente rechtsregels met betrekking tot de verwerking van persoonsgegevens te waarborgen.

    (95)

    Teneinde een alomvattende en consequente bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de lidstaten vóór de datum van inwerkingtreding van deze richtlijn hebben gesloten en die stroken met het vóór die datum toepasselijke Unierecht van kracht te blijven totdat zij worden gewijzigd, vervangen of ingetrokken.

    (96)

    Voor de omzetting van deze richtlijn dienen de lidstaten te beschikken over een termijn van maximaal 2 jaar vanaf de datum van inwerkingtreding ervan. Verwerkingen die reeds gaande zijn op die datum dienen binnen twee jaar na de inwerkingtreding van deze richtlijn daarmee in overeenstemming te worden gebracht. Indien een dergelijke verwerking evenwel in overeenstemming is met het Unierecht dat vóór de datum van inwerkingtreding van deze richtlijn van toepassing is, mogen de voorschriften van deze richtlijn die betrekking hebben op de voorafgaande raadpleging van de toezichthoudende autoriteit, niet worden toegepast op de verwerkingsactiviteiten die reeds van vóór die datum gaande zijn, aangezien die voorschriften vanwege hun aard voorafgaand aan de verwerkingen dienen te worden vervuld. Wanneer de lidstaten van de langere omzettingsperiode die zeven jaar na de datum van inwerkingtreding van deze richtlijn verstrijkt, gebruikmaken teneinde te voldoen aan de registratieverplichtingen voor systemen voor geautomatiseerde verwerking die vóór die datum zijn opgezet, dient de verwerkingsverantwoordelijke of de verwerker te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de gegevensverwerking aan te tonen, interne controle mogelijk te maken en de integriteit en de beveiliging van gegevens te waarborgen.

    (97)

    Deze richtlijn laat de regels ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, als vastgesteld in Richtlijn 2011/93/EU van het Europees Parlement en de Raad (14), onverlet.

    (98)

    Kaderbesluit 2008/977/JBZ dient derhalve te worden ingetrokken.

    (99)

    Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het VEU en het VWEU, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel VWEU, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd.

    (100)

    Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel van het VWEU niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn voortbouwt op het Schengenacquis krachtens titel V van het derde deel van het VWEU, dient Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden na de vaststelling van deze richtlijn te beslissen of het deze in het nationale recht zal omzetten.

    (101)

    Wat IJsland en Noorwegen betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (15).

    (102)

    Wat Zwitserland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (16).

    (103)

    Wat Liechtenstein betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis (17).

    (104)

    Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest, zoals vastgelegd in het VWEU, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van die rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te voldoen aan door de Unie erkende doeleinden van algemeen belang of aan de noodzaak van bescherming van de rechten en vrijheden van anderen.

    (105)

    Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsmaatregelen wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd.

    (106)

    De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 geraadpleegd en heeft op 7 maart 2012 (18) advies uitgebracht.

    (107)

    Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, inzage, rectificatie of wissing van persoonsgegevens en verwerkingsbeperking in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen,

    HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

    HOOFDSTUK I

    Algemene bepalingen

    Artikel 1

    Onderwerp en doelstellingen

    1.   Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

    2.   Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:

    a)

    de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en

    b)

    erop toe te zien dat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de Unie, wanneer die uitwisseling bij het Unierecht of het recht van de lidstaten is vereist, niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

    3.   Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.

    Artikel 2

    Toepassingsgebied

    1.   Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1.

    2.   Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

    3.   Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:

    a)

    in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;

    b)

    door instellingen, organen en instanties van de Unie.

    Artikel 3

    Definities

    Voor de toepassing van deze richtlijn wordt verstaan onder:

    1)   „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

    2)   „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

    3)   „verwerkingsbeperking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

    4)   „profilering”: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

    5)   „pseudonimisering”: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

    6)   „bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

    7)   „bevoegde autoriteit”:

    a)

    iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of

    b)

    ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

    8)   „verwerkingsverantwoordelijke”: de bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

    9)   „verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

    10)   „ontvanger”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het lidstatelijke recht, gelden echter niet als ontvangers; bij de verwerking van die persoonsgegevens door die overheidsinstanties voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking;

    11)   „inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

    12)   „genetische gegevens”: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

    13)   „biometrische gegevens”: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

    14)   „gezondheidsgegevens”: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;

    15)   „toezichthoudende autoriteit”: een door een lidstaat ingevolge artikel 41 ingestelde onafhankelijke overheidsinstantie;

    16)   „internationale organisatie”: een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.

    HOOFDSTUK II

    Beginselen

    Artikel 4

    Beginselen inzake verwerking van persoonsgegevens

    1.   De lidstaten schrijven voor dat persoonsgegevens:

    a)

    rechtmatig en eerlijk worden verwerkt;

    b)

    voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden worden verzameld en niet op een met die doeleinden onverenigbare wijze worden verwerkt;

    c)

    toereikend, ter zake dienend en niet bovenmatig in verhouding tot de doeleinden waarvoor zij worden verwerkt, zijn;

    d)

    juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;

    e)

    worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt;

    f)

    met gebruikmaking van passende technische of organisatorische middelen op een dusdanige manier worden verwerkt dat de beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

    2.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke voor een ander doel van artikel 1, lid 1, dan dat waarvoor de persoonsgegevens worden verzameld, is toegelaten voor zover:

    a)

    de verwerkingsverantwoordelijke overeenkomstig het Unierecht of het lidstatelijke recht gemachtigd is deze persoonsgegevens voor een dergelijk doel te verwerken; en

    b)

    de verwerking noodzakelijk is en in verhouding staat tot dat andere doel overeenkomstig het Unierecht of het lidstatelijke recht.

    3.   Verwerking door dezelfde of een andere verwerkingsverantwoordelijke kan onder meer omvatten archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of gebruik voor statistische doeleinden voor de in artikel 1, lid 1, bedoelde doeleinden, mits is voorzien in passende waarborgen voor de rechten en vrijheden van betrokkenen.

    4.   De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de leden 1, 2 en 3 en kan deze naleving aantonen.

    Artikel 5

    Termijnen voor opslag en evaluatie

    De lidstaten voorzien erin dat passende termijnen worden vastgelegd voor het wissen van persoonsgegevens of voor een periodieke evaluatie van de noodzaak van de opslag van persoonsgegevens. De naleving van die termijnen wordt met procedurele maatregelen gewaarborgd.

    Artikel 6

    Onderscheid tussen verschillende categorieën van betrokkenen

    De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, in voorkomend geval en voor zover mogelijk, een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals:

    a)

    personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;

    b)

    personen die voor een strafbaar feit zijn veroordeeld;

    c)

    slachtoffers van een strafbaar feit, of personen ten aanzien van wie bepaalde feiten aanleiding geven tot het vermoeden dat zij het slachtoffer zouden kunnen worden van een strafbaar feit; en

    d)

    andere personen die bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafrechtelijke procedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen als bedoeld onder a) en b).

    Artikel 7

    Onderscheid tussen persoonsgegevens en controle van de kwaliteit van persoonsgegevens

    1.   De lidstaten voorzien erin dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd.

    2.   De lidstaten voorzien erin dat de bevoegde autoriteiten alle redelijke maatregelen nemen om ervoor te zorgen dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Daartoe controleert iedere bevoegde autoriteit, voor zover praktisch haalbaar, de kwaliteit van de persoonsgegevens voordat de gegevens worden doorgezonden of beschikbaar gesteld. Voor zover mogelijk wordt bij de doorzending van persoonsgegevens te allen tijde de noodzakelijke aanvullende informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van persoonsgegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.

    3.   Indien blijkt dat onjuiste persoonsgegevens zijn doorgezonden, of dat de persoonsgegevens op onrechtmatige wijze zijn doorgezonden, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval worden de persoonsgegevens gerectificeerd of gewist, of wordt de verwerking beperkt overeenkomstig artikel 16.

    Artikel 8

    Rechtmatigheid van de verwerking

    1.   De lidstaten zorgen ervoor dat verwerking alleen rechtmatig is indien en voor zover die verwerking noodzakelijk is voor de uitvoering door een bevoegde autoriteit van een taak voor de in artikel 1, lid 1, bedoelde doeleinden, en dat die verwerking gebaseerd is op het Unierecht of het lidstatelijke recht.

    2.   In het lidstatelijke recht dat verwerking binnen het toepassingsgebied van deze richtlijn regelt, worden ten minste de verwerkingsdoeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking gespecificeerd.

    Artikel 9

    Specifieke verwerkingsvoorwaarden

    1.   Persoonsgegevens die door bevoegde autoriteiten voor de in artikel 1, lid 1 omschreven doeleinden worden verzameld, worden niet verwerkt voor andere doeleinden, tenzij die verwerking krachtens het Unierecht of het lidstatelijke recht is toegestaan. Wanneer persoonsgegevens voor zulke andere doeleinden worden verwerkt, is Verordening (EU) 2016/679 van toepassing, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.

    2.   Wanneer aan bevoegde autoriteiten krachtens het lidstatelijke recht andere taken dan die ter verwezenlijking van de in artikel 1, lid 1, omschreven doeleinden worden toevertrouwd, is Verordening (EU) 2016/679 van toepassing op verwerking voor die doeleinden, waaronder archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, tenzij de verwerking geschiedt in het kader van een activiteit die buiten de werkingssfeer van het Unierecht valt.

    3.   De lidstaten schrijven voor dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of recht van de listaten voorziet in specifieke verwerkingsvoorwaarden, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging daarvan in kennis stelt.

    4.   De lidstaten schrijven voor dat, wanneer de doorzendende bevoegde autoriteit uit hoofde van lid 3 voorwaarden toepast op ontvangers in andere lidstaten en op organen en instanties die zijn opgericht krachtens de hoofstukken 4 en 5 van titel V VWEU, die voorwaarden niet mogen afwijken van de voorwaarden voor vergelijkbare doorzendingen van gegevens binnen de lidstaat van de doorzendende bevoegde autoriteit.

    Artikel 10

    Verwerking van bijzondere categorieën van persoonsgegevens

    Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijkt, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over gezondheid of gegevens over seksueel gedrag of seksuele gerichtheid van een natuurlijke persoon zijn slechts toegelaten wanneer de verwerking strikt noodzakelijk is, geschiedt met inachtneming van passende waarborgen voor de rechten en vrijheden van de betrokkene, en:

    a)

    bij het Unierecht of het lidstatelijke recht is toegestaan;

    b)

    noodzakelijk is om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen; of

    c)

    die verwerking betrekking heeft op gegevens die kennelijk door de betrokkene zelf openbaar zijn gemaakt.

    Artikel 11

    Geautomatiseerde individuele besluitvorming

    1.   De lidstaten schrijven voor dat uitsluitend op geautomatiseerde verwerking gebaseerde besluiten, met inbegrip van profilering, die voor de betrokkene nadelige rechtsgevolgen hebben of hem in aanmerkelijke mate treffen, verboden zijn, tenzij het betrokken besluit is toegestaan krachtens het Unierecht of het lidstatelijke recht dat op de verwerkingsverantwoordelijke van toepassing is, en dat besluit voorziet in passende waarborgen voor de rechten en vrijheden van de betrokkene, waaronder ten minste het recht op menselijke tussenkomst van de verwerkingsverantwoordelijke.

    2.   De in lid 1 van dit artikel bedoelde besluiten worden niet gebaseerd op de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens, tenzij er passende maatregelen ter bescherming van de rechten en vrijheden en de legitieme belangen van de betrokkene zijn getroffen.

    3.   Profilering die leidt tot discriminatie van natuurlijke personen op grond van de in artikel 10 bedoelde bijzondere categorieën van persoonsgegevens is overeenkomstig het Unierecht verboden.

    HOOFDSTUK III

    Rechten van de betrokkene

    Artikel 12

    Communicatie en regelingen voor de uitoefening van de rechten van de betrokkene

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke redelijke maatregelen neemt om de betrokkene de in artikel 13 bedoelde informatie te verstrekken, en dat iedere mededeling aan de betrokkene in het kader van de artikelen 11, 14 tot en met 18, en 31 in verband met verwerking in een beknopte, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal plaatsvindt. De informatie wordt met passende, waaronder elektronische, middelen verstrekt. In de regel verstrekt de verwerkingsverantwoordelijke de informatie in dezelfde vorm als de vorm van het verzoek.

    2.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de uitoefening van de rechten van de betrokkene uit hoofde van artikel 11 en de artikelen 14 tot en met 18 faciliteert.

    3.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt met betrekking tot de opvolging van zijn verzoek.

    4.   De lidstaten schrijven voor dat het verstrekken van informatie overeenkomstig artikel 13, en elke communicatie of maatregel overeenkomstig de artikelen 11, 14 tot en met 18, en 31 kosteloos geschieden. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke:

    a)

    een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; of

    b)

    weigeren gevolg te geven aan het verzoek.

    Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.

    5.   Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die een in de artikelen 14 en 16 bedoeld verzoek doet, kan hij verzoeken om aanvullende informatie die noodzakelijk is ter bevestiging van de identiteit van de betrokkene.

    Artikel 13

    Aan de betrokkene ter beschikking gestelde of verstrekte informatie

    1.   De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene ten minste de volgende informatie ter beschikking stelt:

    a)

    de identiteit en de contactgegevens van de verwerkingsverantwoordelijke;

    b)

    in voorkomend geval, de contactgegevens van de functionaris voor gegevensbescherming;

    c)

    de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd;

    d)

    het bestaan van het recht klacht in te dienen bij een toezichthoudende autoriteit, en de contactgegevens van de toezichthoudende autoriteit;

    e)

    het bestaan van het recht de verwerkingsverantwoordelijke te verzoeken om toegang tot en rectificatie of wissing van hem betreffende persoonsgegevens, en beperking van de verwerking van persoonsgegevens betreffende de betrokkene.

    2.   In aanvulling op de in lid 1 bedoelde informatie schrijven de lidstaten bij wet voor dat de verwerkingsverantwoordelijke de betrokkene in specifieke gevallen de volgende verdere informatie verstrekt om de betrokkene in staat te stellen zijn rechten uit te oefenen:

    a)

    de rechtsgrond van de verwerking;

    b)

    de periode gedurende welke de persoonsgegevens zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    c)

    in voorkomend geval, de categorieën van ontvangers van de persoonsgegevens, ook in derde landen of internationale organisaties;

    d)

    indien noodzakelijk, extra informatie, in het bijzonder wanneer de persoonsgegevens zonder medeweten van de betrokkene worden verzameld.

    3.   De lidstaten kunnen wettelijke maatregelen treffen om de verstrekking van de in lid 2 bedoelde informatie aan de betrokkene uit te stellen, te beperken of achterwege te laten, voor zover en zolang een dergelijke maatregel in een democratische samenleving, met inachtneming van de grondrechten en de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

    a)

    belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

    b)

    nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

    c)

    de openbare veiligheid te beschermen;

    d)

    de nationale veiligheid te beschermen;

    e)

    de rechten en vrijheden van anderen te beschermen.

    4.   De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder één van de punten van lid 3 kunnen vallen.

    Artikel 14

    Recht op inzage van de betrokkene

    Behoudens artikel 15 schrijven de lidstaten voor dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke uitsluitsel te krijgen over de al dan niet verwerking van hem betreffende persoonsgegevens en, wanneer dat het geval is, om die persoonsgegevens in te zien en om de volgende informatie te verkrijgen:

    a)

    de doeleinden van en de rechtsgrond voor de verwerking;

    b)

    de betrokken categorieën van persoonsgegevens;

    c)

    de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn bekendgemaakt, met name ontvangers in derde landen of internationale organisaties;

    d)

    indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    e)

    dat hij het recht heeft van de verwerkingsverantwoordelijke rectificatie of wissing van hem betreffende persoonsgegevens of beperking van verwerking van hem betreffende persoonsgegevens te verlangen;

    f)

    het bestaan van het recht klacht in te dienen bij de toezichthoudende autoriteit, en de contactgegevens van de toezichthoudende autoriteit;

    g)

    de persoonsgegevens die worden verwerkt, en alle beschikbare informatie over de oorsprong van die gegevens.

    Artikel 15

    Beperkingen van het inzagerecht

    1.   De lidstaten kunnen wettelijke maatregelen treffen om het inzagerecht van de betrokkene geheel of gedeeltelijk te beperken, voor zover en zolang die volledige of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

    a)

    belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

    b)

    nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

    c)

    de openbare veiligheid te beschermen;

    d)

    de nationale veiligheid te beschermen;

    e)

    de rechten en vrijheden van anderen te beschermen.

    2.   De lidstaten kunnen wettelijke maatregelen treffen om te bepalen welke verwerkingscategorieën geheel of gedeeltelijk onder de vrijstellingen van lid 1 kunnen vallen.

    3.   In de in de leden 1 en 2 bedoelde gevallen schrijven de lidstaten voor dat de verwerkingsverantwoordelijke de betrokkene zonder onnodige vertraging schriftelijk in kennis stelt van een eventuele weigering of beperking van de inzage en van de redenen voor die weigering of beperking. Die informatie kan achterwege worden gelaten wanneer de verstrekking daarvan een van de doeleinden van lid 1 zou ondermijnen. De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om een beroep in te stellen bij de rechter.

    4.   De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, documenteert. Die informatie wordt ter beschikking gesteld van de toezichthoudende autoriteiten.

    Artikel 16

    Recht op rectificatie of wissing van persoonsgegevens en verwerkingsbeperking

    1.   De lidstaten voorzien erin dat de betrokkene het recht heeft van de verwerkingsverantwoordelijke zonder onnodige vertraging rectificatie van hem betreffende onjuiste persoonsgegevens te verkrijgen. Rekening houdend met het doel van de verwerking schrijven de lidstaten voor dat de betrokkene het recht heeft om onvolledige persoonsgegevens te laten vervolledigen, onder meer via een aanvullende verklaring.

    2.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de persoonsgegevens zonder onnodige vertraging wist, en voorzien in het recht voor de betrokkene om van de verwerkingsverantwoordelijke zonder onnodige vertraging wissing van hem betreffende persoonsgegevens te verkrijgen wanneer verwerking indruist tegen artikel 4, 8 of 10 of wanneer de persoonsgegevens moeten worden gewist om te voldoen aan een op de verwerkingsverantwoordelijke rustende wettelijke verplichting.

    3.   In plaats van tot wissing over te gaan, beperkt de verwerkingsverantwoordelijke de verwerking wanneer:

    a)

    de juistheid van de persoonsgegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd; of

    b)

    de persoonsgegevens als bewijsmateriaal moeten worden bewaard.

    Wanneer de verwerking op grond van punt a) van de eerste alinea wordt beperkt, informeert de verwerkingsverantwoordelijke de betrokkene alvorens de verwerkingsbeperking op te heffen.

    4.   De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene schriftelijk in kennis stelt van een eventuele weigering tot rectificatie of wissing van persoonsgegevens of verwerkingsbeperking, en van de redenen voor die weigering. De lidstaten kunnen wettelijke maatregelen treffen om de verplichting tot het verstrekken van die informatie geheel of gedeeltelijk te beperken, voor zover een dergelijke verwerkingsbeperking in een democratische samenleving, met inachtneming van de grondrechten en legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om:

    a)

    belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

    b)

    nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen te voorkomen;

    c)

    de openbare veiligheid te beschermen;

    d)

    de nationale veiligheid te beschermen;

    e)

    de rechten en vrijheden van anderen te beschermen.

    De lidstaten voorzien erin dat de verwerkingsverantwoordelijke de betrokkene inlicht over de mogelijkheid om klacht in te dienen bij een toezichthoudende instantie of om beroep in te stellen bij de rechter.

    5.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de rectificatie van de onjuiste persoonsgegevens meedeelt aan de bevoegde autoriteit van wie de onjuiste persoonsgegevens afkomstig zijn.

    6.   De lidstaten schrijven voor dat, wanneer overeenkomstig de leden 1, 2 en 3 persoonsgegevens zijn gerectificeerd of gewist, of wanneer de verwerking ervan is beperkt, de verwerkingsverantwoordelijke de ontvangers in kennis stelt, ende ontvangers de persoonsgegevens rectificeren of wissen of de onder hun bevoegdheid vallende verwerking van persoonsgegevens beperken.

    Artikel 17

    Uitoefening van rechten door de betrokkene en controle door de toezichthoudende autoriteit

    1.   In de in artikel 13, lid 3, artikel 15, lid 3, en artikel 16, lid 4, bedoelde gevallen treffen de lidstaten maatregelen die ertoe strekken dat de betrokkene zijn rechten ook via de bevoegde toezichthoudende autoriteit kan uitoefenen.

    2.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de betrokkene in kennis stelt van de mogelijkheid uit hoofde van lid 1 zijn rechten via de toezichthoudende autoriteit uit te oefenen.

    3.   Wanneer het in lid 1 bedoelde recht wordt uitgeoefend, stelt de toezichthoudende autoriteit de betrokkene er ten minste van in kennis dat alle noodzakelijke controles of een evaluatie door de toezichthoudende autoriteit hebben plaatsgevonden. De toezichthoudende autoriteit stelt de betrokkene tevens in kennis van zijn recht om beroep in te stellen bij de rechter.

    Artikel 18

    Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures

    De lidstaten kunnen ervoor zorgen dat de uitoefening van de in de artikelen 13, 14 en 16 bedoelde rechten overeenkomstig het lidstatelijke recht geschiedt wanneer de persoonsgegevens in een rechterlijke beslissing, register of dossier zijn vervat en in het kader van strafrechtelijke onderzoeken en procedures worden verwerkt.

    HOOFDSTUK IV

    Verwerkingsverantwoordelijke en verwerker

    Afdeling 1

    Algemene verplichtingen

    Artikel 19

    Verplichtingen van de verwerkingsverantwoordelijke

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen treft om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze richtlijn wordt verricht. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.

    2.   Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.

    Artikel 20

    Gegevensbescherming door ontwerp en door standaardinstellingen

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, welke aan de verwerking zijn verbonden, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf overgaat tot het nemen van passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals gegevensminimalisatie, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze richtlijn en ter bescherming van de rechten van de betrokkenen.

    2.   De lidstaten voorzien erin dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen treft om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de periode waarin zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens standaard niet zonder de tussenkomst van de natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

    Artikel 21

    Gezamenlijke verwerkingsverantwoordelijken

    1.   De lidstaten schrijven voor dat wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zij gezamenlijke verwerkingsverantwoordelijken zijn. Zij stellen op transparante wijze hun respectieve verantwoordelijkheden voor de nakoming van deze richtlijn vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in artikel 13 bedoelde informatie te verstrekken, door middel van een onderlinge regeling, tenzij, en voor zover, de respectieve verantwoordelijkheden van de verwerkingsverantwoordelijken zijn vastgesteld bij het Unierecht of het lidstatelijke recht die dat op de verwerkingsverantwoordelijken van toepassing is. In de regeling wordt een contactpunt voor betrokkenen aangewezen. De lidstaten kunnen bepalen welke van de gezamenlijke verwerkingsverantwoordelijken kan optreden als enig contactpunt voor betrokkenen die hun rechten willen uitoefenen.

    2.   Ongeacht de voorwaarden van de in lid 1 bedoelde regeling, kunnen de lidstaten bepalen dat de betrokkene zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen met betrekking tot en jegens iedere verwerkingsverantwoordelijke kan uitoefenen.

    Artikel 22

    Verwerker

    1.   De lidstaten schrijven voor dat, wanneer verwerking namens een verwerkingsverantwoordelijke wordt verricht, de verwerkingsverantwoordelijke uitsluitend een beroep doet op verwerkers die afdoende garanderen dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking aan de vereisten van deze richtlijn wordt voldaan en de bescherming van de rechten van de betrokkene wordt gewaarborgd.

    2.   De lidstaten schrijven voor dat de verwerker geen andere verwerker in dienst neemt zonder de voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.

    3.   De lidstaten schrijven voor dat de verwerking door een verwerker in een overeenkomst of andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht wordt geregeld die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen en de verplichtingen en de rechten van de verwerkingsverantwoordelijke worden omschreven. In die overeenkomst of andere rechtshandeling wordt met name bepaald dat de verwerker:

    a)

    uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;

    b)

    ervoor zorgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verplicht vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid gebonden zijn;

    c)

    de verwerkingsverantwoordelijke met passende middelen bijstaat om naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;

    d)

    na afloop van de gegevensverwerkingsdiensten, naargelang de keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens wist of hem deze terugbezorgt, en bestaande kopieën verwijdert, tenzij opslag van de persoonsgegevens bij het Unierecht of het lidstatelijke recht is verplicht;

    e)

    de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om nakoming van dit artikel aan te tonen;

    f)

    aan de in de leden 2 en 3 bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.

    4.   De in lid 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, onder meer in elektronische vorm.

    5.   Indien een verwerker in strijd met deze richtlijn de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als de verwerkingsverantwoordelijke beschouwd.

    Artikel 23

    Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker

    De lidstaten schrijven voor dat de verwerker en eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze uitsluitend volgens de instructies van de verwerkingsverantwoordelijke verwerkt, tenzij hij op grond van het Unierecht of het lidstatelijke recht tot de verwerking gehouden is.

    Artikel 24

    Register van de verwerkingsactiviteiten

    1.   De lidstaten schrijven voor dat verwerkingsverantwoordelijken een register bijhouden van alle categorieën van onder hun verantwoordelijkheid vallende verwerkingsactiviteiten. Dat register bevat alle volgende gegevens:

    a)

    de naam en de contactgegevens van de verwerkingsverantwoordelijke, van de eventuele gezamenlijke verwerkingsverantwoordelijken en van de functionaris voor gegevensbescherming;

    b)

    de verwerkingsdoeleinden;

    c)

    de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, met inbegrip van ontvangers in derde landen of internationale organisaties;

    d)

    een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

    e)

    in voorkomend geval het gebruik van profilering;

    f)

    in voorkomend geval de categorieën van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;

    g)

    een aanwijzing betreffende de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de persoonsgegevens bestemd zijn;

    h)

    indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van persoonsgegevens moeten worden gewist;

    i)

    indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen.

    2.   De lidstaten schrijven voor dat elke verwerker een register bijhoudt van alle categorieën van verwerkingsactiviteiten die hij namens een verwerkingsverantwoordelijke heeft verricht; dat register bevat de volgende gegevens:

    a)

    de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke namens wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    b)

    de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;

    c)

    indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie indien daartoe door de verwerkingsverantwoordelijke uitdrukkelijke instructies zijn gegeven, met inbegrip van de vermelding van dat derde land of die internationale organisatie;

    d)

    indien mogelijk, een algemene beschrijving van de in artikel 29, lid 1, bedoelde technische en organisatorische beveiligingsmaatregelen.

    3.   Het in de leden 1 en 2 bedoelde register is opgesteld in schriftelijke vorm, onder meer in elektronische vorm.

    De verwerkingsverantwoordelijke en de verwerker stellen die registers desgevraagd ter beschikking van de toezichthoudende autoriteit.

    Artikel 25

    Bijhouden van logbestanden

    1.   De lidstaten voorzien erin dat logbestanden worden bijgehouden van ten minste de volgende verwerkingen in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing. De logbestanden van raadpleging en bekendmakingen maken het mogelijk de redenen, de datum en het tijdstip van die handelingen te achterhalen en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, en de identiteit van de ontvangers van die persoonsgegevens.

    2.   De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor strafrechtelijke procedures.

    3.   De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de toezichthoudende autoriteit.

    Artikel 26

    Medewerking met de toezichthoudende autoriteit

    De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker desgevraagd met de toezichthoudende autoriteit samenwerken bij het vervullen van haar taken.

    Artikel 27

    Gegevensbeschermingseffectbeoordeling

    1.   Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de reikwijdte, de context of de doeleinden daarvan, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, voorzien de lidstaten erin dat de verwerkingsverantwoordelijke vóór de verwerking een beoordeling verricht van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.

    2.   De in lid 1 bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze richtlijn is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en andere betrokken personen.

    Artikel 28

    Voorafgaande raadpleging van de toezichthoudende autoriteit

    1.   De lidstaten voorzien erin dat de verwerkingsverantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat de verwerking van persoonsgegevens in een nieuw bestand zal worden opgenomen, wanneer:

    a)

    uit een gegevensbeschermingsffectbeoordeling als bedoeld in artikel 27 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of

    b)

    de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengt.

    2.   De lidstaten voorzien erin dat de toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een voorstel voor een door een nationaal parlement vast te stellen wetgevingsmaatregel of een daarop gebaseerde regelgevingsmaatregel in verband met verwerking.

    3.   De lidstaten schrijven voor dat de toezichthoudende autoriteit een lijst kan opstellen van de verwerkingen waarvoor overeenkomstig lid 1 voorafgaande raadpleging moet plaatsvinden.

    4.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling uit hoofde van artikel 27 verstrekt en, desgevraagd, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

    5.   De lidstaten schrijven voor dat, wanneer de toezichthoudende autoriteit van oordeel is dat de in lid 1 van dit artikel bedoelde voorgenomen verwerking indruist tegen deze richtlijn, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, zij binnen zes weken na ontvangst van het verzoek om raadpleging schriftelijk advies geeft aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en zij al haar in artikel 47 bedoelde bevoegdheden kan uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van een eventuele verlenging, samen met de redenen voor de vertraging.

    Afdeling 2

    Beveiliging van persoonsgegevens

    Artikel 29

    Beveiliging van de verwerking

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de in artikel 10 bedoelde verwerking van bijzondere categorieën van persoonsgegevens.

    2.   Ten aanzien van de geautomatiseerde verwerking voorziet elke lidstaat erin dat de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen treft om:

    a)

    te verhinderen dat onbevoegden toegang krijgen tot verwerkingsapparatuur („controle op de toegang tot de apparatuur”);

    b)

    te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen („controle op de gegevensdragers”);

    c)

    te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen („opslagcontrole”);

    d)

    te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur („gebruikerscontrole”);

    e)

    ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft („controle op de toegang tot de gegevens”);

    f)

    ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur („transmissiecontrole”);

    g)

    ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd („invoercontrole”);

    h)

    te verhinderen dat onbevoegden persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers („transportcontrole”);

    i)

    ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet („herstel”);

    j)

    ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd („betrouwbaarheid”) en dat opgeslagen persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem („integriteit”).

    Artikel 30

    Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

    1.   De lidstaten schrijven voor dat indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke deze zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de toezichthoudende autoriteit meldt, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico voor de rechten en vrijheden van personen met zich brengt. Wanneer de kennisgeving aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat deze vergezeld van een motivering voor de vertraging.

    2.   De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.

    3.   In de in lid 1 bedoelde melding wordt ten minste het volgende omschreven of meegedeeld:

    a)

    de aard van de inbreuk in verband met persoonsgegevens, onder vermelding van, waar mogelijk de categorieën van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie;

    b)

    de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

    c)

    de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

    d)

    de maatregelen die de verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

    4.   Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.

    5.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke alle in lid 1 bedoelde inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen ervan en de genomen corrigerende maatregelen documenteert. Die documentatie moet de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel te controleren.

    6.   De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat, de in lid 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat wordt meegedeeld.

    Artikel 31

    Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

    1.   De lidstaten schrijven voor dat wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging meedeelt.

    2.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene bevat een omschrijving, in duidelijke en eenvoudige taal, van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 30, lid 3, onder b), c) en d), bedoelde gegevens en maatregelen.

    3.   De in lid 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer aan een van de volgende voorwaarden is voldaan:

    a)

    de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;

    b)

    de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in lid 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen; of

    c)

    de mededeling zou een onevenredige inspanning vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een vergelijkbare maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.

    4.   Indien de verwerkingsverantwoordelijke de inbreuk in verband met persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na beraad over de kans dat de inbreuk in verband met persoonsgegevens een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in lid 3 bedoelde voorwaarden is voldaan.

    5.   De in lid 1 van dit artikel bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten onder de voorwaarden en om de redenen bedoeld in artikel 13, lid 3.

    Afdeling 3

    Functionaris voor gegevensbescherming

    Artikel 32

    Aanwijzing van de functionaris voor gegevensbescherming

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming aanwijst. De lidstaten kunnen gerechten en andere onafhankelijke rechterlijke autoriteiten van die verplichting vrijstellen bij de uitoefening van hun rechterlijke taken.

    2.   De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 34 bedoelde taken te vervullen.

    3.   Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen.

    4.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de contactgegevens van de functionaris voor gegevensbescherming openbaar maakt en deze aan de toezichthoudende autoriteit meedeelt.

    Artikel 33

    Positie van de functionaris voor gegevensbescherming

    1.   De lidstaten schrijven voor dat de verwerkingsverantwoordelijke ervoor zorgt dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.

    2.   De verwerkingsverantwoordelijke ondersteunt de functionaris voor gegevensbescherming bij de vervulling van de in artikel 34 bedoelde taken door hem toegang te verschaffen tot persoonsgegevens en verwerkingsactiviteiten en door hem de benodigde middelen ter beschikking te stellen voor het vervullen van die taken en het in stand houden van zijn deskundigheid.

    Artikel 34

    Taken van de functionaris voor gegevensbescherming

    De lidstaten schrijven voor dat de verwerkingsverantwoordelijke de functionaris voor gegevensbescherming ten minste de volgende taken opdraagt:

    a)

    informeren en adviseren van de verwerkingsverantwoordelijke en de werknemers die verwerking verrichten over hun verplichtingen op grond van deze richtlijn en andere gegevensbeschermingsbepalingen van het Unierecht of het lidstatelijke recht;

    b)

    toezien op de naleving van deze richtlijn, van andere gegevensbeschermingsbepalingen van het Unierecht of het lidstatelijke recht en van het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

    c)

    desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 27;

    d)

    met de toezichthoudende autoriteit samenwerken;

    e)

    optreden als contactpunt voor de toezichthoudende autoriteit inzake verwerkingsaangelegenheden, met inbegrip van de in artikel 28 bedoelde voorafgaande raadpleging, en, voor zover dienstig, overleg plegen met betrekking tot enige andere aangelegenheid.

    HOOFDSTUK V

    Doorgiften van persoonsgegevens aan derde landen of internationale organisaties

    Artikel 35

    Algemene beginselen inzake doorgifte van persoonsgegevens

    1.   De lidstaten schrijven voor dat de bevoegde autoriteiten persoonsgegevens die worden verwerkt, of die bestemd zijn om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, ook na verdere doorgiften aan een ander derde land of een andere internationale organisatie, slechts mogen doorgeven met inachtneming van de andere bepalingen van deze richtlijn en indien aan de bij dit hoofdstuk neergelegde voorwaarden is voldaan, namelijk dat:

    a)

    de doorgifte noodzakelijk is met het oog op de doeleinden van artikel 1, lid 1;

    b)

    de persoonsgegevens worden doorgegeven aan een verwerkingsverantwoordelijke in een derde land of in een internationale organisatie die een bevoegde autoriteit is voor de in artikel 1, lid 1, bedoelde doeleinden;

    c)

    ingeval persoonsgegevens worden doorgezonden of beschikbaar gesteld vanuit een andere lidstaat, die lidstaat overeenkomstig zijn nationale recht zijn voorafgaande toestemming voor de doorgifte heeft gegeven;

    d)

    de Commissie uit hoofde van artikel 36 een adequaatheidsbesluit heeft vastgesteld, of, bij ontbreken van een dergelijk besluit, er uit hoofde van artikel 37 passende waarborgen zijn geboden of bestaan, dan wel, bij ontbreken van een adequaatheidsbesluit uit hoofde van artikel 36 en van passende waarborgen uit hoofde van artikel 37, er afwijkingen gelden voor specifieke situaties uit hoofde van artikel 38; en

    e)

    in het geval van een verdere doorgifte aan een ander derde land of een andere internationale organisatie, de bevoegde autoriteit die de oorspronkelijke doorgifte had verricht of een andere bevoegde autoriteit van dezelfde lidstaat, toestemming verleent voor de verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, waaronder de ernst van het strafbare feit, het doel waarvoor de persoonsgegevens oorspronkelijk waren doorgegeven en het niveau van persoonsgegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven.

    2.   De lidstaten schrijven voor dat doorgiften zonder voorafgaande toestemming door een andere lidstaat overeenkomstig punt c) van lid 1 slechts toegelaten zijn indien de doorgifte van persoonsgegevens noodzakelijk is met het oog op de voorkoming van een acute en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.

    3.   Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze richtlijn gewaarborgde beschermingsniveau voor natuurlijke personen niet wordt ondermijnd.

    Artikel 36

    Doorgiften op basis van adequaatheidsbesluiten

    1.   De lidstaten schrijven voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of één of meerdere nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie een adequaat beschermingsniveau verzekert. Voor een dergelijke doorgifte is geen specifieke toestemming nodig.

    2.   Bij de beoordeling van de vraag of het beschermingsniveau adequaat is, houdt de Commissie met name rekening met de volgende aspecten:

    a)

    de rechtsstatelijkheid, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de toepasselijke algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht en toegang van overheidsinstanties tot persoonsgegevens, evenals de tenuitvoerlegging van die wetgeving, gegevensbeschermingsregels, beroepsregels en de veiligheidsmaatregelen, met inbegrip van regels voor verdere doorgifte van persoonsgegevens aan een ander derde land of een andere internationale organisatie, die in dat land of die internationale organisatie worden nageleefd, rechtspraak, alsmede het bestaan van effectieve en afdwingbare rechten van betrokkenen en daadwerkelijke mogelijkheden om administratief beroep of beroep in rechte in te stellen voor betrokkenen wier persoonsgegevens worden doorgegeven;

    b)

    het bestaan en het effectief functioneren van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of waaraan een internationale organisatie is onderworpen, welke tot taak heeft of hebben de naleving van de gegevensbeschermingsregels te verzekeren en deze te handhaven, onder meer met passende handhavingsbevoegdheden, om betrokkenen bij de uitoefening van hun rechten bij te staan en te adviseren en met de toezichthoudende autoriteiten van de lidstaten samen te werken; en

    c)

    de internationale verbintenissen die het derde land of de internationale organisatie in kwestie heeft aangegaan, of andere verplichtingen die voortvloeien uit juridisch bindende overeenkomsten of instrumenten, alsmede uit de deelname van dat derde land of die internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder met betrekking tot de bescherming van persoonsgegevens.

    3.   De Commissie kan, na beoordeling van de vraag of het beschermingsniveau adequaat is, aan de hand van een uitvoeringshandeling besluiten dat een derde land, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert. De uitvoeringshandeling voorziet in een mechanisme voor periodieke toetsing, minstens om de vier jaar, waarbij alle relevante ontwikkelingen in het derde land of de internationale organisatie in aanmerking worden genomen. In de uitvoeringshandeling worden het territoriale en het sectorale toepassingsgebied vermeld, alsmede, in voorkomend geval, de in lid 2, onder b), van dit artikel bedoelde toezichthoudende autoriteiten. De uitvoeringshandeling wordt vastgesteld overeenkomstig de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

    4.   De Commissie houdt doorlopend toezicht op ontwikkelingen in derde landen en internationale organisaties die mogelijk een invloed hebben op het functioneren van krachtens lid 3 vastgestelde besluiten.

    5.   Wanneer zulks uit beschikbare informatie blijkt, in het bijzonder naar aanleiding van de in lid 3 van dit artikel bedoelde evaluatie, dat een derde land, een gebied of een of meer nader bepaalde sectoren in een derde land, of een internationale organisatie niet langer een adequaat beschermingsniveau in de zin van lid 2 van dit artikel verzekert, en gaat de Commissie voor zover nodig bij uitvoeringshandelingen zonder terugwerkende kracht over tot intrekking, wijziging of schorsing van het in lid 3 van dit artikel bedoelde besluit. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

    Om naar behoren gemotiveerde dwingende redenen van urgentie stelt de Commissie volgens de in artikel 58, lid 3, bedoelde procedure onmiddellijk toepasselijke uitvoeringshandelingen vast.

    6.   De Commissie pleegt overleg met het derde land of de internationale organisatie ter verhelping van de situatie naar aanleiding waarvan het besluit overeenkomstig lid 5 is vastgesteld.

    7.   De lidstaten schrijven voor dat een overeenkomstig lid 5 vastgesteld besluit de doorgiften van persoonsgegevens aan het derde land, het gebied of één of meer nader bepaalde sectoren in dat derde land, of de betrokken internationale organisatie in kwestie overeenkomstig de artikelen 37 tot en met 38 onverlet laat.

    8.   De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en nader bepaalde sectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld dat deze wel of niet langer een adequaat beschermingsniveau waarborgen.

    Artikel 37

    Doorgiften op voorwaarde van passende waarborgen

    1.   Bij ontbreken van een besluit uit hoofde van artikel 36, lid 3, schrijven de lidstaten voor dat een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer:

    a)

    in een juridisch bindend instrument wordt voorzien in passende waarborgen voor de bescherming van persoonsgegevens; of

    b)

    de verwerkingsverantwoordelijke alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en heeft geconcludeerd dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.

    2.   De verwerkingsverantwoordelijke informeert de toezichthoudende autoriteit over de categorieën van doorgiften uit hoofde van lid 1, onder b).

    3.   Indien een doorgifte is gebaseerd op lid 1, onder b), wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.

    Artikel 38

    Afwijkingen voor specifieke situaties

    1.   Bij ontbreken van een adequaatheidsbesluit uit hoofde van artikel 36, of van passende waarborgen uit hoofde van artikel 37, schrijven de lidstaten voor dat een doorgifte of een categorie van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts toegelaten is indien de doorgifte noodzakelijk is:

    a)

    om vitale belangen van de betrokkene of van een andere persoon te beschermen;

    b)

    om de legitieme belangen van de betrokkene te beschermen wanneer het recht van de lidstaat van waaruit de doorgifte van persoonsgegevens plaatsvindt zulks bepaalt;

    c)

    om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen;

    d)

    in afzonderlijke gevallen met het oog op de doeleinden van artikel 1, lid 1; of

    e)

    in afzonderlijke gevallen met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen in verband met de doeleinden van artikel 1, lid 1.

    2.   Persoonsgegevens worden niet doorgegeven indien de bevoegde autoriteit die de doorgifte verricht, bepaalt dat de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen dan het algemeen belang van de doorgifte bedoeld in lid 1, onder d) en e).

    3.   Wanneer een doorgifte is gebaseerd op lid 1, wordt deze doorgifte gedocumenteerd en wordt de documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit gesteld, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden voor de doorgifte en de doorgegeven persoonsgegevens zelf.

    Artikel 39

    Doorgiften van persoonsgegevens aan ontvangers in derde landen

    1.   In afwijking van artikel 35, lid 1, onder b), en onverminderd de internationale overeenkomsten als bedoeld in lid 2 van dit artikel, kan in het Unierecht of het lidstatelijke recht worden bepaald dat een rechtstreekse doorgifte van persoonsgegevens door de in artikel 3, punt 7, onder a), bedoelde bevoegde autoriteiten aan ontvangers in derde landen, in afzonderlijke en specifieke gevallen, alleen kan plaatsvinden indien aan de overige bepalingen van deze richtlijn en aan alle onderstaande voorwaarden is voldaan:

    a)

    de doorgifte is strikt noodzakelijk voor de uitvoering van een in het Unierecht of het lidstatelijke recht omschreven taak van de bevoegde autoriteit die de doorgifte doet, ter verwezenlijking van de doeleinden van artikel 1, lid 1;

    b)

    de bevoegde autoriteit die de doorgifte doet, bepaalt dat er geen grondrechten en fundamentele vrijheden van de betrokkene zijn die zwaarder wegen dan het openbaar belang dat de doorgifte in dat specifieke geval noodzakelijk maakt;

    c)

    de bevoegde autoriteit die de doorgifte doet, is van mening dat de doorgifte aan een autoriteit die in het derde land bevoegd is voor de in artikel 1, lid 1, bedoelde doeleinden, ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd;

    d)

    de autoriteit die in het derde land bevoegd is voor de in artikel 1, lid 1, bedoelde doeleinden wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dit ondoeltreffend of ongeschikt is;

    e)

    de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is.

    2.   Een internationale overeenkomst als bedoeld in lid 1 is een van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten en derde landen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

    3.   De bevoegde autoriteit die de doorgifte doet, stelt de toezichthoudende autoriteit in kennis van doorgiften uit hoofde van dit artikel.

    4.   Wanneer een doorgifte is gebaseerd op lid 1, wordt zij gedocumenteerd.

    Artikel 40

    Internationale samenwerking voor de bescherming van persoonsgegevens

    Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten passende maatregelen om:

    a)

    procedures voor internationale samenwerking te ontwikkelen, zodat de effectieve handhaving van wetgeving ter bescherming van persoonsgegevens wordt vergemakkelijkt;

    b)

    internationale wederzijdse bijstand te bieden bij de handhaving van wetgeving ter bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand in onderzoeken en uitwisseling van informatie, voor zover passende waarborgen voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden worden geboden;

    c)

    belanghebbenden te betrekken bij besprekingen en activiteiten die erop zijn gericht de internationale samenwerking bij de handhaving van wetgeving ter bescherming van persoonsgegevens te bevorderen;

    d)

    de uitwisseling en het documenteren van wetgeving en praktijken ter bescherming van persoonsgegevens te bevorderen, onder meer betreffende jurisdictiegeschillen met derde landen.

    HOOFDSTUK VI

    Onafhankelijke toezichthoudende autoriteiten

    Afdeling 1

    Onafhankelijkheid

    Artikel 41

    Toezichthoudende autoriteit

    1.   Elke lidstaat voorziet erin dat één of meer onafhankelijke overheidsinstanties worden belast met het toezicht op de toepassing van deze richtlijn, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerking te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken („toezichthoudende autoriteit”).

    2.   Elke toezichthoudende autoriteit draagt bij tot de consequente toepassing van deze richtlijn in de hele Unie. Daartoe werken de toezichthoudende autoriteiten onderling en met de Commissie samen overeenkomstig hoofdstuk VII.

    3.   De lidstaten kunnen bepalen dat een toezichthoudende autoriteit die overeenkomstig Verordening (EU) 2016/679 is opgericht, de in deze richtlijn bedoelde toezichthoudende autoriteit is en verantwoordelijk is voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden opgericht.

    4.   Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit wordt opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die deze autoriteiten in het in artikel 51 bedoelde Comité vertegenwoordigt.

    Artikel 42

    Onafhankelijkheid

    1.   Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden overeenkomstig deze richtlijn volledig onafhankelijk optreedt.

    2.   De lidstaten schrijven voor dat de leden van hun toezichthoudende autoriteiten bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze richtlijn vrij blijven van al dan niet rechtstreekse externe invloed en instructies vragen noch aanvaarden van wie dan ook.

    3.   De leden van de toezichthoudende autoriteiten van de lidstaten onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.

    4.   Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit beschikt over de personele, technische en financiële middelen, en de dienstruimten en infrastructuur die noodzakelijk zijn voor het effectief uitvoeren van haar taken en uitoefenen van haar bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Comité.

    5.   Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit eigen en zelfgekozen personeelsleden heeft, die onder de exclusieve leiding van het lid of de leden van de betrokken toezichthoudende autoriteit staan.

    6.   Elke lidstaat zorgt ervoor dat het financieel toezicht op elke toezichthoudende autoriteit de onafhankelijkheid van die autoriteit niet in het gedrang brengt, en dat zij een afzonderlijke, publieke, jaarlijkse begrotingen heeft, die een onderdeel kan zijn van de algehele staats- of nationale begroting.

    Artikel 43

    Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

    1.   De lidstaten schrijven voor dat elk lid van hun toezichthoudende autoriteiten volgens een transparante procedure wordt benoemd:

    door het parlement,

    de regering,

    het staatshoofd, of

    door een onafhankelijk orgaan dat lidstaatrechtelijk met de benoeming is belast.

    2.   Elk lid beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van hun taken en het uitoefenen van hun bevoegdheden.

    3.   De taken van een lid eindigen bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig het recht van de betrokken lidstaat.

    4.   Een lid wordt slechts ontslagen indien het op ernstige wijze is tekortgeschoten of niet langer aan de vereisten voor de uitvoering van de taken voldoet.

    Artikel 44

    Voorschriften betreffende de oprichting van de toezichthoudende autoriteit

    1.   Elke lidstaat regelt al het volgende bij wet:

    a)

    de oprichting van elke toezichthoudende autoriteit;

    b)

    de kwalificaties en de voorwaarden om in aanmerking te komen vereist om tot lid van een bepaalde toezichthoudende autoriteit te worden benoemd;

    c)

    de regels en procedures voor de benoeming van het lid of de leden van elke toezichthoudende autoriteit;

    d)

    de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na 6 mei 2016, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;

    e)

    of het lid of de leden van elke toezichthoudende autoriteit opnieuw kan of kunnen worden benoemd, en zo ja, voor hoeveel ambtstermijnen;

    f)

    de voorwaarden in verband met de plichten van het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit, de verboden op met die plichten onverenigbare handelingen, werkzaamheden en voordelen tijdens en na de ambtstermijn en de regels betreffende de beëindiging van hun arbeidsverhouding.

    2   Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun taken of de uitoefening van hun bevoegdheden ter kennis is gekomen, geldt voor het lid of de leden en de personeelsleden van elke toezichthoudende autoriteit zowel tijdens hun ambtstermijn als daarna het beroepsgeheim, zulks overeenkomstig het Unierecht of het lidstatelijke recht. Tijdens hun ambtstermijn geldt het beroepsgeheim met name voor meldingen van inbreuken op deze richtlijn door natuurlijke personen.

    Afdeling 2

    Competentie, taken en bevoegdheden

    Artikel 45

    Competentie

    1.   Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit de competentie heeft om op het grondgebied van haar lidstaat de taken uit te voeren en de bevoegdheden uit te oefenen die haar overeenkomstig deze richtlijn zijn toegekend.

    2.   Elke lidstaat schrijft voor dat elke toezichthoudende autoriteit belast is met het toezicht op verwerkingen door gerechten in het kader van hun rechterlijke taken. De lidstaten mogen bepalen dat hun toezichthoudende autoriteit niet bevoegd is om toe te zien op verwerkingen door andere onafhankelijke rechterlijke autoriteiten bij de uitoefening van hun rechterlijke taken.

    Artikel 46

    Taken

    1.   Elke lidstaat voorziet erin dat elke toezichthoudende autoriteit op zijn grondgebied:

    a)

    toeziet op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en de omzettingsmaatregelen daarvan, en deze handhaaft;

    b)

    het brede publiek beter bekend maakt met en meer inzicht verschaft in de risico's, de regels, de waarborgen en de rechten in verband met verwerking;

    c)

    advies verleent, overeenkomstig het recht van die lidstaat, aan het nationale parlement, de regering en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking;

    d)

    de verwerkingsverantwoordelijken en de verwerkers beter bekend maakt met hun verplichtingen uit hoofde van deze richtlijn;

    e)

    desgevraagd informatie verstrekt aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van deze richtlijn en, in voorkomend geval, daartoe samenwerkt met de toezichthoudende autoriteiten in andere lidstaten;

    f)

    klachten behandelt van betrokkenen, of van organen, organisaties of verenigingen die overeenkomstig artikel 55 een betrokkene vertegenwoordigen, de inhoud van de klacht onderzoekt in de mate waarin dat nodig is en de klager binnen een redelijke termijn in kennis stelt van de vooruitgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

    g)

    overeenkomstig artikel 17 de rechtmatigheid van de verwerking controleert en de betrokkene binnen een redelijke termijn informeert over het resultaat van de controle overeenkomstig artikel 17, lid 3, of van de redenen waarom de controle niet is verricht;

    h)

    samenwerkt met, onder meer door informatie te delen, en wederzijdse bijstand biedt aan andere toezichthoudende autoriteiten, teneinde voor de samenhang in de toepassing en de handhaving van deze richtlijn te zorgen;

    i)

    onderzoeken verricht naar de toepassing van deze richtlijn, ook op basis van informatie die zij ontvangt van een andere toezichthoudende autoriteit of een andere overheidsdienst;

    j)

    de relevante ontwikkelingen volgt voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

    k)

    advies verstrekt over de in artikel 28 bedoelde verwerkingen; en

    l)

    een bijdrage levert aan de activiteiten van het Comité.

    2.   Elke toezichthoudende autoriteit faciliteert het indienen van klachten als bedoeld in lid 1, onder f), door maatregelen te nemen, zoals het ter beschikking stellen van een klachtenformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

    3.   Elke toezichthoudende autoriteit verricht haar taken kosteloos voor de betrokkene en voor de functionaris voor gegevensbescherming.

    4.   Wanneer een verzoek kennelijk ongegrond of buitensporig is, met name vanwege zijn repetitieve karakter, kan de toezichthoudende autoriteit op basis van haar administratieve kosten een redelijke vergoeding aanrekenen, of weigeren aan het verzoek gevolg te geven. Het is aan de toezichthoudende autoriteit om aan te tonen dat het verzoek kennelijk ongegrond of buitensporig is.

    Artikel 47

    Bevoegdheden

    1.   Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve onderzoeksbevoegdheden heeft. Die bevoegdheden omvatten ten minste de bevoegdheid om van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens die worden verwerkt en tot alle informatie die noodzakelijk is voor de uitvoering van haar taken.

    2.   Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit effectieve bevoegdheden heeft tot het treffen van corrigerende maatregelen, zoals:

    a)

    de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk op de krachtens deze richtlijn vastgestelde bepalingen wordt gemaakt;

    b)

    de verwerkingsverantwoordelijke of de verwerker gelasten de verwerkingen, waar passend, op een nader bepaalde manier en binnen een nader bepaalde periode in overeenstemming te brengen met deze richtlijn, met name door het rectificeren of wissen van gegevens of verwerkingsbeperking te gelasten overeenkomstig artikel 16;

    c)

    een tijdelijke of definitieve begrenzing van het verwerken,, waaronder een verwerkingsverbod, opleggen.

    3.   Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de effectieve adviesbevoegdheden heeft om advies te verstrekken aan de verwerkingsverantwoordelijke in overeenstemming met de procedure van voorafgaande raadpleging van artikel 28, en om op eigen initiatief dan wel op verzoek advies te verstrekken aan haar nationaal parlement en haar regering, of, overeenkomstig haar nationale recht, aan andere instellingen en organen alsmede aan het publiek over aangelegenheden die verband houden met de bescherming van persoonsgegevens.

    4.   Op de uitoefening van de bevoegdheden die uit hoofde van dit artikel aan de toezichthoudende autoriteit worden verleend, zijn passende waarborgen van toepassing, daaronder begrepen doeltreffende voorziening in rechte en eerlijke rechtsbedeling, zoals overeenkomstig het Handvest vastgelegd in het Unierecht en het lidstatelijke recht.

    5.   Elke lidstaat voorziet erin bij wet dat elke toezichthoudende autoriteit de bevoegd heeft om inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen en, waar passend, een rechtsvordering in te stellen of anderszins in rechte op te treden teneinde deze richtlijn te doen naleven.

    Artikel 48

    Melding van inbreuken

    De lidstaten voorzien erin dat de bevoegde autoriteiten doeltreffende mechanismen invoeren om vertrouwelijke melding van inbreuken op deze richtlijn te bevorderen.

    Artikel 49

    Activiteitenverslagen

    Elke toezichthoudende autoriteit stelt jaarlijks een verslag over haar activiteiten op, met daarin mogelijk een lijst van de soorten gemelde inbreuken en de soorten opgelegde straffen. De verslagen worden toegezonden aan het nationale parlement, de regering en andere autoriteiten die daartoe in het lidstatelijke recht zijn aangewezen. Zij worden ter beschikking gesteld van het publiek, de Commissie en het Comité.

    HOOFDSTUK VII

    Samenwerking

    Artikel 50

    Wederzijdse bijstand

    1.   Elke lidstaat schrijft voor dat zijn toezichthoudende autoriteiten elkaar relevante informatie en wederzijdse bijstand verstrekken om deze richtlijn op een consequente manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om doeltreffend met elkaar samen te werken. De wederzijdse bijstand behelst met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om raadplegingen, inspecties en onderzoeken.

    2.   De lidstaten schrijven voor dat elke toezichthoudende autoriteit alle passende maatregelen neemt die nodig zijn om een verzoek van een andere toezichthoudende autoriteit zonder onnodige vertraging en in ieder geval binnen één maand na de ontvangst ervan te beantwoorden. Hierbij kan het in het bijzonder gaan om de toezending van relevante informatie over het uitvoeren van een onderzoek.

    3.   Verzoeken om bijstand bevatten alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.

    4.   De aangezochte toezichthoudende autoriteit, mag het verzoek niet afwijzen tenzij:

    a)

    zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij wordt verzocht uit te voeren; of

    b)

    het inwilligen van het verzoek indruist tegen deze richtlijn of het Unierecht of het lidstatelijke recht dat van toepassing is op de toezichthoudende autoriteit die het verzoek ontvangt.

    5.   De aangezochte toezichthoudende autoriteit informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die in antwoord op het verzoek zijn genomen. De aangezochte toezichthoudende autoriteit motiveert elke afwijzing van een verzoek op grond van lid 4.

    6.   De aangezochte toezichthoudende autoriteiten delen in de regel de door andere toezichthoudende autoriteiten gevraagde informatie langs elektronische weg mee door middel van een standaardformulier.

    7.   De aangezochte toezichthoudende autoriteiten rekenen geen vergoeding aan voor maatregelen die zij hebben getroffen ten vervolge op een verzoek om wederzijdse bijstand. Toezichthoudende autoriteiten kunnen regels overeenkomen om elkaar te vergoeden voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden.

    8.   De Commissie kan aan de hand van uitvoeringshandelingen het model en de procedures voor de in dit artikel bedoelde wederzijdse bijstand vastleggen, alsmede de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Comité. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 58, lid 2, bedoelde onderzoeksprocedure.

    Artikel 51

    Taken van het Comité

    1.   Het bij Verordening (EU) 2016/679. opgerichte Comité voert binnen het toepassingsgebied van deze richtlijn alle volgende taken in verband met verwerking uit:

    a)

    adviseren van de Commissie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze richtlijn;

    b)

    onderzoeken, op eigen initiatief of op verzoek van één van zijn leden dan wel op verzoek van de Commissie, van alle kwesties in verband met de toepassing van deze richtlijn, en opstellen van richtsnoeren, aanbevelingen en beste praktijken, teneinde de consequente toepassing van deze richtlijn te bevorderen;

    c)

    opstellen van richtsnoeren voor toezichthoudende autoriteiten betreffende de toepassing van de in artikel 47, leden 1 en 3, bedoelde maatregelen;

    d)

    uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt b) van dit lid, ter vaststelling van de inbreuken in verband met persoonsgegevens alsmede van de in artikel 30, leden 1 en 2, bedoelde onnodige vertraging, en van de bijzondere omstandigheden waarin een verwerkingsverantwoordelijke of een verwerker verplicht is de inbreuk in verband met persoonsgegevens te melden;

    e)

    uitvaardigen van richtsnoeren, aanbevelingen en beste praktijken in overeenstemming met punt b) van dit lid, ten aanzien van de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen, als bedoeld in artikel 31, lid 1;

    f)

    evalueren van de praktische toepassing van de in de punten b) en c) bedoelde richtsnoeren, aanbevelingen en beste praktijken;

    g)

    ten behoeve van de Commissie een advies uitbrengen voor de beoordeling van de adequaatheid van het beschermingsniveau in een derde land, een gebied, of één of meer nader bepaalde sectoren in een derde land, of een internationale organisatie, ook voor de beoordeling of dat derde land, dat gebied, die nader bepaalde sector of die internationale organisatie geen adequaat beschermingsniveau meer waarborgt.

    h)

    bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en beste praktijken tussen de toezichthoudende autoriteiten;

    i)

    bevorderen van gemeenschappelijke opleidingsprogramma's en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, en, waar passend, met de toezichthoudende autoriteiten van derde landen of met internationale organisaties;

    j)

    bevorderen van de uitwisseling van kennis en documentatie over het recht en praktijken op het gebied van gegevensbescherming met voor gegevensbescherming bevoegde toezichthoudende autoriteiten van de hele wereld.

    Met betrekking tot punt g), van lid 1 verstrekt de Commissie het Comité alle nodige documentatie, met inbegrip van correspondentie met de overheid van het derde land, het gebied of de nader bepaalde sector binnen dat derde land of de internationale organisatie.

    2.   Wanneer de Commissie het Comité om advies vraagt, kan zij een termijn aangeven, rekening houdend met de spoedeisendheid van de aangelegenheid.

    3.   Het Comité zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 58, lid 1, bedoelde comité en maakt deze bekend.

    4.   De Commissie informeert het Comité over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Comité heeft getroffen.

    HOOFDSTUK VIII

    Beroep, aansprakelijkheid en straffen

    Artikel 52

    Recht om een klacht in te dienen bij een toezichthoudende autoriteit

    1.   Onverminderd andere mogelijkheden van administratief beroep of een voorziening in rechte voorzien de lidstaten erin dat iedere betrokkene het recht heeft een klacht in te dienen bij één toezichthoudende autoriteit, indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens inbreukmaakt op de krachtens deze richtlijn vastgestelde bepalingen.

    2.   De lidstaten schrijven voor dat, indien de klacht niet is ingediend bij de toezichthoudende autoriteit die bevoegd is op grond van artikel 45, lid 1, de toezichthoudende autoriteit waarbij de klacht is ingediend deze zonder onnodige vertraging aan de bevoegde toezichthoudende autoriteit doorzendt. De betrokkene wordt van de doorzending in kennis gesteld.

    3.   De lidstaten schrijven voor dat de toezichthoudende autoriteit waarbij de klacht is ingediend, op verzoek van de betrokkene verdere bijstand verleent.

    4.   De betrokkene wordt door de bevoegde toezichthoudende autoriteit op de hoogte gehouden van de vooruitgang en het resultaat van de klacht, alsook van de mogelijkheid van een voorziening in rechte uit hoofde van artikel 53.

    Artikel 53

    Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit

    1.   Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep schrijven de lidstaten voor dat een natuurlijke persoon of een rechtspersoon het recht heeft tegen een hem betreffende juridisch bindend besluit van een toezichthoudende autoriteit een doeltreffende voorziening in rechte in te stellen.

    2.   Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene het recht om een doeltreffende voorziening in rechte in te stellen indien de overeenkomstig artikel 45, lid 1, bevoegde toezichthoudende autoriteit een klacht niet behandelt of de betrokkene niet binnen drie maanden van de voortgang of het resultaat van de uit hoofde van artikel 52 ingediende klacht in kennis stelt.

    3.   De lidstaten schrijven voor dat een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd.

    Artikel 54

    Recht om een doeltreffende voorziening in rechte in te stellen tegen een verwerkingsverantwoordelijke of een verwerker

    Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, waaronder het recht op grond van artikel 52 klacht in te dienen bij een toezichthoudende autoriteit, schrijven de lidstaten voor dat iedere betrokkene het recht heeft een doeltreffende voorziening in rechte in te stellen, indien hij van mening is dat een inbreuk is gepleegd op zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen als gevolg van een verwerking van zijn persoonsgegevens die niet aan die bepalingen voldoet.

    Artikel 55

    Vertegenwoordiging van betrokkenen

    De lidstaten zorgen overeenkomstig hun procesrecht ervoor dat de betrokkene het recht heeft een orgaan, organisatie of vereniging zonder winstoogmerk dat of die op geldige wijze volgens het recht van een lidstaat is opgericht, waarvan de statutaire doeleinden het openbare belang dienen, en dat of die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkene in verband met de bescherming van diens persoonsgegevens, opdracht te geven de klacht namens hem in te dienen en namens hem de in artikelen 52, 53en 54 bedoelde rechten uit te oefenen.

    Artikel 56

    Recht op schadevergoeding

    De lidstaten schrijven voor dat eenieder die materiële of immateriële schade heeft geleden ten gevolge van een onrechtmatige verwerking of van een andere handeling die onverenigbaar is met de krachtens deze richtlijn vastgestelde nationale voorschriften, het recht heeft van de verwerkingsverantwoordelijke of een andere volgens het lidstatelijke recht bevoegde autoriteit, vergoeding van de geleden schade te verkrijgen.

    Artikel 57

    Straffen

    De lidstaten stellen de regeling vast betreffende de straffen die van toepassing zijn op inbreuken op deze richtlijn en treffen alle nodige maatregelen om ervoor te zorgen dat zij worden toegepast. De vastgestelde straffen moeten doeltreffend, evenredig en afschrikkend zijn.

    HOOFDSTUK IX

    Uitvoeringshandelingen

    Artikel 58

    Comitéprocedure

    1.   De Commissie wordt bijgestaan door het bij artikel 93 van Verordening (EU) 2016/679 ingestelde comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

    2.   Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

    3.   Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing.

    HOOFDSTUK X

    Slotbepalingen

    Artikel 59

    Intrekking van Kaderbesluit 2008/977/JBZ

    1.   Kaderbesluit 2008/977/JBZ wordt ingetrokken met ingang van 6 mei 2018.

    2.   Verwijzingen naar het in lid 1 bedoelde ingetrokken besluit gelden als verwijzingen naar deze richtlijn.

    Artikel 60

    Reeds van kracht zijnde Unierechtshandelingen

    Onaangetast blijven de specifieke bepalingen voor de bescherming van persoonsgegevens in Unierechtshandelingen die in werking zijn getreden op of vóór 6 mei 2016 op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking en die voorzien in regels voor verwerking tussen lidstaten onderling, alsmede de toegang van door de lidstaten aangewezen autoriteiten tot informatiesystemen die zijn opgericht op grond van de Verdragen en onder het toepassingsgebied van deze richtlijn vallen.

    Artikel 61

    Verhouding tot reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking

    Internationale overeenkomsten betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties die door de lidstaten zijn gesloten vóór 6 mei 2016 en die in overeenstemming zijn met het vóór die datum van toepassing zijnde Unierecht, blijven van kracht totdat zij worden gewijzigd, vervangen of herroepen.

    Artikel 62

    Commissieverslagen

    1.   Uiterlijk op 6 mei 2022, en vervolgens om de vier jaar, brengt de Commissie verslag uit over de evaluatie en herziening van deze richtlijn aan het Europees Parlement en aan de Raad. De verslagen worden openbaar gemaakt.

    2.   In het kader van de in lid 1 bedoelde evaluaties en herzieningen beoordeelt de Commissie met name de toepassing en het functioneren van hoofdstuk V betreffende de doorgifte van persoonsgegevens aan derde landen of internationale organisaties, in het bijzonder met betrekking tot de krachtens artikel 36, lid 3, en artikel 39 vastgestelde besluiten.

    3.   Met het oog op de in leden 1 en 2 bedoelde doeleinden kan de Commissie de lidstaten en de toezichthoudende autoriteiten om informatie verzoeken.

    4.   Bij het uitvoeren van de in de leden 1 en 2 bedoelde evaluaties en herzieningen houdt de Commissie rekening met de standpunten en bevindingen van het Europees Parlement, de Raad, en andere relevante instanties of bronnen.

    5.   Indien nodig dient de Commissie passende voorstellen in teneinde deze richtlijn te wijzigen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij.

    6.   Uiterlijk op 6 mei 2019, gaat de Commissie na of andere handelingen die de Unie heeft vastgesteld in verband met verwerking door de bevoegde instanties voor de doeleinden van artikel 1, lid 1, met inbegrip van die bedoeld in artikel 60, aan deze richtlijn moeten worden aangepast en dient in voorkomend geval de nodige voorstellen in om die handelingen te wijzigen teneinde een consequente aanpak van de bescherming van persoonsgegevens binnen het toepassingsgebied van deze richtlijn te waarborgen.

    Artikel 63

    Omzetting

    1.   Uiterlijk op 6 mei 2018 stellen de lidstaten de nodige wettelijke en bestuursrechtelijke bepalingen vast en maken deze bekend teneinde aan deze richtlijn te voldoen. Zij stellen de Commissie onverwijld in kennis van de tekst van die bepalingen. Zij passen die bepalingen toe met ingang van 6 mei 2018.

    Wanneer de lidstaten die bepalingen vaststellen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor die verwijzing worden vastgesteld door de lidstaten.

    2.   Indien de toepassing van lid 1 buitensporige inspanningen met zich zou brengen, kan een lidstaat in afwijking van dat lid uitzonderlijk bepalen dat de geautomatiseerde verwerkingssystemen die zijn opgezet vóór 6 mei 2016, uiterlijk op 6 mei 2023 met artikel 25, lid 1, in overeenstemming worden gebracht.

    3.   In afwijking van de leden 1 en 2 van dit artikel kan een lidstaat in uitzonderlijke omstandigheden een systeem voor geautomatiseerde verwerking als bedoeld in lid 2 van dit artikel, binnen een nader bepaalde termijn na de in lid 2 van dit artikel bedoelde periode met artikel 25, lid 1, in overeenstemming brengen indien de werking van dat systeem voor geautomatiseerde verwerking anders ernstig in het gedrang zou komen. De betrokken lidstaat stelt de Commissie in kennis van de redenen voor die ernstige moeilijkheden en voor de nader bepaalde termijn waarbinnen hij het genoemde systeem voor geautomatiseerde verwerking met artikel 25, lid 1, in overeenstemming brengt. De nader bepaalde termijn verstrijkt in geen geval later dan 6 mei 2026.

    4.   De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van intern recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

    Artikel 64

    Inwerkingtreding

    Deze richtlijn treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

    Artikel 65

    Adressaten

    Deze richtlijn is gericht tot de lidstaten.

    Gedaan te Brussel, 27 april 2016.

    Voor het Europees Parlement

    De voorzitter

    M. SCHULZ

    Voor de Raad

    De voorzitter

    J.A. HENNIS-PLASSCHAERT


    (1)  PB C 391 van 18.12.2012, blz. 127.

    (2)  Standpunt van het Europees Parlement van 12 maart 2014 (nog niet bekendgemaakt in het Publicatieblad) en standpunt van de Raad in eerste lezing van 8 april 2016 (nog niet bekendgemaakt in het Publicatieblad). Standpunt van het Europees Parlement van 14 april 2016.

    (3)  Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).

    (4)  Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB L 350 van 30.12.2008, blz. 60).

    (5)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) en tot intrekking van Richtlijn 95/46/EG (zie bladzijde 1 van dit Publicatieblad).

    (6)  Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).

    (7)  Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB L 88 van 4.4.2011, blz. 45).

    (8)  Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad van 24 januari 2005 over de uitwisseling van bepaalde gegevens met Interpol (PB L 27 van 29.1.2005, blz. 61).

    (9)  Besluit 2007/533/JBZ van de Raad van 12 juni 2007 betreffende de instelling, de werking en het gebruik van het Schengeninformatiesysteem van de tweede generatie (SIS II) (PB L 205 van 7.8.2007, blz. 63).

    (10)  Richtlijn 77/249/EEG van de Raad van 22 maart 1977 tot vergemakkelijking van de daadwerkelijke uitoefening door advocaten van het vrij verrichten van diensten (PB L 78 van 26.3.1977, blz. 17).

    (11)  Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).

    (12)  Besluit 2008/615/JBZ van de Raad van 23 juni 2008 inzake de intensivering van de grensoverschrijdende samenwerking, in het bijzonder ter bestrijding van terrorisme en grensoverschrijdende criminaliteit (PB L 210 van 6.8.2008, blz. 1).

    (13)  Akte van de Raad van 29 mei 2000 tot vaststelling, overeenkomstig artikel 34 van het Verdrag betreffende de Europese Unie, van de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie (PB C 197 van 12.7.2000, blz. 1).

    (14)  Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1).

    (15)  PB L 176 van 10.7.1999, blz. 36.

    (16)  PB L 53 van 27.2.2008, blz. 52.

    (17)  PB L 160 van 18.6.2011, blz. 21.

    (18)  PB C 192 van 30.6.2012, blz. 7.


    Top