Algemene verordening gegevensbescherming
VERORDENING nr. 679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming)
(op 31 oktober 2018 hield de wet verband met besluit 174/2018)
(op 25 mei 2018, zie toepassingsreferenties van besluit 743/16-mei-2018) (op 06 oktober 2016 was de wet gerelateerd aan richtlijn 1629/14-sep-2016)
(op 05 mei 2016 hield de wet verband met richtlijn 680/27-apr-2016)
(Tekst die relevant is voor de EER)
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16,
gezien het voorstel van de Europese Commissie,
na de indiening van het ontwerp van wetgevingshandeling bij de nationale parlementen,
gezien het advies van het Europees Economisch en Sociaal Comité (1),
(1) PB C 229 van 31.7.2012, blz. 90.
gezien het advies van het Comité van de Regio's (2),
(2) PB C 391 van 18.12.2012, blz. 127.
besluiten nemen volgens de gewone wetgevingsprocedure (3),
(3) Het standpunt van het Europees Parlement van 12 maart 2014 (nog niet gepubliceerd in het Publicatieblad) en het standpunt van de Raad in eerste lezing van 8 april 2016 (nog niet gepubliceerd in het Publicatieblad). Het standpunt van het Europees Parlement van 14 april 2016.
terwijl:
(1) De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens is een grondrecht. Artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie ("het Handvest") en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) voorzien in het recht van eenieder op de bescherming van persoonsgegevens die hem betreffen.
(2) De beginselen en regels met betrekking tot de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens moeten, ongeacht het staatsburgerschap of de woonplaats van de natuurlijke personen, hun fundamentele rechten en vrijheden respecteren, in het bijzonder het recht op bescherming persoonlijke gegevens. Deze verordening beoogt bij te dragen aan de verwezenlijking van een ruimte van vrijheid, veiligheid en rechtvaardigheid en een economische unie, aan de economische en sociale vooruitgang, aan de consolidatie en convergentie van economieën binnen de interne markt en aan het welzijn van natuurlijke personen. . (3) Richtlijn 95/46/EG van het Europees Parlement en de Raad (4) heeft tot doel het niveau van bescherming van de rechten en fundamentele vrijheden van natuurlijke personen met betrekking tot verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens tussen lidstaten. (4) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PB L 281 van 23.11.1995 , blz. 31).
(4) De verwerking van persoonsgegevens moet ten dienste staan van de burgers. Het recht op de bescherming van persoonsgegevens is geen absoluut recht; er moet rekening mee worden gehouden in relatie tot de functie die het vervult in de samenleving en het moet in evenwicht worden gebracht met andere fundamentele rechten, in overeenstemming met het evenredigheidsbeginsel. Deze verordening respecteert alle fundamentele rechten, vrijheden en beginselen die zijn erkend in het Handvest zoals vastgelegd in de verdragen, in het bijzonder respect voor het privé- en gezinsleven, woonplaats en communicatie, bescherming van persoonsgegevens, vrijheid van gedachte, geweten en godsdienst, vrijheid van meningsuiting en informatie, de vrijheid om commerciële activiteiten uit te oefenen, het recht op een effectief rechtsmiddel en een eerlijk proces, evenals culturele, religieuze en taalkundige diversiteit.
(5) De economische en sociale integratie die voortvloeit uit de werking van de interne markt heeft geleid tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens. De uitwisseling van persoonsgegevens tussen publieke en private actoren, waaronder individuen, verenigingen en ondernemingen, is in de hele Unie geïntensiveerd. Volgens het Unierecht zijn de nationale autoriteiten van de lidstaten opgeroepen om samen te werken en persoonsgegevens uit te wisselen om hun taken te kunnen vervullen of taken uit te voeren namens een autoriteit uit een andere lidstaat.
(6) Snelle technologische ontwikkelingen en mondialisering hebben voor nieuwe uitdagingen op het gebied van de bescherming van persoonsgegevens gezorgd. De reikwijdte van het verzamelen en uitwisselen van persoonsgegevens is aanzienlijk toegenomen. Technologie stelt zowel particuliere bedrijven als overheden in staat om persoonlijke gegevens op een ongekend niveau te gebruiken bij hun activiteiten. Steeds vaker maken natuurlijke personen persoonlijke informatie wereldwijd openbaar. Technologie heeft zowel de economie als het sociale leven getransformeerd en zou het vrije verkeer van persoonsgegevens binnen de Unie en de overdracht naar derde landen en internationale organisaties verder moeten vergemakkelijken, waarbij tegelijkertijd een hoog niveau van bescherming van persoonsgegevens moet worden gewaarborgd.
(7) Deze ontwikkelingen vereisen een solide en coherenter kader op het gebied van gegevensbescherming in de Unie, vergezeld van een strikte toepassing van de regels, waarbij rekening wordt gehouden met het belang van het creëren van een klimaat van vertrouwen dat de digitale economie in staat zal stellen zich te ontwikkelen op basis van de interne markt. Individuen moeten controle hebben over hun persoonlijke gegevens, en de juridische en praktische veiligheid voor individuen, marktdeelnemers en overheden moet worden versterkt.
(8) Indien deze verordening voorziet in specificaties of beperkingen van de regels door nationaal recht, kunnen de lidstaten, voor zover dit noodzakelijk is voor de samenhang en om het begrip van de nationale bepalingen te garanderen door de personen op wie zij van toepassing zijn, om elementen van deze verordening in hun nationale recht opnemen.
(9) De doelstellingen en beginselen van Richtlijn 95/46/EG blijven solide, maar dit heeft de versnippering van de wijze waarop gegevensbescherming in de Unie ten uitvoer wordt gelegd, de rechtsonzekerheid of de wijdverbreide publieke perceptie dat er aanzienlijke risico’s bestaan voor de bescherming van natuurlijke personen, vooral met betrekking tot onlineactiviteiten. De verschillen tussen de niveaus van bescherming van de rechten en vrijheden van natuurlijke personen, in het bijzonder het recht op de bescherming van persoonsgegevens, met betrekking tot de verwerking van persoonsgegevens in de lidstaten kunnen het vrije verkeer van persoonsgegevens in de hele Unie belemmeren . Deze verschillen kunnen daarom een obstakel vormen voor de uitvoering van economische activiteiten op het niveau van de Unie, ze kunnen de concurrentie verstoren en de autoriteiten ervan weerhouden hun verantwoordelijkheden uit hoofde van het recht van de Unie na te komen. Dit verschil tussen de beschermingsniveaus wordt veroorzaakt door het bestaan van enkele verschillen met betrekking tot de omzetting en toepassing van Richtlijn 95/46/EG.
(10) Om een consistent en hoog niveau van bescherming van natuurlijke personen te garanderen en obstakels voor het verkeer van persoonsgegevens binnen de Unie weg te nemen, moet het beschermingsniveau van de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van dergelijke gegevens gegevens zou in alle lidstaten gelijkwaardig moeten zijn. De consistente en homogene toepassing van de regels inzake de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens moet in de hele Unie worden gewaarborgd. Met betrekking tot de verwerking van persoonsgegevens om te voldoen aan een wettelijke verplichting, om een taak te vervullen die een openbaar belang dient of die voortvloeit uit de uitoefening van het openbaar gezag dat aan de exploitant is toevertrouwd, moet het de lidstaten worden toegestaan om bepalingen van nationaal recht invoeren om de toepassing van de regels van deze verordening in grotere mate te verduidelijken. In combinatie met de algemene en horizontale wetgeving inzake gegevensbescherming, die Richtlijn 95/46/EG implementeert, hebben de lidstaten verschillende specifieke sectorale wetten op gebieden die preciezere bepalingen vereisen. Deze verordening geeft de lidstaten ook een speelruimte bij het specificeren van de regels, onder meer met betrekking tot de verwerking van bijzondere categorieën persoonsgegevens ("gevoelige gegevens"). In die zin sluit deze verordening het recht van de lidstaten niet uit dat de omstandigheden vastlegt die verband houden met specifieke verwerkingssituaties, inclusief het nauwkeuriger vaststellen van de voorwaarden waaronder de verwerking van persoonsgegevens legaal is.
(11) De effectieve bescherming van persoonsgegevens in de hele Unie vereist niet alleen de consolidatie en gedetailleerde vaststelling van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en erover beslissen, maar ook gelijkwaardige bevoegdheden voor
het toezicht houden op en zorgen voor de naleving van de regels voor de bescherming van persoonsgegevens en gelijkwaardige sancties voor misdaden in de lidstaten.
(12) Artikel 16, lid 2, VWEU geeft het Europees Parlement en de Raad de opdracht om de regels vast te stellen met betrekking tot de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, evenals de regels met betrekking tot het vrije verkeer van dergelijke gegevens.
(13) Om een uniform beschermingsniveau voor natuurlijke personen in de hele Unie te garanderen en discrepanties te voorkomen die het vrije verkeer van gegevens binnen de interne markt belemmeren, is een verordening noodzakelijk om de marktdeelnemers rechtszekerheid en transparantie te bieden, inclusief micro-ondernemingen en kleine en middelgrote ondernemingen, en om natuurlijke personen in alle lidstaten hetzelfde niveau van juridisch afdwingbare rechten, verplichtingen en verantwoordelijkheden te bieden voor exploitanten en hun bevoegde personen, om een coherente monitoring van gegevens te garanderen verwerkingen van persoonlijke aard, gelijkwaardige sancties in alle lidstaten, evenals de effectieve samenwerking van de toezichthoudende autoriteiten van de verschillende lidstaten. Voor de goede werking van de interne markt is het noodzakelijk dat het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Om rekening te houden met de specifieke situatie van micro-ondernemingen en kleine en middelgrote ondernemingen, voorziet deze verordening in een afwijking voor organisaties met minder dan 250 werknemers op het gebied van het bijhouden van gegevens. Bovendien worden de instellingen en organen van de Unie en de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening rekening te houden met de specifieke behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen. Het begrip micro-ondernemingen en kleine en middelgrote ondernemingen moet gebaseerd zijn op artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie (1). (1) Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van micro-ondernemingen en kleine en middelgrote ondernemingen [C(2003) 1422] (PB L 124 van 20.5.2003, blz. 36).
(14) De door deze verordening geboden bescherming moet betrekking hebben op natuurlijke personen, ongeacht hun staatsburgerschap of woonplaats, met betrekking tot de verwerking van hun persoonsgegevens. Deze regeling is niet van toepassing op de verwerking van persoonsgegevens van rechtspersonen en in het bijzonder bedrijven met rechtspersoonlijkheid, waaronder de naam en het type rechtspersoon en de contactgegevens van de rechtspersoon.
(15) Om te voorkomen dat er een groot risico op ontduiking ontstaat, moet de bescherming van natuurlijke personen technologisch neutraal zijn en niet afhankelijk zijn van de gebruikte technologieën. De bescherming van natuurlijke personen moet van toepassing zijn op de verwerking van persoonsgegevens met geautomatiseerde middelen, evenals op handmatige verwerking, indien de persoonsgegevens zijn opgenomen of bedoeld zijn om te worden opgenomen in een registratiesysteem. Bestanden of bestandensets, evenals hun omslagen, die niet volgens specifieke criteria zijn gestructureerd, mogen niet binnen het toepassingsgebied van deze verordening vallen.
(16) Deze verordening is niet van toepassing op kwesties van de bescherming van fundamentele rechten en vrijheden of op het vrije verkeer van persoonsgegevens die verband houden met activiteiten die niet binnen de reikwijdte van het Unierecht vallen, bijvoorbeeld activiteiten op het gebied van de nationale veiligheid. Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door de lidstaten wanneer zij activiteiten uitvoeren die verband houden met het buitenlands beleid en de gemeenschappelijke veiligheid van de Unie. (17) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (2) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens moeten worden aangepast aan de beginselen en regels die in deze verordening zijn vastgelegd en moeten worden toegepast in overeenstemming met deze verordening. Om een solide en samenhangend kader op het gebied van gegevensbescherming in de Unie te garanderen, wordt na de vaststelling van deze verordening Verordening (EG) nr. 45/2001 de nodige aanpassingen, zodat ze samen met deze verordening kunnen worden toegepast.
(2) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door gemeenschapsinstellingen en -organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001 , blz. 1).
(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een uitsluitend persoonlijke of huishoudelijke activiteit en die dus geen verband houdt met een professionele of commerciële activiteit. Persoonlijke of huishoudelijke activiteiten kunnen bestaan uit correspondentie en de lijst met adressen of activiteiten binnen sociale netwerken en online-activiteiten die in de context van die activiteiten worden uitgevoerd. Deze verordening is echter van toepassing op exploitanten of door exploitanten gemachtigde personen die de middelen ter beschikking stellen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten.
(19) De bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de strafrechtelijke vervolging van misdrijven of de uitvoering van straffen, met inbegrip van de bescherming tegen bedreigingen voor de openbare veiligheid en de preventie ervan , evenals het vrije verkeer van deze gegevens, is het onderwerp van een specifieke rechtshandeling van de Unie. Daarom mag deze verordening niet van toepassing zijn op verwerkingsactiviteiten voor deze doeleinden. Persoonsgegevens die op grond van deze verordening door overheidsinstanties worden verwerkt, moeten, wanneer ze voor deze doeleinden worden gebruikt, echter worden geregeld door een specifieker rechtshandeling van de Unie, namelijk Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (1). . De lidstaten kunnen de bevoegde autoriteiten in de zin van Richtlijn (EU) 2016/680 taken toevertrouwen die niet noodzakelijkerwijs worden uitgevoerd met het oog op het voorkomen, onderzoeken, opsporen of vervolgen van misdrijven of het uitvoeren van straffen, met inbegrip van de bescherming tegen bedreigingen voor de openbare veiligheid en om deze te voorkomen, zodat de verwerking van persoonsgegevens voor andere doeleinden, voor zover deze binnen de reikwijdte van het recht van de Unie valt, binnen de reikwijdte van deze verordening valt.
(1) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op het voorkomen, opsporen, onderzoeken of vervolgen misdaden of het uitvoeren ervan, en met betrekking tot het vrije verkeer van deze gegevens en de intrekking van Kaderbesluit 2008/977/JAI van de Raad (zie bladzijde 89 van dit Publicatieblad).
Wat betreft de verwerking van persoonsgegevens door deze bevoegde autoriteiten voor doeleinden die binnen het toepassingsgebied van deze verordening vallen, moeten de lidstaten meer gedetailleerde bepalingen kunnen handhaven of invoeren om de toepassing van de regels van deze verordening aan te passen. Deze bepalingen kunnen preciezer specifieke eisen stellen aan de verwerking van persoonsgegevens door de respectieve bevoegde autoriteiten voor deze andere doeleinden, rekening houdend met de constitutionele, organisatorische en administratieve structuur van de lidstaat in kwestie. Wanneer de verwerking van persoonsgegevens door particuliere instanties het onderwerp van deze verordening is, moet deze verordening de lidstaten de mogelijkheid bieden om, onder bepaalde voorwaarden, bij wet beperkingen op te leggen aan bepaalde verplichtingen en rechten, indien dergelijke beperkingen een noodzakelijke en evenredige maatregel in een democratische samenleving met als doel het waarborgen van belangrijke specifieke belangen, waaronder de openbare veiligheid en het voorkomen, onderzoeken, opsporen en vervolgen van misdrijven of de uitvoering van straffen, met inbegrip van de bescherming tegen bedreigingen voor de openbare veiligheid en de preventie ervan. Dit is bijvoorbeeld relevant in de strijd tegen het witwassen van geld of de activiteiten van forensische laboratoria.
(20) Hoewel deze verordening onder meer van toepassing is op de activiteiten van rechtbanken en andere gerechtelijke autoriteiten, zou het recht van de Unie of van de lidstaten de verwerkingshandelingen en -procedures kunnen specificeren met betrekking tot de verwerking van persoonsgegevens door rechtbanken en andere gerechtelijke autoriteiten. . De verwerking van persoonsgegevens mag niet tot de bevoegdheid van de toezichthoudende autoriteiten behoren in het geval dat de rechtbanken hun rechterlijke bevoegdheden uitoefenen, om de onafhankelijkheid van het rechtsstelsel te garanderen bij de vervulling van zijn gerechtelijke taken, inclusief het nemen van beslissingen. Het toezicht op dergelijke gegevensverwerkingsoperaties moet kunnen worden toevertrouwd aan specifieke instanties binnen het gerechtelijk apparaat van de lidstaat, die met name de naleving van de regels van deze verordening moeten garanderen, de leden van het gerechtelijk apparaat moeten sensibiliseren met betrekking tot de verplichtingen die onder deze verordening vallen en om klachten met betrekking tot dergelijke gegevensverwerkingen te behandelen.
(21) Deze verordening heeft geen invloed op de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad (2), en met name op de regels met betrekking tot de aansprakelijkheid van aanbieders van intermediaire diensten, zoals bepaald in de artikelen 12 tot en met 15 van genoemde richtlijn. richtlijn. De respectieve richtlijn heeft tot doel bij te dragen aan de goede werking van de interne markt, door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen.
(2) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, op de interne markt (richtlijn elektronische handel) (PB L 178, 17.7.2000 1, blz. XNUMX).
(22) Elke verwerking van persoonsgegevens in het kader van de activiteiten van een kantoor van een exploitant of een door de exploitant gemachtigde persoon in de Unie moet worden uitgevoerd in overeenstemming met deze verordening, ongeacht of de verwerking zelf binnen de Unie plaatsvindt of niet. . Hoofdkwartier impliceert de effectieve en reële uitoefening van een activiteit binnen stabiele overeenkomsten. De rechtsvorm van dergelijke overeenkomsten, via een filiaal of een dochteronderneming met rechtspersoonlijkheid, is hierbij niet doorslaggevend.
(23) Om ervoor te zorgen dat natuurlijke personen niet de bescherming wordt ontzegd waarop zij op grond van deze verordening recht hebben, moet de verwerking van de persoonsgegevens van de betrokken personen die zich op het grondgebied van de Unie bevinden door een exploitant of een gemachtigde persoon door hem die dat niet doet en die in de Unie is gevestigd, moet aan deze verordening worden onderworpen als de verwerkingsactiviteiten verband houden met de levering van goederen of diensten aan dergelijke betrokkenen, ongeacht of deze al dan niet verband houden met een betaling. Om te bepalen of een dergelijke exploitant of een door de exploitant gemachtigde persoon goederen of diensten aanbiedt aan betrokkenen die zich op het grondgebied van de Unie bevinden, moet worden vastgesteld of het erop lijkt dat de exploitant of de door de exploitant gemachtigde persoon van plan is om diensten verlenen aan de betrokkenen uit een of meer lidstaten van de Unie. Aangezien het simpele feit dat er toegang is tot een website van de exploitant, van de door de exploitant gemachtigde persoon of van een tussenpersoon in de Unie, dat een e-mailadres en andere contactgegevens beschikbaar zijn of dat een taal die doorgaans in de Unie wordt gebruikt, derde land wordt gebruikt waar de exploitant zijn hoofdkantoor heeft, is onvoldoende om een dergelijke intentie te bevestigen, factoren zoals het gebruik van een taal of een munteenheid die doorgaans in een of meer lidstaten wordt gebruikt met de mogelijkheid om goederen en diensten in die taal te bestellen of de vermelding van bepaalde klanten of gebruikers die zich op het grondgebied van de Unie bevinden, kan tot de conclusie leiden dat de exploitant van plan is goederen of diensten aan te bieden aan bepaalde personen in de Unie.
(24) De verwerking van de persoonsgegevens van de betrokken personen die zich op het grondgebied van de Unie bevinden door een exploitant of een door hem gemachtigde persoon die niet in de Unie is gevestigd, moet ook onder deze verordening vallen als deze verband houdt met de het monitoren van het gedrag van dergelijke doelgroepen, voor zover dit gedrag zich manifesteert op het grondgebied van de Unie. Om te bepalen of een verwerkingsactiviteit kan worden beschouwd als ‘gedragsmonitoring’ van de betrokkenen, moet worden vastgesteld of de natuurlijke personen op internet worden gevolgd, met inbegrip van het mogelijke daaropvolgende gebruik van bepaalde technieken voor de verwerking van persoonsgegevens die bestaan uit het creëren van een profiel van een natuurlijke persoon, vooral om beslissingen over hem te nemen of zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen.
(25) Indien het recht van een lidstaat op grond van het internationaal publiekrecht van toepassing is, moet deze verordening ook van toepassing zijn op een marktdeelnemer die niet in de Unie is gevestigd, maar bijvoorbeeld in een diplomatieke missie of in een consulair kantoor van een lidstaat . (26) De beginselen van gegevensbescherming moeten van toepassing zijn op alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Persoonsgegevens die gepseudonimiseerd zijn en die door het gebruik van aanvullende informatie aan een natuurlijke persoon kunnen worden toegeschreven, moeten worden beschouwd als informatie die betrekking heeft op een identificeerbare natuurlijke persoon. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen, zoals individualisering, die de voor de verwerking verantwoordelijke of een andere persoon redelijkerwijs voor identificatiedoeleinden zal gebruiken, direct of indirect, van de desbetreffende natuurlijke persoon. . Om te bepalen of het redelijkerwijs waarschijnlijk is dat er gebruik zal worden gemaakt van identificatiemiddelen van de natuurlijke persoon, dient hier rekening mee gehouden te worden
rekening houdend met alle objectieve factoren, zoals de kosten en het tijdsinterval dat nodig is voor identificatie, rekening houdend met zowel de technologie die beschikbaar was op het moment van verwerking als de technologische ontwikkeling. De beginselen van gegevensbescherming mogen daarom niet van toepassing zijn op anonieme informatie, dat wil zeggen op informatie die geen verband houdt met een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig zijn geanonimiseerd dat de betrokkene niet (meer) identificeerbaar is. Daarom is deze verordening niet van toepassing op de verwerking van dergelijke anonieme informatie, ook niet als deze wordt gebruikt voor statistische of onderzoeksdoeleinden. (27) Deze verordening is niet van toepassing op persoonsgegevens van overleden personen. De lidstaten kunnen regels vaststellen met betrekking tot de verwerking van persoonsgegevens van overleden personen.
(28) De toepassing van pseudonimisering van persoonsgegevens kan de risico's voor de betrokken personen verminderen en kan de exploitanten en de door hen gemachtigde personen helpen om aan hun verplichtingen op het gebied van gegevensbescherming te voldoen. De expliciete introductie van het begrip "pseudonimisering" in deze verordening is niet bedoeld om andere mogelijke gegevensbeschermingsmaatregelen te voorkomen.
(29) Om prikkels te creëren voor de toepassing van pseudonimisering bij de verwerking van persoonsgegevens, moeten pseudonimiseringsmaatregelen mogelijk zijn, terwijl algemene analyse mogelijk blijft, binnen dezelfde exploitant, wanneer de exploitant de nodige technische en organisatorische maatregelen heeft genomen om te garanderen dat deze verordening is geïmplementeerd met betrekking tot de betreffende gegevensverwerking en dat aanvullende informatie voor het toewijzen van persoonsgegevens aan een specifieke betrokkene afzonderlijk wordt bewaard. De exploitant die persoonsgegevens verwerkt, moet de geautoriseerde personen binnen dezelfde exploitant aangeven. (30) Natuurlijke personen kunnen in verband worden gebracht met online-identificatoren die worden verstrekt door hun apparaten, applicaties, tools en protocollen, zoals IP-adressen, cookie-identificatoren of andere identificatoren zoals. radiofrequentie-identificatietags. Ze kunnen sporen achterlaten die, vooral in combinatie met unieke identificatiegegevens en andere door servers ontvangen informatie, kunnen worden gebruikt om profielen van natuurlijke personen aan te maken en deze te identificeren.
(31) Overheidsinstanties aan wie persoonsgegevens worden bekendgemaakt in overeenstemming met een wettelijke verplichting om hun officiële functie uit te oefenen, zoals belasting- en douaneautoriteiten, financiële onderzoekseenheden, onafhankelijke administratieve autoriteiten of financiëlemarktautoriteiten die verantwoordelijk zijn voor de regulering van en het toezicht op de effectenmarkten mogen niet als ontvangers worden beschouwd als zij persoonsgegevens ontvangen die nodig zijn voor het uitvoeren van een bepaald onderzoek van algemeen belang, in overeenstemming met het recht van de Unie of dat van de lidstaten. Door overheidsinstanties verzonden verzoeken tot openbaarmaking moeten altijd schriftelijk, gemotiveerd en incidenteel worden ingediend en mogen niet betrekking hebben op een dossiersysteem in zijn geheel of leiden tot de onderlinge koppeling van dossiersystemen. De verwerking van persoonsgegevens door de respectieve overheidsinstanties moet voldoen aan de toepasselijke regels voor gegevensbescherming, in overeenstemming met de doeleinden van de verwerking.
(32) Toestemming moet worden verleend door middel van een ondubbelzinnige handeling die een vrijelijk uitgedrukte, specifieke, bewuste en duidelijke uiting vormt van de toestemming van de betrokkene voor de verwerking van zijn persoonsgegevens, zoals een schriftelijke verklaring, ook in elektronische of mondelinge vorm. . Hierbij kan het bijvoorbeeld gaan om het aanvinken van een vakje wanneer de persoon een site bezoekt, het kiezen van technische parameters voor diensten van de informatiemaatschappij of enige andere verklaring of handeling waaruit in deze context duidelijk blijkt dat de betrokkene akkoord gaat met de voorgestelde verwerking van zijn persoonsgegevens. Daarom mag het uitblijven van een reactie, vooraf aangevinkte vakjes of het uitblijven van actie geen toestemming inhouden. Toestemming moet betrekking hebben op alle verwerkingsactiviteiten die voor hetzelfde doel of voor dezelfde doeleinden worden uitgevoerd. Als de gegevensverwerking voor meerdere doeleinden plaatsvindt, moet voor alle verwerkingsdoeleinden toestemming worden gegeven. Als de toestemming van de betrokkene moet worden verleend naar aanleiding van een elektronisch verzonden verzoek, moet dat verzoek duidelijk en beknopt zijn en het gebruik van de dienst waarvoor de toestemming wordt verleend niet onnodig verstoren.
(33) Bij het verzamelen van persoonsgegevens is het vaak niet mogelijk om het doel van de gegevensverwerking voor wetenschappelijk onderzoek volledig vast te stellen. Om deze reden zouden de betrokken personen dat wel doen
zij moeten toestemming kunnen geven voor bepaalde gebieden van wetenschappelijk onderzoek, wanneer de erkende ethische normen voor wetenschappelijk onderzoek worden gerespecteerd. Betrokkenen mogen alleen de mogelijkheid hebben om hun toestemming te geven voor bepaalde onderzoeksgebieden of delen van onderzoeksprojecten, voor zover toegestaan door het beoogde doel.
(34) Genetische gegevens moeten worden gedefinieerd als persoonsgegevens die betrekking hebben op de erfelijke of verworven genetische kenmerken van een natuurlijke persoon, die voortvloeien uit een analyse van een monster biologisch materiaal van de natuurlijke persoon in kwestie, in het bijzonder een chromosomale analyse, van een analyse van deoxyribonucleïnezuur (DNA) of ribonucleïnezuur (RNA) of van een analyse van enig ander element waarmee gelijkwaardige informatie kan worden verkregen.
(35) Persoonlijke gezondheidsgegevens moeten alle gegevens omvatten die verband houden met de gezondheid van de betrokkene en die informatie onthullen over de lichamelijke of geestelijke gezondheid van de betrokkene in het verleden, het heden of de toekomst. Het gaat hierbij onder meer om informatie over de natuurlijke persoon die is verzameld als onderdeel van zijn registratie voor medische hulpverleningsdiensten of als onderdeel van het verlenen van de desbetreffende diensten aan de natuurlijke persoon in kwestie, zoals vermeld in Richtlijn 2011/24/EU van het Europees Parlement en van de Raad (1); een nummer, een symbool of een onderscheidend teken dat aan een natuurlijke persoon wordt toegekend ter unieke identificatie van hem voor medische doeleinden; informatie die voortvloeit uit het testen of onderzoeken van een deel van het lichaam of een lichaamssubstantie, inclusief genetische gegevens en monsters van biologisch materiaal; evenals alle informatie over bijvoorbeeld een ziekte, handicap, risico op ziekte, medische geschiedenis, klinische behandeling of fysiologische of biomedische toestand van de betrokkene, ongeacht hun bron, zoals een arts of ander medisch personeel, een ziekenhuis , een medisch hulpmiddel of een in vitro diagnostische test.
(1) Richtlijn 2011/24/EU van het Europees Parlement en de Raad van 9 maart 2011 betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende medische zorg (PB L 88 van 4.4.2011, blz. 45). (36) Het hoofdkantoor van een exploitant in de Unie moet de plaats zijn waar zijn centrale administratie in de Unie is gevestigd, tenzij de besluiten over de doeleinden en middelen voor de verwerking van persoonsgegevens worden genomen in een ander hoofdkantoor van de exploitant in de Unie. In dit geval moet laatstgenoemde als hoofdvestiging worden beschouwd. De hoofdzetel van een exploitant in de Unie moet worden bepaald op basis van objectieve criteria en moet de effectieve en daadwerkelijke uitoefening van managementactiviteiten omvatten die de belangrijkste beslissingen bepalen met betrekking tot de doeleinden en middelen van verwerking binnen stabiele overeenkomsten. Dit criterium mag niet afhankelijk zijn van de verwerking van persoonsgegevens op die plaats. De aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten vormen geen hoofdkantoor en zijn daarom niet het bepalende criterium in dit verband. De hoofdzetel van de door de exploitant gemachtigde persoon moet de plaats zijn waar zijn centrale administratie in de Unie is gevestigd of, als hij geen centrale administratie in de Unie heeft, de plaats waar de belangrijkste verwerkingsactiviteiten in de Unie worden uitgevoerd. . In gevallen waarbij zowel de exploitant als de door de exploitant gemachtigde persoon betrokken zijn, moet de bevoegde belangrijkste toezichthoudende autoriteit de toezichthoudende autoriteit blijven van de lidstaat waar de exploitant zijn hoofdvestiging heeft, maar de toezichthoudende autoriteit van de door de exploitant gemachtigde persoon moet worden beschouwd als een gerichte toezichthoudende autoriteit en die toezichthoudende autoriteit moet deelnemen aan de samenwerkingsprocedure waarin deze verordening voorziet. In ieder geval mogen de toezichthoudende autoriteiten van de lidstaat of lidstaten waar de door de exploitant gemachtigde persoon een of meer kantoren heeft, niet als de betrokken toezichthoudende autoriteiten worden beschouwd als het ontwerpbesluit alleen naar de exploitant verwijst. Als de verwerking wordt uitgevoerd door een groep bedrijven, moet het hoofdkantoor van het bedrijf dat controle uitoefent, worden beschouwd als het hoofdkantoor van de bedrijvengroep, tenzij het doel en de middelen van de verwerking door een ander bedrijf zijn vastgesteld.
(37) Een ondernemingengroep moet een onderneming omvatten die zeggenschap uitoefent en de ondernemingen die door haar worden gecontroleerd, waarbinnen de onderneming die zeggenschap uitoefent de onderneming moet zijn die een dominante invloed op de andere ondernemingen kan uitoefenen, bijvoorbeeld op grond van eigendom, van de financiële participatie of van de regels die deze reguleren of van de bevoegdheid om regels met betrekking tot de bescherming van persoonsgegevens ten uitvoer te leggen. Een bedrijf dat
die toezicht houdt op de verwerking van persoonsgegevens in de met haar verbonden bedrijven, moet samen met laatstgenoemde worden beschouwd als een “groep van bedrijven”.
(38) Kinderen hebben een specifieke bescherming van hun persoonsgegevens nodig, omdat zij zich mogelijk minder bewust zijn van de risico's, gevolgen, garanties in kwestie en hun rechten met betrekking tot de verwerking van persoonsgegevens. Deze specifieke bescherming moet met name gelden voor het gebruik van persoonsgegevens van kinderen voor marketingdoeleinden of voor het creëren van persoonlijkheids- of gebruikersprofielen, en voor het verzamelen van persoonsgegevens van kinderen bij het gebruik van diensten die rechtstreeks aan kinderen worden aangeboden. De toestemming van de persoon die de ouderlijke verantwoordelijkheid draagt, mag niet noodzakelijk zijn in de context van preventie- of adviesdiensten die rechtstreeks aan kinderen worden aangeboden.
(39) Elke verwerking van persoonsgegevens moet wettig en eerlijk zijn. Voor natuurlijke personen moet het transparant zijn dat de hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins worden verwerkt en in welke mate de persoonsgegevens worden of zullen worden verwerkt. Het transparantiebeginsel bepaalt dat alle informatie en communicatie met betrekking tot de verwerking van de betreffende persoonsgegevens gemakkelijk toegankelijk en gemakkelijk te begrijpen is en dat er eenvoudige en duidelijke taal wordt gebruikt. Dit beginsel heeft met name betrekking op het informeren van de betrokkenen over de identiteit van de exploitant en de doeleinden van de verwerking, evenals op het verstrekken van aanvullende informatie, om een eerlijke en transparante verwerking ten aanzien van de betrokken natuurlijke personen te garanderen en hun recht om te worden bevestigd en aan hen meegedeeld welke persoonsgegevens over hen worden verwerkt. Individuen moeten worden geïnformeerd over de risico’s, regels, garanties en rechten met betrekking tot de verwerking van persoonsgegevens en over de manier waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. In het bijzonder moeten de specifieke doeleinden waarvoor persoonsgegevens worden verwerkt expliciet en legitiem zijn en worden bepaald op het moment dat de desbetreffende gegevens worden verzameld. Persoonsgegevens moeten adequaat, ter zake dienend zijn en beperkt blijven tot wat nodig is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de periode gedurende welke persoonsgegevens worden opgeslagen, strikt tot het minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt als het doel van de verwerking redelijkerwijs niet op andere manieren kan worden verwezenlijkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan nodig is, moet de exploitant termijnen vaststellen voor verwijdering of periodieke beoordeling. Alle redelijke stappen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gecorrigeerd of verwijderd. Persoonsgegevens moeten worden verwerkt op een manier die de veiligheid en vertrouwelijkheid ervan adequaat waarborgt, onder meer met het oog op het voorkomen van ongeoorloofde toegang daartoe of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.
(40) Om de verwerking van persoonsgegevens legaal te laten zijn, moet deze worden uitgevoerd op basis van de toestemming van de betrokkene of op basis van een andere legitieme reden, voorzien door de wet, hetzij in deze verordening, hetzij in een andere wet van Unierecht of intern recht, zoals bepaald in deze verordening, inclusief de noodzaak om te voldoen aan de wettelijke verplichtingen waaraan de exploitant is onderworpen of de noodzaak om een contract uit te voeren waarbij de betrokkene partij is of om de fasen te doorlopen voorafgaand aan het sluiten van een contract, op verzoek van de betrokkene.
(41) Wanneer in deze verordening wordt verwezen naar een rechtsgrondslag of een wetgevende maatregel, is hiervoor niet noodzakelijkerwijs een door een parlement aangenomen wetgevend besluit vereist, onverminderd de eisen die voortvloeien uit de constitutionele orde van de betreffende lidstaat. Een dergelijke rechtsgrondslag of een dergelijke wetgevende maatregel moet echter duidelijk en nauwkeurig zijn, en de toepassing ervan moet voorspelbaar zijn voor de personen die erdoor worden getroffen, in overeenstemming met de jurisprudentie van het Hof van Justitie van de Europese Unie (“Hof van Justitie ") en het Europees Hof voor de Rechten van de Mens.
(42) Als de verwerking gebaseerd is op de toestemming van de betrokkene, moet de exploitant kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere kwestie moeten de waarborgen ervoor zorgen dat de betrokkene zich bewust is van het feit dat hij zijn toestemming heeft gegeven en in welke mate hij dat heeft gedaan. Overeenkomstig Richtlijn 93/13/EEG van de Raad (1) moet een vooraf door de exploitant opgestelde toestemmingsverklaring in begrijpelijke vorm worden verstrekt
en gemakkelijk toegankelijk zijn, waarbij gebruik wordt gemaakt van duidelijke en eenvoudige taal, en deze verklaring mag geen beledigende clausules bevatten. Om de toestemming te kunnen verlenen met kennis van de oorzaak, moet de betrokkene op zijn minst op de hoogte zijn van de identiteit van de exploitant en van de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bedoeld. Toestemming mag niet als vrij gegeven worden beschouwd als de betrokkene niet werkelijk over de keuzevrijheid beschikt of niet in een positie verkeert om de toestemming te weigeren of in te trekken zonder bevooroordeeld te worden.
(1) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende misbruikclausules in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29).
(43) Om te garanderen dat toestemming uit vrije wil is verleend, mag toestemming geen geldige rechtsgrondslag vormen voor de verwerking van persoonsgegevens in het specifieke geval waarin er sprake is van een duidelijk gebrek aan evenwicht tussen de betrokkene en de exploitant, vooral in het geval waarbij de exploitant een overheidsinstantie is, en dit maakt het onwaarschijnlijk om vrijelijk toestemming te geven in alle omstandigheden die verband houden met die specifieke situatie. Toestemming wordt geacht niet vrij te zijn verleend als deze het verlenen van afzonderlijke toestemming voor de verschillende verwerkingen van persoonsgegevens niet toestaat, hoewel dit in het specifieke geval passend is, of als de uitvoering van een contract, met inbegrip van het verlenen van een dienst, afhankelijk is van toestemming, ondanks het feit dat de toestemming in kwestie niet noodzakelijk is voor de uitvoering van de overeenkomst.
(44) De verwerking moet als rechtmatig worden beschouwd als deze noodzakelijk is in het kader van een contract of om een contract te sluiten.
(45) Als de verwerking wordt uitgevoerd in overeenstemming met een wettelijke verplichting van de exploitant of als de verwerking noodzakelijk is voor de uitvoering van een taak die een openbaar belang dient of deel uitmaakt van de uitoefening van openbaar gezag, moet de verwerking een basis in het recht van de Unie of in het nationale recht. Deze verordening vereist niet dat er voor elke individuele verwerking een specifieke wet bestaat. Eén enkele wet kan voldoende zijn als basis voor meerdere verwerkingen die worden uitgevoerd in overeenstemming met een wettelijke verplichting van de exploitant of als de verwerking noodzakelijk is voor de uitvoering van een taak die een openbaar belang dient of deel uitmaakt van de uitoefening van openbaar gezag. . Ook moet het doel van de verwerking worden vastgelegd in het Unierecht of het nationale recht. Bovendien zou het respectieve recht de algemene voorwaarden van deze verordening kunnen specificeren die de wettigheid van de verwerking van persoonsgegevens regelen, de specificaties kunnen bepalen voor het vaststellen van de exploitant, het soort persoonsgegevens dat het onderwerp is van de verwerking, de betrokken personen, de entiteiten aan wie de persoonsgegevens kunnen openbaar worden gemaakt, de beperkingen zijn afhankelijk van het doel, de bewaartermijn en andere maatregelen om een rechtmatige en eerlijke verwerking te garanderen. Ook moet in het recht van de Unie of in het nationale recht worden vastgelegd of de exploitant die een taak uitvoert die een openbaar belang dient of die deel uitmaakt van de uitoefening van het openbaar gezag, een overheidsinstantie of een andere natuurlijke of rechtspersoon naar publiek recht moet zijn, of, wanneer redenen van openbaar belang dit rechtvaardigen, ook voor medische doeleinden, zoals de volksgezondheid en sociale bescherming, evenals het beheer van medische hulpdiensten, op privaatrechtelijke gronden, zoals een beroepsvereniging.
(46) De verwerking van persoonsgegevens moet ook als legaal worden beschouwd als deze noodzakelijk is om de bescherming van een belang te waarborgen dat essentieel is voor het leven van de betrokkene of voor het leven van een andere natuurlijke persoon. De verwerking van persoonsgegevens op basis van de vitale belangen van een andere natuurlijke persoon mag alleen plaatsvinden als de verwerking duidelijk niet op een andere rechtsgrondslag kan worden gebaseerd. Sommige soorten verwerking kunnen zowel belangrijke redenen van openbaar belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld als de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer om een epidemie en de verspreiding ervan te monitoren, of in humanitaire noodsituaties, vooral in geval van nood. situaties van natuurrampen of door de mens veroorzaakte rampen.
(47) De legitieme belangen van een exploitant, met inbegrip van die van een exploitant aan wie persoonsgegevens kunnen worden bekendgemaakt of van een derde partij, kunnen een rechtsgrondslag voor de verwerking vormen, op voorwaarde dat de belangen of fundamentele rechten en vrijheden van de persoon niet in strijd zijn doelgericht overheersen, nemen
rekening houdend met de redelijke verwachtingen van de betrokkenen op basis van hun relatie met de exploitant. Dit gerechtvaardigd belang kan bijvoorbeeld bestaan wanneer er sprake is van een relevante en passende relatie tussen de betrokkene en de exploitant, bijvoorbeeld wanneer de betrokkene klant is van de exploitant of in dienst is van de exploitant. In ieder geval zou het bestaan van een legitiem belang een zorgvuldige evaluatie vereisen, waarbij onder meer zou worden vastgesteld of een betrokkene op het moment en in de context van het verzamelen van persoonsgegevens redelijkerwijs de mogelijkheid van verwerking voor dit doel kan voorzien. De belangen en grondrechten van de betrokkene kunnen met name prevaleren ten opzichte van het belang van de verantwoordelijke voor de verwerking wanneer de persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien de wetgever de rechtsgrondslag moet bieden voor de verwerking van persoonsgegevens door de overheid, mag de desbetreffende rechtsgrondslag niet van toepassing zijn op de verwerking door de overheid bij de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk zijn met het oog op fraudepreventie vormt ook een legitiem belang van de betreffende gegevensbeheerder. De verwerking van persoonsgegevens gericht op direct marketing kan worden geacht te geschieden vanuit een gerechtvaardigd belang.
(48) Exploitanten die deel uitmaken van een groep bedrijven of instellingen die zijn aangesloten bij een centraal orgaan kunnen een legitiem belang hebben bij het doorgeven van persoonsgegevens binnen de groep bedrijven voor interne administratieve doeleinden, onder meer met het oog op de verwerking van de persoonsgegevens van klanten of medewerkers. De algemene beginselen voor de overdracht van persoonsgegevens, binnen een groep ondernemingen, naar een onderneming in een derde land, blijven ongewijzigd.
(49) De verwerking van persoonsgegevens voor zover strikt noodzakelijk en proportioneel om de veiligheid van netwerken en informatie te waarborgen, namelijk het vermogen van een netwerk of een informatiesysteem om met een bepaald niveau van vertrouwen het hoofd te bieden aan toevallige gebeurtenissen of handelingen illegaal of kwaadwillig zijn die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of verzonden persoonlijke gegevens in gevaar brengen, evenals de veiligheid van gerelateerde diensten die door deze netwerken en systemen worden aangeboden, of via hen toegankelijk is voor overheidsinstanties, interventieteams bij computernoodgevallen, interventieteams bij incidenten die de IT-beveiliging aantasten, aanbieders van elektronische-communicatienetwerken en -diensten, alsmede voor aanbieders van diensten en beveiligingstechnologieën, vormt een legitiem belang van de betreffende gegevensbeheerder. Dit kan bijvoorbeeld het voorkomen van ongeoorloofde toegang tot elektronische-communicatienetwerken en de verspreiding van kwaadaardige code omvatten en het stoppen van "denial-of-service"-aanvallen, evenals het voorkomen van schade aan computers en elektronische-communicatiesystemen.
(50) De verwerking van persoonsgegevens voor andere doeleinden dan de doeleinden waarvoor de persoonsgegevens oorspronkelijk zijn verzameld, mag alleen worden toegestaan als de verwerking verenigbaar is met de respectieve doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dit geval is een andere rechtsgrondslag dan die op basis waarvan het verzamelen van persoonsgegevens werd toegestaan niet nodig. Als de verwerking noodzakelijk is voor de uitvoering van een taak die een openbaar belang dient of die voortvloeit uit de uitoefening van het openbaar gezag waaraan de exploitant is toevertrouwd, kan het recht van de Unie of het interne recht de taken en doeleinden vaststellen en specificeren waarvoor verdere verwerking moet plaatsvinden. als verenigbaar en legaal worden beschouwd. Verdere verwerking voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden moet worden beschouwd als verenigbare juridische verwerkingsactiviteiten. De rechtsgrondslag waarin het recht van de Unie of het nationale recht voorziet voor de verwerking van persoonsgegevens kan ook een rechtsgrondslag vormen voor verdere verwerking. Om te bepalen of het doel van de daaropvolgende verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk werden verzameld, moet de exploitant, nadat hij aan alle eisen met betrekking tot de rechtmatigheid van de initiële verwerking heeft voldaan, onder meer rekening houden met: elk verband tussen deze doeleinden en de beoogde verdere verwerkingsdoeleinden, de context waarin de persoonsgegevens zijn verzameld, in het bijzonder de redelijke verwachtingen van de betrokkenen, op basis van hun relatie met de exploitant, met betrekking tot het daaropvolgende gebruik van de gegevens, de aard van de persoonsgegevens, van de gevolgen van verdere verwerking
die van de betrokken personen worden verwacht, evenals het bestaan van de overeenkomstige garanties zowel bij de initiële verwerkingen als bij de verwachte daaropvolgende verwerkingen.
Indien de betrokkene toestemming heeft gegeven of de verwerking is gebaseerd op het recht van de Unie of het nationale recht, wat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt om met name belangrijke doelstellingen van algemeen openbaar belang te beschermen, moet de exploitant de mogelijkheid hebben om door te gaan met het verwerken van persoonsgegevens, ongeacht de verenigbaarheid van de doeleinden. In ieder geval moet de toepassing van de beginselen die in deze verordening zijn vastgelegd, en in het bijzonder de informatie aan de betrokkene over deze andere doeleinden en zijn rechten, waaronder het recht op verzet, worden gegarandeerd. Het signaleren van mogelijke misdrijven of bedreigingen voor de openbare veiligheid door de exploitant en het doorgeven aan een bevoegde autoriteit van relevante persoonsgegevens in individuele gevallen of in meerdere gevallen die verband houden met hetzelfde misdrijf of met dezelfde bedreigingen voor de openbare veiligheid moeten worden beschouwd als in de legitiem belang dat door de exploitant wordt nagestreefd. Een dergelijke doorgifte in het legitieme belang van de exploitant of de daaropvolgende verwerking van persoonsgegevens moet echter worden verboden als de verwerking niet verenigbaar is met een wettelijke, professionele of andere verplichting tot vertrouwelijkheid.
(51) Persoonsgegevens die door hun aard bijzonder gevoelig zijn in termen van fundamentele rechten en vrijheden, vereisen specifieke bescherming, omdat de context van de verwerking ervan aanzienlijke risico’s voor de fundamentele rechten en vrijheden met zich mee kan brengen. Deze persoonlijke gegevens moeten ook persoonlijke gegevens omvatten die de raciale of etnische afkomst onthullen; het gebruik van de term "raciale afkomst" in deze verordening impliceert niet dat de Unie theorieën aanvaardt die het bestaan van afzonderlijke menselijke rassen proberen vast te stellen. De verwerking van foto's mag niet systematisch worden beschouwd als de verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen als ze worden verwerkt met specifieke technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. . Dergelijke persoonsgegevens mogen niet worden verwerkt, tenzij de verwerking is toegestaan in specifieke gevallen waarin deze verordening voorziet, rekening houdend met het feit dat de wetgeving van de lidstaten specifieke bepalingen kan bevatten met betrekking tot gegevensbescherming om de toepassing van de regels van de wetgeving aan te passen. deze regeling om te voldoen aan een wettelijke verplichting of om een taak te vervullen die een openbaar belang dient of die voortvloeit uit de uitoefening van het openbaar gezag waarmee de exploitant is belast. Naast de specifieke vereisten voor een dergelijke verwerking moeten de algemene beginselen en andere regels van deze verordening van toepassing zijn, vooral met betrekking tot de voorwaarden voor juridische verwerking. Er moet uitdrukkelijk worden voorzien in afwijkingen van het algemene verbod op de verwerking van deze bijzondere categorieën persoonsgegevens, onder meer wanneer de betrokkene uitdrukkelijk toestemming geeft of met betrekking tot specifieke behoeften, vooral wanneer de verwerking wordt uitgevoerd in het kader van legitieme activiteiten van bepaalde personen. verenigingen of stichtingen die tot doel hebben de uitoefening van fundamentele vrijheden mogelijk te maken.
(52) Afwijking van het verbod op de verwerking van bijzondere categorieën persoonsgegevens moet ook worden toegestaan als het recht van de Unie of het nationale recht daarin voorziet, en moet onderworpen zijn aan adequate garanties, zodat persoonsgegevens en andere grondrechten worden beschermd wanneer dit gerechtvaardigd is om redenen van openbaar belang, vooral in het geval van de verwerking van persoonsgegevens op het gebied van de arbeidswetgeving, de sociale bescherming, inclusief pensioenen, maar ook op het gebied van veiligheid, toezicht en gezondheidswaarschuwingen, voor de preventie of beheersing van overdraagbare ziekten en andere ernstige bedreigingen voor de gezondheid. Deze afwijking kan worden toegestaan voor medische doeleinden, waaronder de volksgezondheid en het beheer van medische hulpverleningsdiensten, met name om de kwaliteit en efficiëntie, vanuit het oogpunt van de kosten, te garanderen van de procedures die worden gebruikt om verzoeken om uitkeringen en diensten binnen de gezondheidszorg af te handelen. zorgverzekeringsstelsel, of voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden. Ook moet de verwerking van dergelijke persoonsgegevens, via een afwijking, worden toegestaan wanneer dit noodzakelijk is voor het vaststellen, uitoefenen of verdedigen van een recht voor de rechter, ongeacht of dit plaatsvindt binnen een
procedure bij de rechtbank of binnen een administratieve of buitengerechtelijke procedure.
(53) Speciale categorieën persoonsgegevens die een hoger beschermingsniveau vereisen, mogen alleen worden verwerkt voor gezondheidsgerelateerde doeleinden wanneer dit noodzakelijk is om deze doeleinden te verwezenlijken ten behoeve van natuurlijke personen en de samenleving in het algemeen, vooral in het kader van het beheer van de gezondheidszorg- of socialebijstandsdiensten en -systemen, met inbegrip van de verwerking van deze gegevens door de beheersautoriteiten en door de nationale centrale autoriteiten op het gebied van de gezondheidszorg met het oog op kwaliteitscontrole, het verstrekken van managementinformatie en het algemene toezicht op de gezondheidszorg of socialebijstandsstelsel op nationaal en lokaal niveau, maar ook in de context van het waarborgen van de continuïteit van medische of sociale bijstand en grensoverschrijdende medische bijstand of voor veiligheids-, bewakings- en gezondheidswaarschuwingsdoeleinden of voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historisch onderzoeksdoeleinden of voor statistische doeleinden op basis van het recht van de Unie of het interne recht, die een doelstelling van openbaar belang moeten nastreven, evenals in het geval van studies die in het algemeen belang op het gebied van de volksgezondheid worden uitgevoerd. Daarom moet deze verordening voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën persoonlijke gezondheidsgegevens, met het oog op specifieke behoeften, met name wanneer de verwerking van dergelijke gegevens voor bepaalde gezondheidsgerelateerde doeleinden wordt uitgevoerd door personen die onderworpen zijn aan een wettelijke verplichting. verplichting tot geheimhouding van het beroepsgeheim. Het recht van de Unie of het nationale recht moet voorzien in specifieke en passende maatregelen om de grondrechten en persoonsgegevens van natuurlijke personen te beschermen. De lidstaten moeten aanvullende voorwaarden, waaronder beperkingen, kunnen handhaven of invoeren met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gezondheidsgegevens. Dit mag echter het vrije verkeer van persoonsgegevens binnen de Unie niet belemmeren wanneer deze voorwaarden van toepassing zijn op de grensoverschrijdende verwerking van dergelijke gegevens.
(54) De verwerking van bijzondere categorieën persoonsgegevens kan noodzakelijk zijn om redenen van openbaar belang op het gebied van de volksgezondheid, zonder de toestemming van de betrokkene. Een dergelijke verwerking moet afhankelijk worden gesteld van passende en specifieke maatregelen die bedoeld zijn om de rechten en vrijheden van natuurlijke personen te beschermen. In deze context moet het concept van "volksgezondheid" worden geïnterpreteerd zoals gedefinieerd in Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (1), namelijk alle elementen die verband houden met de gezondheid en met name de gezondheidstoestand, inclusief ziekte of handicap, de bepalende factoren die een effect hebben op de gezondheidstoestand, de behoeften in op het gebied van de medische hulp, de middelen die zijn toegewezen aan de medische hulp, het verlenen van medische hulp en het garanderen van universele toegang daartoe, evenals de uitgaven en financieringsbronnen op gezondheidsgebied en de oorzaken van sterfte. Deze verwerking van gezondheidsgegevens om redenen van algemeen belang mag niet leiden tot de verwerking van deze gegevens voor andere doeleinden door derden, zoals werkgevers of verzekeringsmaatschappijen en banken.
(1) Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende gemeenschapsstatistieken met betrekking tot de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70).
(55) Bovendien wordt de verwerking van persoonsgegevens door overheidsinstanties om de doelstellingen van het grondwettelijk recht of het internationaal publiekrecht te verwezenlijken door officieel erkende religieuze verenigingen uitgevoerd om redenen van openbaar belang.
(56) Indien het functioneren van het democratische systeem in een lidstaat tijdens de verkiezingsactiviteiten vereist dat politieke partijen persoonsgegevens verzamelen over de politieke opvattingen van individuen, kan de verwerking van dergelijke gegevens worden toegestaan om redenen van openbaar belang, op voorwaarde dat de passende garanties worden geboden.
(57) Als de door een exploitant verwerkte persoonsgegevens hem niet in staat stellen een natuurlijke persoon te identificeren, mag de gegevensbeheerder niet verplicht zijn aanvullende informatie te verkrijgen om de betrokkene te identificeren, met als enig doel te voldoen aan een van de de bepalingen van deze verordening. De exploitant mag echter niet weigeren de door de betrokkene verstrekte aanvullende informatie te gebruiken ter ondersteuning van de uitoefening van zijn rechten. Identificatie moet de digitale identificatie van een betrokkene omvatten, bijvoorbeeld via mechanismen van
authenticatie, zoals dezelfde inloggegevens die door de betrokkene worden gebruikt om toegang te krijgen tot de onlinediensten die worden aangeboden door de gegevensbeheerder.
(58) Het transparantiebeginsel vereist dat alle informatie die tot het publiek of de betrokkene wordt gericht, beknopt, gemakkelijk toegankelijk en gemakkelijk te begrijpen is en dat er gebruik wordt gemaakt van eenvoudige en duidelijke taal, en waar nodig van visualisatie. Deze informatie zou in elektronische vorm kunnen worden verstrekt, bijvoorbeeld wanneer deze aan het publiek is gericht, via een website. Dit is vooral van belang in situaties waarin het vanwege de veelheid aan actoren en de vanuit technologisch oogpunt ingewikkelde praktijk van de praktijk moeilijk is voor de betrokkene om te weten en te begrijpen of de hem betreffende persoonsgegevens worden verzameld, door wie en voor welk doel, zoals in het geval van online adverteren. Omdat kinderen specifieke bescherming nodig hebben, moet alle informatie en communicatie, als de verwerking op een kind gericht is, in eenvoudige en duidelijke taal worden uitgedrukt, zodat het kind deze gemakkelijk kan begrijpen.
(59) Er moeten modaliteiten worden vastgesteld om de uitoefening door de betrokkene van de rechten die hem bij deze verordening zijn verleend, te vergemakkelijken, met inbegrip van de mechanismen waarmee hij met name gratis toegang tot persoonlijke toegang kan vragen en, indien nodig, kan verkrijgen. gegevens, evenals de rectificatie of verwijdering ervan, en de uitoefening van het recht op verzet. De exploitant moet ook mogelijkheden bieden om verzoeken elektronisch in te dienen, vooral als persoonsgegevens langs elektronische weg worden verwerkt. De exploitant moet de verplichting hebben om zonder onnodige vertraging en uiterlijk binnen een maand op de verzoeken van de betrokken personen te reageren en, indien hij niet van plan is aan deze verzoeken te voldoen, de redenen voor deze weigering op te geven (60 ) In overeenstemming met de beginselen van eerlijke verwerking en op transparante wijze wordt de betrokkene geïnformeerd over het bestaan van een verwerking en de doeleinden ervan. De exploitant moet de betrokkene alle aanvullende informatie verstrekken die nodig is om een eerlijke en transparante verwerking te garanderen, rekening houdend met de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Bovendien moet de betrokkene worden geïnformeerd over het aanmaken van profielen, evenals over de gevolgen ervan. Wanneer er persoonsgegevens van de betrokkene worden verzameld, moet hij ook geïnformeerd worden of hij verplicht is persoonsgegevens te verstrekken en wat de gevolgen zijn in geval van weigering. Deze informatie kan worden verstrekt in combinatie met gestandaardiseerde iconen om op een goed zichtbare, begrijpelijke en duidelijk leesbare manier een betekenisvol overzicht te geven van de beoogde verwerking. Als de pictogrammen in elektronisch formaat worden gepresenteerd, moeten ze automatisch kunnen worden gelezen.
(61) Informatie met betrekking tot de verwerking van persoonsgegevens over de betrokkene moet aan hem worden verstrekt op het moment dat deze bij de betrokkene wordt verzameld of, als de persoonsgegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, afhankelijk van de omstandigheden van het geval. Als de persoonsgegevens op legitieme wijze aan een andere ontvanger kunnen worden bekendgemaakt, moet de betrokkene op de hoogte worden gesteld wanneer de persoonsgegevens voor de eerste keer aan de ontvanger worden bekendgemaakt. Als de exploitant van plan is de persoonsgegevens te verwerken voor een ander doel dan waarvoor ze zijn verzameld, moet de exploitant de betrokkene, vóór deze verdere verwerking, informatie verstrekken over het respectieve secundaire doel en andere noodzakelijke informatie. Indien de herkomst van de persoonsgegevens niet aan de betrokkene kon worden meegedeeld omdat er gebruik werd gemaakt van verschillende bronnen, dient algemene informatie te worden verstrekt. (62) Het is echter niet nodig om de verplichting om informatie te verstrekken op te leggen als de betrokkene al over de informatie beschikt, als de registratie of openbaarmaking van persoonsgegevens uitdrukkelijk bij wet is geregeld of als de informatie aan de betrokkene blijkt te zijn verstrekt. onmogelijk is of onevenredige inspanningen zou vergen. Dit laatste zou vooral het geval kunnen zijn wanneer de verwerking wordt uitgevoerd voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden. In dit verband moet rekening worden gehouden met het aantal betrokkenen, de ouderdom van de gegevens en eventuele passende waarborgen.
(63) Een betrokkene moet recht hebben op toegang tot de verzamelde persoonsgegevens die hem betreffen en moet dit recht gemakkelijk en met redelijke tussenpozen uitoefenen, om geïnformeerd te worden over de verwerking en om de wettigheid ervan te verifiëren. Dit omvat het recht van betrokkenen op toegang tot hun gezondheidsgegevens, bijvoorbeeld gegevens uit hun administratie
medische dossiers met informatie zoals diagnoses, onderzoeksresultaten, evaluaties van behandelende artsen en eventuele uitgevoerde behandelingen of interventies. Elke betrokkene moet daarom het recht hebben om met name te weten en te worden geïnformeerd over de doeleinden waarvoor de gegevens worden verwerkt, indien mogelijk de periode waarvoor de persoonsgegevens worden verwerkt, de ontvangers van de persoonsgegevens, de logica van automatische verwerking van persoonsgegevens en, althans als deze gebaseerd is op het aanmaken van profielen, de gevolgen van een dergelijke verwerking. Indien dit mogelijk is, moet de verantwoordelijke voor de verwerking op afstand toegang kunnen verlenen tot een beveiligd systeem, waardoor de betrokkene rechtstreeks toegang krijgt tot zijn persoonsgegevens. Dit recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, inclusief bedrijfsgeheimen of intellectueel eigendom en in het bijzonder auteursrechten die de bescherming van softwareprogramma's garanderen. Bovenstaande overwegingen mogen echter niet resulteren in de weigering om alle informatie aan de betrokkene te verstrekken. Wanneer de exploitant een grote hoeveelheid informatie over de betrokkene verwerkt, moet de exploitant kunnen verzoeken dat de betrokkene, voordat de informatie wordt verstrekt, specificeert op welke informatie of verwerkingsactiviteiten zijn verzoek betrekking heeft. (64) De exploitant moet alle redelijke stappen ondernemen om de identiteit te verifiëren van een betrokkene die om toegang tot gegevens verzoekt, met name in de context van onlinediensten en online-identificatoren. Een exploitant mag persoonsgegevens niet bewaren met als enig doel te kunnen reageren op mogelijke verzoeken.
(65) Een betrokkene moet het recht hebben op rectificatie van persoonsgegevens die hem betreffen en het "recht om vergeten te worden", indien het bewaren van deze gegevens in strijd is met deze verordening of met het recht van de Unie of met het interne recht waaronder de exploitant valt. In het bijzonder moeten betrokkenen het recht hebben om hun persoonsgegevens te laten verwijderen en niet langer te laten verwerken, als de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor ze worden verzameld of verwerkt, als de betrokkenen hun toestemming hebben ingetrokken voor verwerking of in het geval dat zij zich verzetten tegen de verwerking van hun persoonsgegevens of in het geval dat de verwerking van hun persoonsgegevens niet in overeenstemming is met deze regelgeving. Dit recht is met name relevant als de betrokkene als kind toestemming heeft gegeven en zich niet volledig bewust was van de risico's die aan de verwerking verbonden zijn, en deze persoonsgegevens vervolgens wil verwijderen, vooral van internet. De betrokkene moet de mogelijkheid hebben dit recht uit te oefenen, ondanks het feit dat hij geen kind meer is. Het voortgezet bewaren van persoonsgegevens moet echter legaal zijn als het noodzakelijk is om het recht op vrijheid van meningsuiting en informatie uit te oefenen, om te voldoen aan een wettelijke verplichting, om een taak te vervullen die een openbaar belang dient of die voortvloeit uit de uitoefening van de overheidsinstantie waarbij de exploitant berust, om redenen van openbaar belang op het gebied van de volksgezondheid, voor archiveringsdoeleinden van algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden of voor vaststelling, het uitoefenen of verdedigen van een recht voor de rechter.
(66) Om het "recht om vergeten te worden" in de onlineomgeving te versterken, moet het recht op verwijdering worden uitgebreid, zodat een exploitant die persoonsgegevens openbaar heeft gemaakt, de verplichting moet hebben om de exploitanten die deze gegevens verwerken, te informeren om eventuele links naar de betreffende gegevens of kopieën of reproducties daarvan te verwijderen. Voor dit doel moet de betrokken exploitant redelijke maatregelen nemen, rekening houdend met de beschikbare technologie en de middelen waarover hij beschikt, inclusief technische maatregelen, om de exploitanten die de persoonsgegevens verwerken te informeren over het verzoek van de betrokkene.
(67) De methoden om de verwerking van persoonsgegevens te beperken kunnen onder meer het tijdelijk verplaatsen van geselecteerde persoonsgegevens naar een ander verwerkingssysteem omvatten, of het annuleren van de toegang van gebruikers tot de geselecteerde gegevens of het tijdelijk verwijderen van gegevens die zijn gepubliceerd door op een website. Wat de geautomatiseerde gegevensregistratiesystemen betreft, moet de beperking van de verwerking in beginsel op zodanige wijze met technische middelen worden gewaarborgd dat de persoonsgegevens niet aan verdere verwerkingen worden onderworpen en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het systeem worden aangegeven.
(68) Om de controle over zijn eigen gegevens verder te vergroten, moet de betrokkene, indien de persoonsgegevens op automatische wijze worden verwerkt, de persoonsgegevens die hem betreffen en die hij aan een exploitant heeft verstrekt, kunnen ontvangen in een gestructureerd formaat dat momenteel wordt gebruikt, automatisch wordt verwerkt en interoperabel is en om ze naar een andere operator te kunnen verzenden. Gegevensexploitanten moeten worden aangemoedigd om interoperabele formaten te ontwikkelen die gegevensportabiliteit mogelijk maken. Dit recht moet van toepassing zijn als de betrokkene de persoonsgegevens heeft verstrekt op basis van zijn eigen toestemming of als de gegevensverwerking noodzakelijk is voor de uitvoering van een contract. Dit recht mag niet van toepassing zijn als de verwerking gebaseerd is op een andere rechtsgrond dan toestemming of contract. Door zijn aard mag dit recht niet worden uitgeoefend tegen exploitanten die persoonsgegevens verwerken bij de uitoefening van hun publieke functies. Het mag met name niet van toepassing zijn als de verwerking van persoonsgegevens noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan de exploitant is onderworpen of in het geval van de uitvoering van een taak die een openbaar belang dient of voortvloeit uit de uitoefening van een autoriteitspubliek waarmee de exploitant verbonden is. Het recht van de betrokkene om hem betreffende persoonsgegevens door te geven of te ontvangen mag voor de exploitanten niet de verplichting met zich meebrengen om verwerkingssystemen in te voeren of te onderhouden die vanuit technisch oogpunt verenigbaar zijn. Indien bij een bepaalde set persoonsgegevens meerdere betrokkenen betrokken zijn, mag het recht om persoonsgegevens te ontvangen geen afbreuk doen aan de rechten en vrijheden van andere betrokkenen, conform deze verordening. Dit recht mag ook geen afbreuk doen aan het recht van de betrokkene om de verwijdering van persoonsgegevens te verkrijgen en aan de beperkingen van dat recht, zoals bepaald in deze verordening, en mag in het bijzonder niet de verwijdering van die persoonsgegevens inhouden. betrokkene die door hem zijn verstrekt voor de uitvoering van een overeenkomst, voor zover en zolang de betreffende gegevens noodzakelijk zijn voor de uitvoering van de overeenkomst. De betrokkene moet het recht hebben om persoonsgegevens rechtstreeks van de ene exploitant naar de andere te laten doorgeven, indien dit technisch haalbaar is.
(69) In gevallen waarin persoonsgegevens legaal kunnen worden verwerkt omdat de verwerking noodzakelijk is voor de uitvoering van een taak die een openbaar belang dient of die voortvloeit uit de uitoefening van openbaar gezag waarmee de exploitant is belast of die gebaseerd is op de legitieme belangen van een exploitant of een derde partij is, moet een betrokkene nog steeds het recht hebben om bezwaar te maken tegen de verwerking van persoonsgegevens die verband houden met zijn specifieke situatie. Het moet de verantwoordelijkheid van de exploitant zijn om aan te tonen dat zijn legitieme en dwingende belangen prevaleren boven de belangen of fundamentele rechten en vrijheden van de betrokkene.
(70) Als persoonsgegevens worden verwerkt voor direct marketingdoeleinden, moet de betrokkene het recht hebben om zich te verzetten tegen een dergelijke verwerking, met inbegrip van het aanmaken van profielen voor zover deze verband houdt met direct marketing, ongeacht of de verwerking in kwestie de eerste of volgende, op elk moment en gratis. Dit recht moet expliciet onder de aandacht van de betrokkene worden gebracht en duidelijk en gescheiden van alle andere informatie worden gepresenteerd.
(71) De betrokkene moet het recht hebben om niet te worden onderworpen aan een besluit, dat een maatregel kan omvatten, waarbij persoonlijke aspecten van de betrokkene worden beoordeeld, die uitsluitend gebaseerd is op
automatische verwerking en die rechtsgevolgen met zich meebrengt die de betrokkene aangaan of hem op soortgelijke wijze in aanzienlijke mate treffen, zoals de automatische weigering van een online kredietaanvraag of elektronische wervingspraktijken, zonder menselijke tussenkomst. Dergelijke verwerking omvat ‘profilering’, wat bestaat uit elke vorm van automatische verwerking van persoonsgegevens
door het evalueren van de persoonlijke aspecten die verband houden met een natuurlijke persoon, vooral om bepaalde aspecten met betrekking tot de prestaties op de werkplek van de betrokken persoon, de economische situatie, de gezondheidstoestand, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag te analyseren of te voorspellen,
de locatie of verplaatsingen, wanneer dit rechtsgevolgen met zich meebrengt die de betrokkene aangaan of hem op soortgelijke wijze in aanzienlijke mate treffen. Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, moet echter worden toegestaan wanneer dit uitdrukkelijk is toegestaan door het recht van de Unie of het nationale recht dat op de exploitant van toepassing is, onder meer met het doel
het monitoren en voorkomen van fraude en belastingontduiking, uitgevoerd in overeenstemming met de regelgeving,
de normen en aanbevelingen van de instellingen van de Unie of nationale toezichthoudende organen, en om de veiligheid en betrouwbaarheid te garanderen van een dienst die door de exploitant wordt aangeboden of, indien deze
noodzakelijk is voor het sluiten of uitvoeren van een contract tussen de betrokkene en een exploitant of indien de betrokkene uitdrukkelijk toestemming heeft gegeven. In ieder geval moet een dergelijke verwerking onderworpen zijn aan passende garanties, waaronder specifieke informatie over de betrokkene en zijn recht op menselijke tussenkomst, om
zijn standpunt kenbaar te maken, om uitleg te krijgen over het besluit dat na een dergelijke evaluatie is genomen,
evenals het recht om tegen de beslissing in beroep te gaan. Een dergelijke maatregel mag niet betrekking hebben op een kind.
Om een eerlijke en transparante verwerking ten aanzien van de betrokkene te garanderen, met inachtname van
gezien de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt, moet de exploitant geschikte wiskundige of statistische procedures gebruiken voor het aanmaken van profielen, passende technische en organisatorische maatregelen implementeren om er met name voor te zorgen dat de factoren die leiden tot onnauwkeurigheden van de gegevens van een persoonsgegevens natuur zijn gecorrigeerd en dat de kans op fouten groot is
tot een minimum worden beperkt, en om persoonsgegevens te beveiligen op een manier die rekening houdt met de potentiële gevaren voor de belangen en rechten van de betrokkene en om onder meer discriminerende gevolgen voor mensen op basis van ras of etnische achtergrond te voorkomen afkomst, meningen politiek, religie
of overtuigingen, lidmaatschap van een vakbond, genetische kenmerken, gezondheidstoestand of seksuele geaardheid of verwerking die leidt tot maatregelen die dergelijke effecten hebben. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens moeten worden toegestaan
alleen onder specifieke omstandigheden.
(op 23 mei 2018, paragraaf (71
) gecorrigeerd door punt 1. van de Correctie van 23 mei 2018 )
(72) Het aanmaken van profielen is onderworpen aan de regels van deze verordening die de verwerking van persoonsgegevens reguleren, zoals de rechtsgrondslagen van de verwerking of de beginselen van gegevensbescherming. Het bij deze verordening opgerichte Europees Comité voor gegevensbescherming (“het Comité”) zou in dit verband richtlijnen moeten kunnen uitvaardigen.
(73) Het recht van de Unie of het interne recht kan beperkingen opleggen met betrekking tot specifieke beginselen, met betrekking tot het recht op informatie, het recht op toegang tot persoonsgegevens en de rectificatie of verwijdering ervan, met betrekking tot het recht op gegevensportabiliteit, het recht op verzet, van besluiten op basis van het aanmaken van profielen, evenals met betrekking tot de mededeling van een inbreuk op de beveiliging van persoonsgegevens aan de betrokkene en bepaalde daarmee samenhangende verplichtingen van de exploitanten, voor zover dit in een democratische samenleving noodzakelijk en evenredig is met het oog op de openbare veiligheid wordt gegarandeerd, inclusief de bescherming van mensenlevens, vooral als reactie op natuurrampen of door de mens veroorzaakte rampen, het voorkomen, onderzoeken en vervolgen van misdaden of de uitvoering van vonnissen, inclusief bescherming tegen bedreigingen voor de openbare veiligheid of tegen ethische schendingen in het geval van gereglementeerde beroepen en de preventie ervan, andere belangrijke doelstellingen van algemeen openbaar belang van de Unie of van een lidstaat, in het bijzonder een belangrijk economisch of financieel belang van de Unie of van een lidstaat, het bijhouden van openbare registers om redenen van algemeen openbaar belang , de daaropvolgende verwerking van persoonlijke gegevens die zijn gearchiveerd om specifieke informatie door te geven met betrekking tot politiek gedrag tijdens de regimes van voormalige totalitaire staten, de bescherming van de betrokkene of de rechten en vrijheden van derden, waaronder sociale bescherming, volksgezondheid en humanitaire doeleinden. Deze beperkingen moeten voldoen aan de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.
(74) De verantwoordelijkheid en aansprakelijkheid van de exploitant moet worden vastgesteld voor elke verwerking van persoonsgegevens die door hem of namens hem wordt uitgevoerd. In het bijzonder moet de exploitant verplicht worden adequate en effectieve maatregelen te nemen en de conformiteit van de verwerkingsactiviteiten met deze verordening, inclusief de effectiviteit van de maatregelen, aan te kunnen tonen. Bij deze maatregelen moet rekening worden gehouden met de aard, omvang, context en doeleinden van de verwerking, evenals met het risico voor de rechten en vrijheden van natuurlijke personen.
(75) Het risico voor de rechten en vrijheden van natuurlijke personen, dat verschillende mate van waarschijnlijkheid en ernst vertoont, kan het resultaat zijn van een verwerking van persoonsgegevens die schade van fysieke, materiële of morele aard zou kunnen veroorzaken, vooral in gevallen waarbij: verwerking kan leiden tot discriminatie, identiteitsdiefstal of fraude, financieel verlies, compromittering
reputatie, verlies van vertrouwelijkheid van persoonsgegevens die beschermd zijn door het beroepsgeheim, ongeoorloofde ongedaanmaking van pseudonimisering of enig ander aanzienlijk nadeel van economische of sociale aard; betrokkenen zouden van hun rechten en vrijheden kunnen worden beroofd of kunnen worden verhinderd controle uit te oefenen over hun persoonsgegevens; verwerkte persoonsgegevens zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of filosofische overtuigingen, lidmaatschap van een vakbond blijken; genetische gegevens, gezondheidsgegevens of gegevens over het seksleven of strafrechtelijke veroordelingen en overtredingen of daarmee verband houdende veiligheidsmaatregelen worden verwerkt; aspecten van persoonlijke aard worden geëvalueerd, met name de analyse of voorspelling van aspecten met betrekking tot prestaties op het werk, de economische situatie, de gezondheidstoestand, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of reizen, om persoonlijke profielen aan te maken of ; persoonsgegevens van kwetsbare personen, vooral kinderen, worden verwerkt; of de verwerking betreft een grote hoeveelheid persoonsgegevens en heeft gevolgen voor een groot aantal betrokkenen.
(76) De waarschijnlijkheid van verwezenlijking en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald afhankelijk van de aard, reikwijdte, context en doeleinden van de verwerking van persoonsgegevens. Het risico moet worden beoordeeld op basis van een objectieve beoordeling, waarbij wordt vastgesteld of de gegevensverwerkingen een risico of een hoog risico met zich meebrengen. (77) Richtsnoeren voor de implementatie van passende maatregelen en voor het aantonen van naleving door de exploitant of de door de exploitant gemachtigde persoon, met name met betrekking tot de identificatie van het risico dat verband houdt met de verwerking, de evaluatie ervan vanuit het oogpunt van oorsprong, aard , de waarschijnlijkheid van materialisatie en de ernst ervan, evenals de identificatie van goede praktijken om het risico te beperken, kunnen met name worden verstrekt via goedgekeurde gedragscodes, goedgekeurde certificeringen, richtlijnen van commissies of via aanwijzingen van een functionaris voor gegevensbescherming. Het Comité kan ook richtsnoeren uitbrengen over verwerkingen waarvan het onwaarschijnlijk wordt geacht dat ze een hoog risico voor de rechten en vrijheden van natuurlijke personen inhouden en de maatregelen aangeven die in dergelijke gevallen voldoende kunnen blijken om een dergelijk risico aan te pakken.
(78) De bescherming van de rechten en vrijheden van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens vereist de vaststelling van passende technische en organisatorische maatregelen om de naleving van de vereisten van deze verordening te garanderen. Om de naleving van deze verordening te kunnen aantonen, moet de exploitant intern beleid aannemen en maatregelen implementeren die met name het beginsel van gegevensbescherming respecteren vanaf het moment van conceptie en dat van impliciete gegevensbescherming. Dergelijke maatregelen zouden onder meer kunnen bestaan uit het minimaliseren van de verwerking van persoonsgegevens, het zo snel mogelijk pseudonimiseren van deze gegevens, transparantie met betrekking tot de functies en verwerking van persoonsgegevens, het in staat stellen van de betrokkene om toezicht te houden op de gegevensverwerking, het in staat stellen van de exploitant om veiligheidselementen te creëren en verbeter ze. Bij het ontwikkelen, ontwerpen, selecteren en gebruiken van applicaties, diensten en producten die afhankelijk zijn van de verwerking van persoonsgegevens of die persoonsgegevens verwerken om hun rol te vervullen, moeten de fabrikanten van deze producten en de aanbieders van deze diensten en applicaties worden aangemoedigd om rekening te houden rekening houden met het recht op gegevensbescherming op het moment van de ontwikkeling en het ontwerp van dergelijke producten, diensten en toepassingen en, rekening houdend met de huidige ontwikkelingsfase, om ervoor te zorgen dat de exploitanten en door de exploitanten geautoriseerde personen in staat zijn hun verplichtingen na te komen met betrekking tot tot gegevensbescherming. Het beginsel van gegevensbescherming vanaf het moment van conceptie en dat van impliciete gegevensbescherming moeten ook in aanmerking worden genomen in de context van openbare aanbestedingen.
(79) De bescherming van de rechten en vrijheden van betrokkenen, evenals de verantwoordelijkheid en aansprakelijkheid van exploitanten en door de exploitant gemachtigde personen, onder meer wat betreft het toezicht door de toezichthoudende autoriteiten en de door hen getroffen maatregelen, vereist een duidelijke toewijzing van de verantwoordelijkheden op grond van deze verordening, ook als een exploitant samen met andere exploitanten de doeleinden en middelen van de verwerking vaststelt of als een verwerking namens een exploitant wordt uitgevoerd.
(80) Wanneer een exploitant of een door de exploitant gemachtigde persoon die niet in de Unie is gevestigd, persoonsgegevens verwerkt van betrokkenen die zich op het grondgebied van de Unie bevinden, en
zijn verwerkingsactiviteiten houden verband met de levering van goederen of diensten aan dergelijke betrokkenen in de Unie, ongeacht of er al dan niet om een betaling wordt verzocht door de betrokkene, of met het monitoren van het gedrag van betrokkenen als dit binnen de Unie plaatsvindt moet de exploitant of de door de exploitant gemachtigde persoon een vertegenwoordiger aanwijzen, tenzij de verwerking incidenteel van aard is en niet de grootschalige verwerking van bijzondere categorieën persoonsgegevens omvat, noch de verwerking van gegevens die verband houden met strafrechtelijke veroordelingen en strafbare feiten , en het is onwaarschijnlijk dat dit een risico zal opleveren voor de rechten en vrijheden van natuurlijke personen, gezien de aard, context, reikwijdte en doeleinden van de verwerking, evenals het geval waarin de exploitant een overheidsinstantie of een overheidsinstantie is. De vertegenwoordiger moet optreden namens de exploitant of de door de exploitant gemachtigde persoon en moet door elke toezichthoudende autoriteit gecontacteerd kunnen worden. De vertegenwoordiger moet expliciet worden aangewezen, via een schriftelijk mandaat van de exploitant of de door de exploitant gemachtigde persoon, om namens hem/haar op te treden met betrekking tot hun verplichtingen uit hoofde van deze verordening. De benoeming van een dergelijke vertegenwoordiger heeft geen invloed op de verantwoordelijkheid of aansprakelijkheid van de exploitant of de persoon die krachtens deze verordening door de exploitant is gemachtigd. Een dergelijke vertegenwoordiger moet zijn taken uitvoeren in overeenstemming met het mandaat dat hij heeft ontvangen van de exploitant of de door de exploitant gemachtigde persoon, en moet onder meer samenwerken met de bevoegde toezichthoudende autoriteiten met betrekking tot eventuele maatregelen die worden genomen om de naleving van deze verordening te garanderen. De aangewezen vertegenwoordiger moet onderworpen zijn aan procedures om naleving van de wet te garanderen in geval van niet-naleving van deze verordening door de exploitant of door de door de exploitant gemachtigde persoon.
(81) Om ervoor te zorgen dat wordt voldaan aan de eisen die deze verordening stelt met betrekking tot de verwerking die namens de exploitant moet worden uitgevoerd door de door de exploitant gemachtigde persoon, moet bij het toekennen van verwerkingsactiviteiten aan een door de exploitant gemachtigde persoon laatstgenoemde mogen alleen bevoegde personen inzetten die voldoende garanties bieden, vooral op het gebied van specialistische kennis, betrouwbaarheid en middelen, om technische en organisatorische maatregelen te implementeren die voldoen aan de eisen die deze verordening stelt, onder meer op het gebied van de beveiliging van de verwerking. Het naleven door de door de exploitant gemachtigde persoon van een goedgekeurde gedragscode of van een goedgekeurd certificeringsmechanisme kan worden gebruikt als element om de naleving van de verplichtingen van de exploitant aan te tonen. De uitvoering van de verwerking door een door een exploitant gemachtigde persoon moet worden geregeld in een contract of een ander soort rechtshandeling, gebaseerd op het recht van de Unie of het nationale recht, die verplichtingen schept voor de door de exploitant gemachtigde persoon ten opzichte van de exploitant en waarin het voorwerp en de duur van de verwerking, de aard en doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokken personen worden vastgelegd, en waarbij rekening moet worden gehouden met de specifieke taken en verantwoordelijkheden van de persoon die in de context door de exploitant is gemachtigd van de uit te voeren verwerking, evenals het risico voor de rechten en vrijheden van de betrokkene. De exploitant en de door de exploitant gemachtigde persoon kunnen ervoor kiezen gebruik te maken van een individueel contract of standaardcontractbepalingen die hetzij rechtstreeks door de Commissie, hetzij door een toezichthoudende autoriteit worden aangenomen in overeenstemming met het consistentiemechanisme en vervolgens door de Commissie worden aangenomen. Na voltooiing van de verwerking namens de exploitant moet de door de exploitant gemachtigde persoon de persoonsgegevens teruggeven of verwijderen, afhankelijk van de keuze van de exploitant, tenzij er een vereiste bestaat om persoonsgegevens op te slaan op grond van het recht van de Unie of van het interne recht dat dit vaststelt verplichtingen voor de door de exploitant gemachtigde persoon.
(82) Om de naleving van deze verordening aan te tonen, moet de exploitant of de door de exploitant gemachtigde persoon registers bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid vallen. Elke exploitant en elke door de exploitant gemachtigde persoon moet verplicht zijn samen te werken met de toezichthoudende autoriteit en deze gegevens op verzoek aan haar ter beschikking te stellen, zodat deze kunnen worden gebruikt voor het toezicht op de respectieve verwerkingsactiviteiten. (83) Om de veiligheid te handhaven en verwerking te voorkomen die in strijd is met deze verordening, moet de exploitant of de door de exploitant gemachtigde persoon de risico's beoordelen die inherent zijn aan de verwerking en maatregelen implementeren om deze risico's te beperken, zoals encryptie. Deze maatregelen moeten een passend beveiligingsniveau garanderen, met inbegrip van vertrouwelijkheid, rekening houdend met de huidige stand van de ontwikkeling en de implementatiekosten in relatie tot de risico's en de aard van de gegevens waarmee
persoonlijk karakter waarvan de bescherming moet worden gewaarborgd. Bij het beoordelen van het risico voor de veiligheid van persoonsgegevens moet aandacht worden besteed aan de risico’s die gepaard gaan met gegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking of ongeoorloofde toegang tot persoonsgegevens die op een andere manier, per ongeluk of per ongeluk worden verzonden, opgeslagen of verwerkt. illegaal, wat met name kan leiden tot fysieke, materiële of morele schade.
(84) Om de naleving van de bepalingen van deze verordening te bevorderen in gevallen waarin verwerkingsactiviteiten waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengen, moet de exploitant verantwoordelijk zijn voor het uitvoeren van een effectbeoordeling op de gegevensbescherming, waarin met name de oorsprong, de aard, de specificiteit en de ernst van dit risico worden ingeschat. Met het resultaat van de beoordeling moet rekening worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat de verwerking van persoonsgegevens in overeenstemming is met deze verordening. Als uit een beoordeling van de impact op de gegevensbescherming blijkt dat de verwerkingen een hoog risico met zich meebrengen, dat de exploitant niet kan mitigeren door passende maatregelen in termen van de beschikbare technologie en de implementatiekosten, moet er overleg plaatsvinden met de gegevensbeschermingsautoriteit vóór verwerking.
(85) Als het probleem niet tijdig en op adequate wijze wordt opgelost, kan een inbreuk op de beveiliging van persoonsgegevens leiden tot fysieke, materiële of morele schade voor natuurlijke personen, zoals het verlies van controle over hun persoonsgegevens of de beperking van hun rechten, discriminatie, identiteitsdiefstal of fraude, financieel verlies, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van persoonsgegevens beschermd door het beroepsgeheim of enig ander aanzienlijk nadeel van economische of sociale aard voor de natuurlijke persoon in kwestie. Daarom moet de exploitant, zodra hij zich bewust is geworden van een inbreuk op de beveiliging van persoonsgegevens, de toezichthoudende autoriteit onverwijld en, indien mogelijk, uiterlijk 72 uur nadat hij kennis heeft genomen van het bestaan ervan, op de hoogte stellen van deze inbreuk, tenzij de exploitant in overeenstemming met het verantwoordelijkheidsbeginsel kunnen aantonen dat de inbreuk op de beveiliging van persoonsgegevens waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de kennisgeving niet binnen 72 uur kan worden gedaan, moet de reden voor de vertraging worden vermeld en kan de informatie geleidelijk en zonder verdere vertraging worden verstrekt.
(86) De exploitant moet de betrokkene zonder onnodige vertraging op de hoogte stellen van een inbreuk op de beveiliging van persoonsgegevens, wanneer de inbreuk waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van de natuurlijke persoon, zodat hij de mogelijkheid heeft om de noodzakelijke voorzorgsmaatregelen. De mededeling moet de aard van de inbreuk op de beveiliging van persoonsgegevens beschrijven en aanbevelingen bevatten voor de natuurlijke persoon in kwestie om eventuele negatieve gevolgen te beperken. Mededelingen aan de betrokkenen moeten zo snel als redelijkerwijs mogelijk plaatsvinden en in nauwe samenwerking met de toezichthoudende autoriteit, met inachtneming van de richtlijnen van de toezichthoudende autoriteit of van andere bevoegde autoriteiten, zoals wetshandhavingsautoriteiten. De noodzaak om een onmiddellijk risico op schade te beperken zou bijvoorbeeld onmiddellijke communicatie met de betrokkenen vereisen, terwijl de noodzaak om passende maatregelen te nemen tegen verdere inbreuken op de beveiliging van persoonsgegevens of soortgelijke inbreuken op de beveiliging van persoonsgegevens een langere termijn voor communicatie zou kunnen rechtvaardigen. (87) Er moet worden vastgesteld of alle passende technologische beschermings- en organisatorische maatregelen zijn geïmplementeerd om onmiddellijk vast te stellen of er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden en om de toezichthoudende autoriteit en de beoogde persoon onmiddellijk op de hoogte te stellen. Bij het vaststellen van het feit dat de kennisgeving zonder onnodige vertraging is gedaan, moet met name rekening worden gehouden met de aard en de ernst van de inbreuk op de beveiliging van persoonsgegevens, evenals met de gevolgen en negatieve gevolgen ervan voor de betrokkene. Deze melding kan leiden tot een tussenkomst van de toezichthouder, overeenkomstig de taken en bevoegdheden die in deze regeling zijn vastgelegd.
(88) Bij het vaststellen van gedetailleerde regels met betrekking tot het formaat en de procedures die van toepassing zijn op de kennisgeving van inbreuken op de beveiliging van persoonsgegevens, moet de nodige aandacht worden besteed aan de omstandigheden waarin de inbreuk heeft plaatsgevonden, inclusief het vaststellen of de bescherming van persoonsgegevens
persoonlijke gegevens al dan niet werden gewaarborgd door passende technische beschermingsmaatregelen, die de kans op identiteitsfraude of andere vormen van misbruik effectief zouden beperken. Bovendien moeten dergelijke regels en procedures rekening houden met de legitieme belangen van wetshandhavingsautoriteiten in gevallen waarin vroegtijdige openbaarmaking het onderzoek naar de omstandigheden waarin een inbreuk op persoonsgegevens heeft plaatsgevonden onnodig zou kunnen bemoeilijken.
(89) Richtlijn 95/46/EG voorzag in een algemene verplichting om de verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Hoewel de respectieve verplichting administratieve en financiële lasten met zich meebrengt, heeft deze niet altijd bijgedragen aan een betere bescherming van persoonsgegevens. Daarom moeten dergelijke ongedifferentieerde algemene kennisgevingsverplichtingen worden ingetrokken en vervangen door effectieve procedures en mechanismen die zich in plaats daarvan richten op die soorten verwerkingsactiviteiten die waarschijnlijk een hoog risico met zich meebrengen voor de rechten en vrijheden van natuurlijke personen, door hun aard, door hun reikwijdte, door hun context en hun doelstellingen. Dergelijke soorten verwerkingen kunnen met name het gebruik van nieuwe technologieën veronderstellen of een nieuw soort verwerking vertegenwoordigen, waarvoor voorheen geen gegevensbeschermingseffectbeoordeling door de exploitant is uitgevoerd of die noodzakelijk worden op de datum waarop de exploitant de gegevensbescherming beïnvloedt. periode die is verstreken sinds de eerste verwerking.
(90) In dergelijke gevallen moet de exploitant vóór de verwerking een beoordeling uitvoeren van de impact op de gegevensbescherming, om de specifieke mate van waarschijnlijkheid van de verwezenlijking van het hoge risico en de ernst ervan te beoordelen, rekening houdend met de aard, de reikwijdte , de context en doeleinden van de verwerking, evenals de bronnen van risico. De respectieve effectbeoordeling moet met name de maatregelen, garanties en mechanismen omvatten die worden overwogen om het respectieve risico te beperken, de bescherming van persoonsgegevens te waarborgen en de naleving van deze verordening aan te tonen.
(91) Dit moet met name gelden voor grootschalige verwerkingsactiviteiten, die gericht zijn op de verwerking van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau, die gevolgen kunnen hebben voor een groot aantal beoogde personen en die waarschijnlijk gevolgen zullen hebben voor een hoog risico opleveren, bijvoorbeeld vanwege de gevoeligheid ervan, als, in overeenstemming met het bereikte niveau van technologische kennis, op grote schaal een nieuwe technologie wordt gebruikt, evenals andere verwerkingen die een hoog risico met zich meebrengen voor de rechten en vrijheden van de betrokkenen, vooral als de respectieve handelingen de mogelijkheden van de betrokkenen om hun rechten uit te oefenen beperken. Een beoordeling van de gevolgen voor de gegevensbescherming moet ook worden uitgevoerd in situaties waarin persoonsgegevens worden verwerkt met het doel besluiten te nemen die gericht zijn op bepaalde natuurlijke personen, na een systematische en alomvattende beoordeling van de persoonlijke aspecten van natuurlijke personen, op basis van het creëren van profielen voor de betreffende gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens, biometrische gegevens of gegevens over strafrechtelijke veroordelingen en overtredingen of daarmee samenhangende veiligheidsmaatregelen. Een beoordeling van de impact op de gegevensbescherming is eveneens noodzakelijk voor de grootschalige monitoring van voor het publiek toegankelijke gebieden, vooral in het geval van het gebruik van opto-elektronische apparaten of voor andere handelingen waarbij de bevoegde toezichthoudende autoriteit van oordeel is dat de verwerking waarschijnlijk is. een hoog risico opleveren voor de rechten en vrijheden van betrokkenen, met name omdat ze de betrokkenen beletten een recht uit te oefenen of gebruik te maken van een dienst of contract, of omdat ze systematisch op grote schaal worden uitgevoerd. De verwerking van persoonsgegevens mag niet als grootschalig worden beschouwd als de verwerking betrekking heeft op persoonsgegevens van patiënten of cliënten door een bepaalde arts, andere beroepsbeoefenaar in de gezondheidszorg of advocaat. In deze gevallen zou een gegevensbeschermingseffectbeoordeling niet verplicht moeten zijn.
(92) In sommige omstandigheden kan het redelijk en economisch nuttig zijn dat een gegevensbeschermingseffectbeoordeling een breder perspectief heeft dan dat van een enkel project, bijvoorbeeld wanneer autoriteiten of overheidsinstanties van plan zijn een gemeenschappelijk toepassings- of verwerkingsplatform op te zetten of in het geval verschillende operatoren zijn van plan een gemeenschappelijke toepassing of een gemeenschappelijke verwerkingsomgeving te introduceren binnen een industriële sector of segment of voor een horizontale activiteit die op grote schaal wordt gebruikt.
(93) In het kader van de vaststelling van de nationale wetgeving waarop de vervulling van de taken van de overheidsinstantie of het openbaar lichaam is gebaseerd en die de betrokken handeling of reeks van verwerkingen regelt, kunnen de lidstaten het nodig achten om een dergelijke beoordeling uitvoeren voordat de verwerkingsactiviteiten worden uitgevoerd.
(94) Indien uit een effectbeoordeling op de gegevensbescherming blijkt dat de verwerking, bij gebrek aan garanties, veiligheidsmaatregelen en risicobeperkende mechanismen, een hoog risico zou opleveren voor de rechten en vrijheden van natuurlijke personen, en de exploitant van oordeel is dat dit risico niet niet met redelijke middelen kan worden beperkt in termen van beschikbare technologieën en implementatiekosten, moet de toezichthoudende autoriteit worden geraadpleegd voordat met de verwerkingsactiviteiten wordt begonnen. Een dergelijk hoog risico ontstaat waarschijnlijk door bepaalde vormen van verwerking, maar ook door de omvang en frequentie van de verwerking, die ook tot schade kunnen leiden of de rechten en vrijheden van natuurlijke personen kunnen aantasten. De toezichthouder dient binnen een bepaalde termijn op het verzoek om overleg te reageren. Het uitblijven van een reactie van de toezichthoudende autoriteit binnen de betreffende termijn mag echter geen invloed hebben op een eventuele tussenkomst van de toezichthoudende autoriteit in overeenstemming met haar taken en bevoegdheden waarin deze verordening voorziet, met inbegrip van de bevoegdheid om verwerkingsactiviteiten te verbieden. Als onderdeel van dit raadplegingsproces kan het resultaat van een gegevensbeschermingseffectbeoordeling die met betrekking tot de betreffende verwerking is uitgevoerd, aan de toezichthoudende autoriteit worden doorgegeven, met name de maatregelen die worden overwogen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.
(95) De door de exploitant gemachtigde persoon moet de exploitant, indien nodig en op verzoek, bijstaan bij het waarborgen van de naleving van de verplichtingen die voortvloeien uit het uitvoeren van gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met de toezichthoudende autoriteit.
(96) Tijdens de uitwerking van een wet- of regelgevende maatregel die voorziet in de verwerking van persoonsgegevens, moet ook een raadpleging van de toezichthoudende autoriteit plaatsvinden om de overeenstemming van de overwogen verwerking met deze verordening te garanderen en vooral om de risico’s te beperken het risico waaraan de betrokkene wordt blootgesteld.
(97) Als de verwerking wordt uitgevoerd door een overheidsinstantie, met uitzondering van rechtbanken of onafhankelijke gerechtelijke autoriteiten die optreden in hun gerechtelijke hoedanigheid, als de verwerking in de particuliere sector wordt uitgevoerd door een exploitant wiens hoofdactiviteit bestaat uit verwerkingen die een regelmatige en systematische monitoring van de betrokken personen op grote schaal vereisen, of indien de hoofdactiviteit van de exploitant of de door de exploitant gemachtigde persoon bestaat uit de grootschalige verwerking van bijzondere categorieën van persoonsgegevens en gegevens met betrekking tot strafrechtelijke Bij veroordelingen en overtredingen moet een persoon met gespecialiseerde kennis van de wetgeving en praktijken op het gebied van gegevensbescherming de exploitant of de door de exploitant gemachtigde persoon bijstaan om toezicht te houden op de interne naleving van deze verordening. In de private sector hebben de hoofdactiviteiten van een operator betrekking op zijn kernactiviteiten, en niet op de verwerking van persoonsgegevens als nevenactiviteiten. Het noodzakelijke niveau van specialistische kennis moet met name worden vastgesteld, afhankelijk van de uitgevoerde gegevensverwerkingsactiviteiten en het vereiste beschermingsniveau voor persoonsgegevens die worden verwerkt door de exploitant of door de door de exploitant gemachtigde persoon. Deze functionarissen voor gegevensbescherming moeten, ongeacht of zij al dan niet werknemers van de exploitant zijn, hun taken en taken onafhankelijk kunnen uitoefenen.
(98) Verenigingen of andere instanties die categorieën exploitanten vertegenwoordigen of door exploitanten gemachtigde personen moeten worden aangemoedigd om binnen de grenzen van deze verordening gedragscodes te ontwikkelen, teneinde de effectieve toepassing van deze verordening te vergemakkelijken, rekening houdend met de specifieke kenmerken van de verwerking in bepaalde sectoren en de specifieke behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen. Dergelijke gedragscodes zouden met name de verplichtingen van de exploitanten en de door de exploitanten gemachtigde personen kunnen aanpassen, rekening houdend met het risico dat aan de verwerking verbonden is en dat waarschijnlijk met zich meebrengt voor de rechten en vrijheden van natuurlijke personen.
(99) Wanneer zij een gedragscode opstellen of wanneer zij een dergelijke code wijzigen of uitbreiden, moeten de verenigingen en andere instanties die categorieën exploitanten of door de overheid gemachtigde personen vertegenwoordigen
Exploitanten moeten, indien mogelijk, de relevante belanghebbenden raadplegen, inclusief de betrokkenen, en rekening houden met de ingediende bijdragen en de standpunten die tijdens dergelijke raadplegingen naar voren zijn gebracht. (100) Om de transparantie en de naleving van deze verordening te verbeteren, moet de invoering van certificeringsmechanismen en gegevensbeschermingszegels en -merken worden aangemoedigd, waardoor betrokkenen snel het niveau van gegevensbeschermingsgegevens met betrekking tot relevante producten en diensten kunnen beoordelen.
(101) Stromen van persoonsgegevens van en naar landen buiten de Unie en internationale organisaties zijn noodzakelijk voor de ontwikkeling van de internationale handel en internationale samenwerking. De groei van deze stromen heeft tot nieuwe uitdagingen en zorgen geleid met betrekking tot de bescherming van persoonsgegevens. Als persoonsgegevens echter vanuit de Unie worden doorgegeven aan exploitanten, door exploitanten gemachtigde personen of andere ontvangers uit derde landen of internationale organisaties, mag het beschermingsniveau van natuurlijke personen dat door deze verordening in de Unie wordt gewaarborgd, niet worden verlaagd, ook niet in gevallen van daaropvolgende overdrachten van persoonsgegevens van het derde land of de internationale organisatie aan exploitanten, personen die door exploitanten van hetzelfde land of van een ander derde land of een andere internationale organisatie zijn gemachtigd. Hoe dan ook kunnen overdrachten naar derde landen en internationale organisaties alleen plaatsvinden in volledige overeenstemming met deze verordening. Een overdracht kan alleen plaatsvinden als, onder voorbehoud van de naleving van de overige bepalingen van deze verordening, de exploitant of de door de exploitant gemachtigde persoon voldoet aan de voorwaarden die zijn vastgelegd in de bepalingen van deze verordening met betrekking tot de overdracht van persoonsgegevens naar derde landen of internationale organisaties. .
(102) Deze verordening doet geen afbreuk aan de internationale overeenkomsten die tussen de Unie en derde landen zijn gesloten om de overdracht van persoonsgegevens te reguleren, inclusief adequate garanties voor de betrokken personen. De lidstaten kunnen internationale overeenkomsten sluiten die betrekking hebben op de overdracht van persoonsgegevens aan derde landen of internationale organisaties, voor zover dergelijke overeenkomsten deze verordening of andere bepalingen van het recht van de Unie niet aantasten en een passend niveau van bescherming van de grondrechten van de betrokken personen omvatten.
(103) De Commissie kan, met werking in de hele Unie, besluiten dat een derde land, een gebied of een bepaalde sector van een derde land of een internationale organisatie een passend niveau van gegevensbescherming biedt, waardoor de rechtszekerheid en uniformiteit in de Unie worden gewaarborgd. met betrekking tot het derde land of de internationale organisatie die geacht wordt een dergelijk beschermingsniveau te bieden. In deze gevallen kan de overdracht van persoonsgegevens naar het betreffende derde land of de internationale organisatie plaatsvinden zonder dat aanvullende toestemming nodig is. Ook kan de Commissie, na verzending van een kennisgeving en een volledige motivering aan het derde land of de internationale organisatie, besluiten een dergelijk besluit in te trekken.
(104) In overeenstemming met de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, moet de Commissie bij haar beoordeling van het derde land of een specifiek gebied of sector van een derde land rekening houden leggen uit hoe het de rechtsstaat, de toegang tot de rechter respecteert, evenals de internationale normen en standaarden op het gebied van de mensenrechten en de algemene en sectorale wetgeving, met inbegrip van de wetgeving op het gebied van de openbare veiligheid, defensie en nationale veiligheid, evenals de openbare orde en het strafrecht. Bij het nemen van een besluit over de adequaatheid van het beschermingsniveau voor een bepaald gebied of sector in een derde land moet rekening worden gehouden met duidelijke en objectieve criteria, zoals de specifieke verwerkingsactiviteiten en de reikwijdte van de toepasselijke wettelijke normen en wetgeving die van kracht zijn in het desbetreffende land. derde land. Het derde land moet garanties bieden die een passend beschermingsniveau garanderen, dat in wezen gelijkwaardig is aan het beschermingsniveau dat binnen de Unie wordt geboden, vooral wanneer persoonsgegevens in een of meer specifieke sectoren worden verwerkt. In het bijzonder moet het derde land zorgen voor effectief onafhankelijk toezicht op de gegevensbescherming en voorzien in samenwerkingsmechanismen met de gegevensbeschermingsautoriteiten van de lidstaten, en de betrokkenen moeten profiteren van effectieve en afdwingbare rechten en effectieve rechtsmiddelen op administratief en gerechtelijk vlak.
(105) Naast de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, moet de Commissie rekening houden met de verplichtingen die voortvloeien uit de deelname van het derde land of de internationale organisatie aan multilaterale of regionale systemen, met name op het gebied van gegevensbescherming. met
persoonlijk karakter, evenals de uitvoering van dergelijke verplichtingen. In het bijzonder moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 voor de bescherming van personen tegen geautomatiseerde verwerking van persoonsgegevens en het aanvullende protocol. De Commissie moet het Comité raadplegen bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties.
(106) De Commissie moet toezicht houden op de werking van besluiten met betrekking tot het beschermingsniveau in een derde land of een gebied of een specifieke sector in een derde land of in een internationale organisatie, en toezicht houden op de werking van besluiten die zijn genomen op grond van artikel 25, lid 6. ) of artikel 26, lid 4, van Richtlijn 95/46/EG. In haar besluiten over de adequaatheid van het beschermingsniveau moet de Commissie voorzien in een mechanisme voor periodieke evaluatie van de werking ervan. Deze periodieke evaluatie moet worden uitgevoerd in overleg met het betrokken derde land of de betrokken internationale organisatie en moet rekening houden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. Met het oog op het monitoren en uitvoeren van periodieke evaluaties moet de Commissie rekening houden met de meningen en bevindingen van het Europees Parlement en de Raad, evenals met andere relevante instanties en bronnen. De Commissie moet binnen een redelijke termijn de werking van de besluiten uit het verleden evalueren en alle relevante bevindingen rapporteren aan de commissie, in de zin van Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (1), zoals vastgesteld krachtens deze verordening, van het Europees Parlement en de Raad.
(1) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de regels en algemene beginselen met betrekking tot de controlemechanismen door de lidstaten op de uitoefening van handhavingsbevoegdheden door de Commissie (PB L 55 van 28.2.2011, blz. 13 ).
(107) De Commissie kan het feit onderkennen dat een derde land, een gebied of een specifieke sector van een derde land of een internationale organisatie niet langer een passend niveau van gegevensbescherming garandeert. Bijgevolg moet de overdracht van persoonsgegevens aan het betrokken derde land of de betrokken internationale organisatie worden verboden, tenzij aan de vereisten van deze verordening met betrekking tot overdrachten wordt voldaan met passende waarborgen, waaronder verplichte bedrijfsregels en afwijkingen van specifieke situaties. In dit geval moet worden voorzien in overleg tussen de Commissie en dergelijke derde landen of internationale organisaties. De Commissie moet het derde land of de internationale organisatie tijdig over deze redenen informeren en overleg met dit land starten om de situatie te verhelpen.
(108) Bij ontstentenis van een besluit over de adequaatheid van het beschermingsniveau moet de exploitant of de door de exploitant gemachtigde persoon maatregelen nemen om het gebrek aan gegevensbescherming in een derde land te compenseren door middel van adequate garanties voor de gegevensbescherming. onderwerp. Dergelijke adequate waarborgen kunnen bestaan uit het gebruik van verplichte bedrijfsregels, standaardclausules inzake gegevensbescherming die zijn aangenomen door de Commissie, standaardclausules inzake gegevensbescherming die zijn aangenomen door een toezichthoudende autoriteit of contractuele clausules die zijn goedgekeurd door een toezichthoudende autoriteit. Deze garanties moeten de naleving garanderen van de vereisten inzake gegevensbescherming en de rechten van de betrokkenen die verband houden met de verwerking binnen de Unie, met inbegrip van de beschikbaarheid van tegengestelde rechten van de betrokkenen en effectieve rechtsmiddelen, waaronder het recht op toegang tot effectief verhaal op administratieve of gerechtelijke weg en de recht om schadevergoeding te vragen, in de Unie of in een derde land. Deze moeten in het bijzonder betrekking hebben op de naleving van de algemene beginselen met betrekking tot de verwerking van persoonsgegevens: het beginsel van gegevensbescherming vanaf het moment van conceptie en het beginsel van impliciete gegevensbescherming. Overdrachten kunnen ook worden uitgevoerd door autoriteiten of publieke lichamen met autoriteiten of publieke lichamen in derde landen of met internationale organisaties met overeenkomstige bevoegdheden en functies, onder meer op basis van de bepalingen die tegenstelbare en effectieve rechten voor de betrokken personen verschaffen, die moeten worden geïntroduceerd in de bestuursovereenkomsten, zoals een Memorandum of Understanding. Wanneer garanties worden geboden op grond van niet-juridisch bindende administratieve overeenkomsten, moet toestemming van de bevoegde toezichthoudende autoriteit worden verkregen.
(109) De mogelijkheid voor de exploitant of de door de exploitant gemachtigde persoon om standaardclausules op het gebied van gegevensbescherming te gebruiken, die zijn aangenomen door de Commissie of een toezichthoudende autoriteit, mag de exploitanten of de door hen gemachtigde personen er niet van weerhouden om de standaardbepalingen op te nemen clausules ter zake
van gegevensbescherming in een groter contract, zoals een contract tussen de persoon die door de exploitant is gemachtigd en een andere persoon die door de exploitant is gemachtigd, noch om andere clausules of aanvullende garanties toe te voegen, zolang deze niet, direct of indirect, in strijd zijn met de contractuele bepalingen clausules die door de Commissie of een toezichthoudende autoriteit zijn aangenomen, en geen afbreuk doen aan de rechten of fundamentele vrijheden van de betrokken personen. Exploitanten en door exploitanten gemachtigde personen moeten worden aangemoedigd aanvullende garanties te bieden door middel van contractuele verplichtingen die een aanvulling vormen op de standaardbeschermingsclausules.
(110) Een groep ondernemingen of een groep ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit moet gebruik kunnen maken van de verplichte bedrijfsregels die zijn goedgekeurd voor zijn internationale overdrachten vanuit de Unie naar organisaties binnen dezelfde groep ondernemingen of een groep ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit. gemeenschappelijke economische activiteit, op voorwaarde dat dergelijke bedrijfsregels alle essentiële beginselen en tegenstelbare rechten omvatten om adequate waarborgen te garanderen voor de overdracht of categorieën van overdrachten van persoonsgegevens.
(111) Er moet worden voorzien in de mogelijkheid om onder bepaalde omstandigheden doorgiften uit te voeren waarin de betrokkene zijn uitdrukkelijke toestemming heeft gegeven, wanneer de doorgifte incidenteel en noodzakelijk is in verband met een contract of juridische actie, ongeacht of deze in het kader van de overeenkomst plaatsvindt. context van een gerechtelijke procedure of in de context van een administratieve of buitengerechtelijke procedure, inclusief binnen de procedures die aan toezichthoudende instanties worden voorgelegd. Ook moet worden voorzien in de mogelijkheid om doorgiften te doen als belangrijke redenen van openbaar belang, vastgelegd in het recht van de Unie of het nationale recht, dit vereisen of als de doorgifte plaatsvindt vanuit een bij wet ingesteld register en bedoeld is om door het publiek of door personen te worden geraadpleegd. die een legitiem belang hebben. In dit laatste geval mag een dergelijke overdracht niet het geheel van de persoonsgegevens of alle categorieën gegevens in het register omvatten, en wanneer het register bedoeld is om te worden geraadpleegd door personen die een legitiem belang hebben, moet de overdracht worden uitgevoerd alleen op verzoek van de respectieve personen of als zij de ontvangers zijn, waarbij volledig rekening wordt gehouden met de belangen en fundamentele rechten van de betrokkene.
(112) Deze vrijstellingen moeten met name van toepassing zijn op gegevensoverdrachten die om belangrijke redenen van algemeen belang worden gevraagd en noodzakelijk zijn, bijvoorbeeld in het geval van internationale gegevensuitwisseling tussen mededingingsautoriteiten, belasting- of douanediensten, tussen financiële toezichthoudende autoriteiten, tussen de bevoegde diensten op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contactpunten voor besmettelijke ziekten of voor het terugdringen en/of uitbannen van doping in de sport. Een overdracht van persoonsgegevens moet ook als rechtmatig worden beschouwd als dit noodzakelijk is met het oog op de bescherming van een belang dat essentieel is voor de vitale belangen van de betrokkene of een andere persoon, inclusief voor de fysieke integriteit of het leven ervan, in het geval dat de betrokken persoon niet in staat is zijn toestemming te geven. Bij ontstentenis van een besluit over de toereikendheid van het beschermingsniveau kan het recht van de Unie of het nationale recht om belangrijke redenen van openbaar belang uitdrukkelijk beperkingen stellen aan de overdracht van specifieke categorieën gegevens aan een derde land of een internationale organisatie. De lidstaten moeten de Commissie van deze bepalingen in kennis stellen. Elke overdracht aan een internationale humanitaire organisatie van de persoonsgegevens van een betrokkene die fysiek of juridisch niet in staat is toestemming te geven, om een taak te vervullen die voortvloeit uit de Verdragen van Genève of om te voldoen aan het internationaal humanitair recht dat van toepassing is in gewapende conflicten, noodzakelijk kan worden geacht om een belangrijke reden van algemeen belang of omdat dit in het wezenlijke belang van de betrokkene is.
(113) Doorgiften die als niet-repetitief kunnen worden beschouwd en die slechts betrekking hebben op een beperkt aantal betrokkenen, kunnen ook worden uitgevoerd om de legitieme belangen van de exploitant te verwezenlijken, wanneer die belangen niet prevaleren of de rechten en vrijheden van de betrokkene en wanneer de exploitant alle omstandigheden met betrekking tot de gegevensoverdracht heeft geëvalueerd. De exploitant moet bijzondere aandacht besteden aan de aard van de persoonsgegevens, het doel en de duur van de voorgestelde verwerking(en), evenals aan de situatie in het land van herkomst, in het derde land en in het land van eindbestemming, en moet adequate garanties bieden voor de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen in wat
over de verwerking van hun persoonsgegevens. Dergelijke overdrachten mogen alleen mogelijk zijn in resterende gevallen waarin geen van de andere redenen voor overdracht kan worden toegepast. Wat de doeleinden van wetenschappelijk of historisch onderzoek of statistische doeleinden betreft, moet rekening worden gehouden met de legitieme verwachtingen van de samenleving met betrekking tot de toename van het kennisniveau. De exploitant moet de toezichthoudende autoriteit en de betrokkene op de hoogte stellen van de overdracht.
(114) Wanneer de Commissie geen besluit heeft genomen over het passende niveau van gegevensbescherming in een derde land, moet de exploitant of de door de exploitant gemachtigde persoon hoe dan ook oplossingen gebruiken die de betrokkenen tegenstelbare en effectieve rechten bieden met betrekking tot de verwerking van hun gegevens in de Unie zodra deze gegevens zijn overgedragen, zodat de betrokken personen kunnen blijven profiteren van fundamentele rechten en garanties.
(115) Sommige derde landen hebben wetten, voorschriften en andere rechtshandelingen aangenomen die tot doel hebben de gegevensverwerkingsactiviteiten van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen rechtstreeks te reguleren. Hierbij kan het gaan om rechterlijke bevelen of besluiten van administratieve autoriteiten in derde landen waarbij een exploitant of een door de exploitant gemachtigde persoon verplicht wordt persoonsgegevens over te dragen of openbaar te maken en die niet gebaseerd zijn op een van kracht zijnde internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp. tussen het verzoekende derde land en de Unie of een lidstaat. De extraterritoriale toepassing van deze wetten, voorschriften en andere rechtshandelingen kan in strijd zijn met het internationaal recht en kan de bescherming van natuurlijke personen, die in de Unie door deze verordening wordt gewaarborgd, in de weg staan. Overdrachten mogen alleen worden toegestaan als aan de voorwaarden van deze verordening is voldaan voor een overdracht naar derde landen. Dit zou onder meer het geval kunnen zijn wanneer de openbaarmaking noodzakelijk is om een belangrijke reden van openbaar belang die wordt erkend in het recht van de Unie of in het interne recht dat op de exploitant van toepassing is.
(116) De grensoverschrijdende stroom van persoonsgegevens buiten de Unie kan een groter risico met zich meebrengen voor het vermogen van natuurlijke personen om hun gegevensbeschermingsrechten uit te oefenen, met name om hun bescherming tegen het illegale gebruik of de illegale openbaarmaking van deze informatie te waarborgen. Tegelijkertijd kunnen de toezichthoudende autoriteiten tot de conclusie komen dat zij niet in staat zijn klachten te behandelen of onderzoeken uit te voeren met betrekking tot de activiteiten die buiten hun grenzen worden uitgevoerd. Hun inspanningen om in een grensoverschrijdende context samen te werken kunnen ook worden belemmerd door de ontoereikendheid van preventie- of remediërende bevoegdheden, de heterogene aard van wettelijke regimes en het bestaan van praktische obstakels, zoals beperkte middelen. Daarom is het noodzakelijk om nauwere samenwerking tussen toezichthoudende autoriteiten op het gebied van gegevensbescherming te bevorderen, zodat zij samen met hun internationale tegenhangers informatie kunnen uitwisselen en onderzoeken kunnen uitvoeren. Om internationale samenwerkingsmechanismen te ontwikkelen om wederzijdse internationale bijstand te vergemakkelijken en te bieden bij het waarborgen van de toepassing van de wetgeving op het gebied van de bescherming van persoonsgegevens, moeten de Commissie en de toezichthoudende autoriteiten informatie uitwisselen en samenwerken bij activiteiten die verband houden met de uitoefening van hun bevoegdheden met de bevoegde autoriteiten. autoriteiten van derde landen, op basis van wederkerigheid en in overeenstemming met deze verordening.
(117) De oprichting in de lidstaten van toezichthoudende autoriteiten, die bevoegd zijn om hun taken uit te voeren en hun bevoegdheden in volledige onafhankelijkheid uit te oefenen, is een essentieel onderdeel van de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens. De lidstaten moeten verschillende toezichthoudende autoriteiten kunnen oprichten, die hun constitutionele, organisatorische en administratieve structuur weerspiegelen.
(118) De onafhankelijkheid van de toezichthoudende autoriteiten mag niet betekenen dat de toezichthoudende autoriteiten niet kunnen worden onderworpen aan controle- of monitoringmechanismen met betrekking tot hun uitgaven, of aan jurisdictiecontrole.
(119) Als een lidstaat meerdere toezichthoudende autoriteiten opricht, moet hij bij wet mechanismen instellen om de effectieve deelname van de respectieve toezichthoudende autoriteiten aan het mechanisme ter waarborging van de samenhang te garanderen. De desbetreffende lidstaat moet met name de toezichthoudende autoriteit aanwijzen die de functie vervult van één enkel contactpunt voor de effectieve deelname van deze autoriteiten aan het mechanisme, om een snelle en harmonieuze samenwerking met andere toezichthoudende autoriteiten te garanderen, met de commissie en met de Commissie.
(120) Elke toezichthoudende autoriteit moet profiteren van de financiële en personele middelen, gebouwen en infrastructuur die nodig zijn voor de effectieve uitvoering van hun taken, inclusief de taken die verband houden met wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de hele Unie. Elke toezichthoudende autoriteit zou een afzonderlijke jaarlijkse overheidsbegroting moeten hebben, die deel kan uitmaken van de algemene staats- of nationale begroting.
(121) De algemene voorwaarden voor het lid of de leden van de toezichthoudende autoriteit moeten in elke lidstaat bij wet worden vastgelegd en moeten met name bepalen dat de respectieve leden worden benoemd via een transparante procedure, hetzij door het parlement, de regering of de staatshoofd van de lidstaat op basis van een voorstel van de regering, een lid van de regering, het parlement of een kamer van het parlement, of door een onafhankelijk orgaan dat daartoe door het nationale recht bevoegd is. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, moeten de leden ervan integer handelen, geen handelingen ondernemen die onverenigbaar zijn met hun taken, en mogen zij tijdens het mandaat geen onverenigbare activiteiten verrichten, al dan niet bezoldigd. De toezichthoudende autoriteit moet over eigen personeel beschikken, gekozen door de toezichthoudende autoriteit of door een onafhankelijk orgaan naar nationaal recht, dat uitsluitend ondergeschikt moet zijn aan het lid of de leden van de toezichthoudende autoriteit.
(122) Elke toezichthoudende autoriteit moet op het grondgebied van de lidstaat waartoe zij behoort de bevoegdheid hebben om de bevoegdheden uit te oefenen en de taken uit te voeren waarmee zij overeenkomstig deze verordening is belast.
Dit moet in het bijzonder de verwerking omvatten in het kader van de activiteiten van een vestigingsplaats van de exploitant of de door de exploitant gemachtigde persoon op het grondgebied van zijn eigen lidstaat, de verwerking van persoonsgegevens uitgevoerd door overheidsinstanties of particuliere instanties die optreden in het algemeen belang, de verwerking die individuele betrokkenen van zijn grondgebied betreft, of de verwerking die wordt uitgevoerd door een exploitant of een door de exploitant gemachtigde persoon die niet in de Unie is gevestigd, als het gaat om betrokkenen die hun woonplaats op zijn grondgebied hebben. Dit moet onder meer het behandelen van door een betrokkene ingediende klachten omvatten, het uitvoeren van onderzoeken naar de toepassing van deze verordening en het bevorderen van publieke informatie over de risico's, regels, garanties en rechten op het gebied van de verwerking van persoonsgegevens.
(123) De toezichthoudende autoriteiten moeten toezicht houden op de toepassing van de bepalingen van deze verordening en bijdragen aan de consistente toepassing ervan in de hele Unie, om de bescherming van natuurlijke personen met betrekking tot de verwerking van hun persoonsgegevens te waarborgen en het vrije verkeer te vergemakkelijken van persoonsgegevens binnen de interne markt. In die zin moeten de toezichthoudende autoriteiten zowel met elkaar als met de Commissie samenwerken, zonder dat er een overeenkomst tussen de lidstaten nodig is over het verlenen van wederzijdse bijstand of over de genoemde samenwerking.
(124) Indien de verwerking van persoonsgegevens plaatsvindt binnen de activiteiten van een kantoor van een exploitant of een door de exploitant gemachtigde persoon in de Unie, en de exploitant of door de exploitant gemachtigde persoon kantoren heeft in meerdere lidstaten, of in geval waarin de verwerking die plaatsvindt in het kader van de activiteiten van één enkel kantoor van een exploitant of een door de exploitant gemachtigde persoon in de Unie betrokkenen uit meerdere lidstaten treft of waarschijnlijk aanzienlijk zal treffen, kan de toezichthoudende autoriteit van de belangrijkste Het kantoor van de exploitant of de door de exploitant gemachtigde persoon of van het enige hoofdkantoor van de exploitant of van de door de exploitant gemachtigde persoon dient als voornaamste autoriteit te fungeren. Zij moet samenwerken met de andere betrokken autoriteiten, omdat de exploitant of de door de exploitant gemachtigde persoon een kantoor heeft op het grondgebied van hun lidstaat, omdat de betrokken personen die hun woonplaats op hun grondgebied hebben aanzienlijk worden getroffen of omdat zij zijn ingediend een klacht. Als een betrokkene die niet in de betreffende lidstaat woont een klacht heeft ingediend, moet de toezichthoudende autoriteit waarbij de klacht is ingediend ook een betrokken toezichthoudende autoriteit zijn. Als onderdeel van zijn taken om advies uit te brengen over alle aangelegenheden die verband houden met de uitvoering van deze verordening, moet het Comité advies kunnen geven over, met name, de criteria waarmee rekening moet worden gehouden om te bepalen of
de betreffende verwerking heeft aanzienlijke gevolgen voor betrokkenen uit meerdere lidstaten en voor wat betreft de inhoud van een relevant en gemotiveerd bezwaar.
(125) De hoofdautoriteit moet de bevoegdheid hebben om bindende besluiten vast te stellen met betrekking tot de maatregelen ter toepassing van de bevoegdheden die haar krachtens deze verordening zijn verleend. In haar hoedanigheid van hoofdautoriteit moet de toezichthoudende autoriteit de activiteiten van de betrokken toezichthoudende autoriteiten nauw bij het besluitvormingsproces betrekken en coördineren. In gevallen waarin het besluit een gedeeltelijke of volledige afwijzing van de klacht van de betrokken persoon inhoudt, moet een dergelijk besluit worden vastgesteld door de toezichthoudende autoriteit waarbij de klacht is ingediend. (126) Het besluit moet gezamenlijk worden goedgekeurd door de belangrijkste toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten en moet betrekking hebben op het hoofdkantoor of het enige kantoor van de exploitant of de door de exploitant gemachtigde persoon, en bindend zijn voor de exploitant en de door de exploitant gemachtigde persoon. de exploitant. De exploitant of de door de exploitant gemachtigde persoon moet de nodige maatregelen nemen om de naleving van deze verordening en de uitvoering te garanderen van het besluit waarvan kennis is gegeven door de belangrijkste toezichthoudende autoriteit van het hoofdkantoor van de exploitant of de door de exploitant gemachtigde persoon met betrekking tot de verwerkingsactiviteiten in de Unie.
(127) Elke toezichthoudende autoriteit die niet als belangrijkste toezichthoudende autoriteit optreedt, moet de bevoegdheid hebben om lokale gevallen te behandelen waarin de exploitant of de door de exploitant gemachtigde persoon kantoren in verschillende lidstaten heeft, maar het voorwerp van de respectieve verwerking betrekking heeft op alleen de verwerking die in één lidstaat wordt uitgevoerd en waarbij alleen betrokkenen uit die ene lidstaat betrokken zijn, bijvoorbeeld als het doel de verwerking van persoonsgegevens van werknemers is in de specifieke context die verband houdt met het personeelsbestand uit een lidstaat. In dergelijke gevallen moet de toezichthoudende autoriteit de leidende toezichthoudende autoriteit onverwijld van de zaak op de hoogte stellen. Nadat zij op de hoogte is gesteld, moet de leidende toezichthoudende autoriteit beslissen of zij de zaak zelf zal behandelen op grond van de bepaling over samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende autoriteiten (het "one-stop-shop-mechanisme"), of dat de toezichthoudende autoriteit die de zaak heeft geïnformeerd haar dat zij de zaak op lokaal niveau moet behandelen. Bij het besluit om de zaak te behandelen moet de leidende toezichthoudende autoriteit rekening houden met de vraag of er een vestiging is van de voor de verwerking verantwoordelijke of van de door de voor de verwerking verantwoordelijke gemachtigde persoon in de lidstaat van de toezichthoudende autoriteit die haar op de hoogte heeft gesteld, om een effectieve naleving te garanderen. met beslissingen ten aanzien van de exploitant of de door de exploitant gemachtigde persoon. Als de leidende toezichthoudende autoriteit besluit de zaak te behandelen, moet de toezichthoudende autoriteit die haar op de hoogte heeft gesteld de gelegenheid hebben een ontwerpbesluit in te dienen, waarmee de leidende toezichthoudende autoriteit zo goed mogelijk rekening moet houden bij het opstellen van haar ontwerpbesluit binnen de gestelde termijn. respectieve one-stop-shop-mechanisme.
(128) De regels met betrekking tot de belangrijkste toezichthoudende autoriteit en het éénloketmechanisme mogen niet van toepassing zijn als de verwerking in het openbaar belang wordt uitgevoerd door overheidsinstanties of particuliere instanties. In dergelijke gevallen moet de enige toezichthoudende autoriteit die bevoegd is om de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegewezen, de toezichthoudende autoriteit zijn van de lidstaat waar de publieke autoriteit of het particuliere lichaam haar hoofdkantoor heeft.
(129) Om de consistentie van het toezicht op en de toepassing van deze verordening in de hele Unie te garanderen, moeten de toezichthoudende autoriteiten in elke lidstaat dezelfde effectieve taken en bevoegdheden hebben, met inbegrip van onderzoeksbevoegdheden, corrigerende bevoegdheden en sancties, evenals machtigingsbevoegdheden. bevoegdheden en advies, vooral in het geval van klachten ingediend door natuurlijke personen, en, onverminderd de bevoegdheden van strafrechtelijke vervolgingsautoriteiten op basis van het nationale recht, om gevallen van overtreding van deze verordening onder de aandacht van de gerechtelijke autoriteiten te brengen, en om betrokken te raken bij gerechtelijke procedures. Deze bevoegdheden moeten ook de bevoegdheid omvatten om een tijdelijke of definitieve beperking, inclusief een verbod, op de verwerking op te leggen. De lidstaten kunnen op grond van deze verordening andere verplichtingen vaststellen met betrekking tot de bescherming van persoonsgegevens. De bevoegdheden van de toezichthoudende autoriteiten moeten worden uitgeoefend in overeenstemming met de adequate procedurele waarborgen waarin het recht van de Unie en het nationale recht voorziet, op onpartijdige, eerlijke wijze en binnen een redelijke termijn. In het bijzonder moet elke maatregel adequaat, noodzakelijk en evenredig zijn om dit te bereiken
te zorgen voor de naleving van de bepalingen van deze verordening, rekening houdend met de omstandigheden van elk individueel geval, het recht van iedere persoon te respecteren om te worden gehoord voordat een individuele maatregel wordt genomen die gevolgen voor hem zou kunnen hebben, en onnodige kosten en buitensporige ongemakken voor de betrokken personen te vermijden. Onderzoeksbevoegdheden met betrekking tot de toegang tot gebouwen moeten worden uitgeoefend in overeenstemming met de specifieke vereisten van het nationale procesrecht, zoals de verplichting om voorafgaande rechterlijke toestemming te verkrijgen. Elke juridisch bindende maatregel die door de toezichthoudende autoriteit wordt genomen, moet schriftelijk worden ingediend, duidelijk en ondubbelzinnig zijn, de toezichthoudende autoriteit vermelden die de maatregel heeft uitgevaardigd, de datum waarop de maatregel is uitgevaardigd, en de handtekening dragen van het hoofd of een bevoegd lid van de toezichthoudende autoriteit door hem is ingediend, met vermelding van de redenen waarom de maatregel is genomen en met verwijzing naar het recht op een daadwerkelijk rechtsmiddel. Dit mag aanvullende eisen op grond van het nationale procesrecht niet uitsluiten. Het aannemen van dergelijke juridisch bindende besluiten impliceert het feit dat er sprake kan zijn van jurisdictiecontrole in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.
(130) Als de toezichthoudende autoriteit waarbij de klacht is ingediend niet de belangrijkste toezichthoudende autoriteit is, moet de belangrijkste toezichthoudende autoriteit nauw samenwerken met de toezichthoudende autoriteit waarbij de klacht is ingediend, in overeenstemming met de bepalingen inzake samenwerking en consistentie die in deze richtlijn zijn vastgelegd. verordening. In dergelijke gevallen moet de leidende toezichthoudende autoriteit bij het nemen van maatregelen die bedoeld zijn om rechtsgevolgen teweeg te brengen, waaronder het opleggen van administratieve boetes, zoveel mogelijk rekening houden met het advies van de toezichthoudende autoriteit waarbij de klacht is ingediend en die deze moet handhaven. zijn bevoegdheid om enig onderzoek uit te voeren op het grondgebied van zijn eigen lidstaat, in samenwerking met de belangrijkste toezichthoudende autoriteit.
(131) In gevallen waarin een andere toezichthoudende autoriteit zou moeten optreden als de belangrijkste toezichthoudende autoriteit voor de verwerkingsactiviteiten van de exploitant of de persoon die door de exploitant is gemachtigd, maar het concrete voorwerp van een klacht of de mogelijke overtreding alleen de verwerkingsactiviteiten van de exploitant betreft of de door de exploitant gemachtigde persoon in de lidstaat waar de klacht is ingediend of de mogelijke overtreding is geconstateerd, en de zaak geen substantiële gevolgen heeft of waarschijnlijk geen substantiële gevolgen zal hebben voor betrokkenen uit andere lidstaten, de toezichthoudende autoriteit die een klacht heeft ingediend of is ontdekt of anderszins op de hoogte is gesteld van situaties van mogelijke overtredingen van deze verordening, moet proberen een minnelijke oplossing te vinden met de exploitant en, als dit niet lukt, alle bevoegdheden uitoefenen. Hieronder dienen specifieke verwerkingsactiviteiten te vallen die worden uitgevoerd op het grondgebied van de lidstaat van de toezichthoudende autoriteit of, met betrekking tot betrokkenen afkomstig uit het grondgebied van die lidstaat, verwerkingsactiviteiten die plaatsvinden in het kader van een aanbod van goederen of diensten die specifiek bedoeld zijn voor personen die het doelwit zijn op het grondgebied van de lidstaat van de toezichthoudende autoriteit of voor verwerkingsactiviteiten die moeten worden geëvalueerd rekening houdend met de relevante wettelijke verplichtingen onder het nationale recht.
(132) Bewustmakingsactiviteiten die door toezichthoudende autoriteiten voor het publiek worden georganiseerd, moeten specifieke maatregelen omvatten die gericht zijn op exploitanten en door exploitanten gemachtigde personen, waaronder micro-, kleine en middelgrote ondernemingen, en op natuurlijke personen, met name in de educatieve context.
(133) De toezichthoudende autoriteiten moeten elkaar helpen bij het vervullen van hun taken, om de samenhang van de toepassing van deze verordening op de interne markt te waarborgen. Een toezichthoudende autoriteit die om wederzijdse bijstand verzoekt, kan een voorlopige maatregel nemen als zij binnen een maand na ontvangst van het verzoek door de andere toezichthoudende autoriteit geen antwoord op een verzoek om wederzijdse bijstand ontvangt.
(134) Elke toezichthoudende autoriteit moet, waar passend, deelnemen aan gezamenlijke operaties van toezichthoudende autoriteiten. De toezichthoudende autoriteit aan wie het verzoek is gericht, moet de verplichting hebben om binnen een bepaalde termijn op het verzoek te reageren.
(135) Om de consistente toepassing van deze verordening in de hele Unie te garanderen, moet een mechanisme worden opgezet om de consistentie te garanderen waarbinnen de toezichthoudende autoriteiten
samenwerken. Dit mechanisme zou met name van toepassing moeten zijn als een toezichthoudende autoriteit voornemens is een maatregel te nemen die bedoeld is om rechtsgevolgen teweeg te brengen met betrekking tot verwerkingen die aanzienlijke gevolgen hebben voor een aanzienlijk aantal betrokkenen uit meer dan één lidstaat. Het mechanisme moet ook van toepassing zijn als een betrokken toezichthoudende autoriteit of de Commissie verzoekt dat het desbetreffende aspect binnen het coherentiemechanisme wordt behandeld. Dit mechanisme mag geen invloed hebben op de maatregelen die de Commissie kan nemen bij de uitoefening van haar bevoegdheden uit hoofde van de Verdragen.
(136) Bij de toepassing van het mechanisme ter waarborging van de consistentie moet het comité binnen een bepaalde termijn advies uitbrengen indien een meerderheid van zijn leden daartoe besluit of indien een betrokken toezichthoudende autoriteit of de Commissie daarom verzoekt. Het comité moet ook de bevoegdheid krijgen om juridisch bindende besluiten te nemen in geval van geschillen tussen toezichthoudende autoriteiten. Daartoe moet zij, in principe met een tweederde meerderheid van haar leden, in duidelijk omschreven gevallen juridisch bindende besluiten uitvaardigen als er tussen de toezichthoudende autoriteiten uiteenlopende meningen bestaan, vooral in het kader van het samenwerkingsmechanisme tussen de belangrijkste toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten over de grond van de zaak, in het bijzonder over het al dan niet bestaan van een overtreding van deze verordening. (137) Het is mogelijk dat er dringend actie moet worden ondernomen om de bescherming van de rechten en vrijheden van de betrokken personen te waarborgen, vooral als het gevaar bestaat dat de uitoefening van een recht van een betrokken persoon aanzienlijk wordt belemmerd. Daarom moet een toezichthoudende autoriteit op haar grondgebied voorlopige maatregelen kunnen nemen, naar behoren gemotiveerd, met een bepaalde geldigheidsduur die niet langer mag zijn dan drie maanden.
(138) De toepassing van een dergelijk mechanisme moet een voorwaarde vormen voor de wettigheid van een maatregel die bedoeld is om rechtsgevolgen teweeg te brengen, genomen door een toezichthoudende autoriteit, in gevallen waarin de toepassing ervan verplicht is. In andere gevallen met grensoverschrijdende relevantie moet het samenwerkingsmechanisme tussen de belangrijkste toezichthoudende autoriteit en de beoogde toezichthoudende autoriteiten worden ingevoerd, en kunnen de beoogde toezichthoudende autoriteiten wederzijdse bijstand verlenen en gezamenlijke operaties uitvoeren op bilaterale of multilaterale basis, zonder dat dit nodig is waardoor het mechanisme in werking wordt gesteld om de samenhang te waarborgen.
(139) Om de coherente toepassing van deze verordening te bevorderen, moet het comité worden opgericht als een onafhankelijk orgaan van de Unie. Om zijn doelstellingen te verwezenlijken moet het comité rechtspersoonlijkheid bezitten. De commissie moet worden vertegenwoordigd door haar voorzitter. Het moet in de plaats komen van de Werkgroep voor de bescherming van individuen met betrekking tot de verwerking van persoonsgegevens, opgericht bij Richtlijn 95/46/EG. Het zou moeten bestaan uit de hoofden van de toezichthoudende autoriteiten van elke lidstaat en de Europese Autoriteit voor gegevensbescherming of hun vertegenwoordigers. De Commissie zou zonder stemrecht aan de activiteiten van de commissie moeten deelnemen, en de Europese Autoriteit voor gegevensbescherming zou speciale stemrechten moeten hebben. Het Comité moet bijdragen aan de coherente toepassing van deze verordening in de hele Unie, onder meer door advies te verstrekken aan de Commissie, vooral met betrekking tot het beschermingsniveau in derde landen en binnen internationale organisaties, en door de samenwerking van toezichthoudende autoriteiten in de hele Unie te bevorderen. De commissie moet onafhankelijk optreden bij de uitvoering van haar taken. (140) De commissie moet worden bijgestaan door een secretariaat dat wordt verzorgd door de Europese Autoriteit voor gegevensbescherming. Het personeel van de Europese Gegevensbeschermingsautoriteit dat betrokken is bij de uitvoering van de taken die krachtens deze verordening aan de commissie zijn toegewezen, moet zijn taken uitsluitend uitvoeren volgens de instructies van de voorzitter van de commissie en aan hem rapporteren.
(141) Elke betrokkene moet het recht hebben om een klacht in te dienen bij één enkele toezichthoudende autoriteit, met name in de lidstaat waar hij zijn gewone verblijfplaats heeft, evenals het recht op een doeltreffende voorziening in rechte overeenkomstig artikel 47 van het Handvest, als de betrokkene van mening is dat zijn rechten uit hoofde van deze verordening worden geschonden of als de toezichthoudende autoriteit niet reageert op een klacht, een klacht geheel of gedeeltelijk afwijst of weigert of niet handelt wanneer een dergelijke actie noodzakelijk is om de bescherming van de rechten van de betrokken persoon. Het onderzoek naar aanleiding van een klacht dient, voor zover nodig, afhankelijk van het geval, onder gerechtelijk toezicht te worden uitgevoerd. De toezichthoudende autoriteit moet informeren
de betrokkene over het verloop en de oplossing van de klacht binnen een redelijke termijn. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, moet tussentijdse informatie aan de betrokkene worden verstrekt. Om het indienen van klachten te vergemakkelijken, moet elke toezichthoudende autoriteit maatregelen nemen, zoals het ter beschikking stellen van een klachtenformulier, dat ook in elektronisch formaat kan worden ingevuld, zonder andere communicatiemiddelen uit te sluiten.
(142) Als de betrokkene van mening is dat zijn rechten uit hoofde van deze verordening worden geschonden, moet hij het recht hebben om een non-profitorganisatie, -organisatie of -vereniging te machtigen die is opgericht in overeenstemming met de interne wet en waarvan de statutaire doelstellingen zijn in het algemeen belang en die haar activiteiten uitvoert op het gebied van het waarborgen van de bescherming van persoonsgegevens, namens haar een klacht in te dienen bij een toezichthoudende autoriteit, namens haar het recht op beroep uit te oefenen bij de betrokken personen of, in het geval in het geval waarin het nationale recht voorziet, om namens de betrokken personen het recht op schadevergoeding uit te oefenen. Een lidstaat kan bepalen dat een dergelijk orgaan, organisatie of vereniging het recht heeft om in die lidstaat een klacht in te dienen, onafhankelijk van het door een betrokkene verleende mandaat, en het recht heeft op een doeltreffende voorziening in rechte indien er reden is om te overwegen dat de rechten van een betrokkene zijn geschonden als gevolg van een verwerking van persoonsgegevens die in strijd is met deze verordening. Het orgaan, de organisatie of vereniging in kwestie kan geen schadevergoeding vorderen namens een betrokkene, ongeacht het door de betrokkene verleende mandaat. (143) Iedere natuurlijke of rechtspersoon heeft het recht om bij het Hof van Justitie een beroep tot nietigverklaring in te stellen tegen de besluiten van de commissie, overeenkomstig de voorwaarden van artikel 263 VWEU. Als adressaten van deze besluiten moeten de betrokken toezichthoudende autoriteiten die deze besluiten willen betwisten, binnen twee maanden na de datum waarop daarvan kennis is gegeven, beroep aantekenen tegen de desbetreffende besluiten, overeenkomstig artikel 263 VWEU. Indien de beslissingen van de commissie rechtstreeks en individueel gericht zijn tegen een exploitant, een door de exploitant gemachtigde persoon of de klager, kan deze laatste binnen twee maanden na publicatie ervan op de website van de commissie een vordering instellen tot intrekking van de betreffende beslissingen, in overeenstemming met artikel 263 van het VWEU. Onverminderd dit recht uit hoofde van artikel 263 VWEU moet elke natuurlijke of rechtspersoon het recht hebben op een effectief rechtsmiddel bij de bevoegde nationale rechter tegen een besluit van een toezichthoudende autoriteit dat rechtsgevolgen voor die persoon heeft. Een dergelijk besluit heeft met name betrekking op de uitoefening van onderzoeks-, correctie- en autorisatiebevoegdheden door de toezichthoudende autoriteit of op de weigering of afwijzing van klachten. Het recht op een effectief rechtsmiddel omvat echter niet maatregelen van toezichthoudende autoriteiten die niet juridisch bindend zijn, zoals adviezen van de toezichthoudende autoriteit of door haar verstrekte adviezen. Vorderingen tegen een toezichthoudende autoriteit moeten worden voorgelegd aan de rechtbanken van de lidstaat waar de toezichthoudende autoriteit is gevestigd en moeten worden gevoerd in overeenstemming met het procesrecht van die lidstaat. Deze rechtbanken dienen hun volledige rechterlijke jurisdictie uit te oefenen, wat ook de bevoegdheid omvat om alle feitelijke en juridische kwesties te onderzoeken die relevant zijn voor het geschil dat aan hen wordt voorgelegd.
Als een klacht door een toezichthoudende autoriteit is afgewezen of geweigerd, kan de klager een klacht indienen bij de rechtbanken van dezelfde lidstaat. In het kader van rechterlijke beroepen met betrekking tot de toepassing van deze verordening kunnen de nationale rechtbanken die een beslissing over de kwestie in kwestie noodzakelijk achten om een beslissing te kunnen nemen, of moeten zij, in het geval bedoeld in artikel 267 VWEU, verzoeken het Hof van Justitie om een voorlopig besluit te nemen over de interpretatie van het recht van de Unie, met inbegrip van deze verordening. Bovendien, als een besluit van een toezichthoudende autoriteit ter uitvoering van een besluit van de commissie wordt aangevochten bij een nationale rechtbank en de geldigheid van de beslissing van de commissie in twijfel wordt getrokken, heeft die nationale rechter niet de bevoegdheid om de beslissing van de commissie nietig te verklaren, maar moet de kwestie van de geldigheid voorleggen aan het Hof van Justitie, overeenkomstig artikel 267 VWEU, zoals uitgelegd door het Hof van Justitie, telkens wanneer de nationale rechter het besluit nietig acht. Een nationale rechter kan echter op verzoek van een persoon geen vraag stellen over de geldigheid van het besluit van de commissie
natuurlijke of rechtspersonen die de mogelijkheid hadden om een beroep tot nietigverklaring tegen dat besluit in te stellen, vooral wanneer zij rechtstreeks en individueel door het betrokken besluit werden geraakt, maar dit niet binnen de in artikel 263 VWEU gestelde termijn hebben gedaan.
(144) Wanneer een rechtbank waarbij een procedure tegen een besluit van een toezichthoudende autoriteit aanhangig is gemaakt, reden heeft om aan te nemen dat bij een bevoegde rechtbank in een andere lidstaat een procedure aanhangig is gemaakt met betrekking tot dezelfde verwerking, zoals hetzelfde verwerkingsobject, door dezelfde exploitant of dezelfde persoon die door de exploitant is gemachtigd, of dezelfde oorzaak, moet de respectieve rechtbank contact opnemen met de tweede rechtbank om het bestaan van dergelijke gerelateerde procedures te bevestigen. Indien deze gerelateerde procedures aanhangig zijn bij een rechtbank in een andere lidstaat, kan elke rechtbank, met uitzondering van de oorspronkelijk bedoelde, zijn procedure opschorten of, op verzoek van een van de partijen, zich aanvankelijk onbevoegd verklaren ten gunste van de verwezen rechtbank, op voorwaarde dat dat deze laatste de bevoegdheid heeft om de betrokken procedure af te wikkelen en dat het op haar toepasselijke recht haar de mogelijkheid biedt deze gerelateerde procedures te consolideren. De procedures worden als samenhangend beschouwd wanneer zij zo nauw met elkaar verbonden zijn dat het opportuun is ze tegelijkertijd ten uitvoer te leggen en te beoordelen, om het risico te vermijden dat er bij afzonderlijke beoordeling onverenigbare beslissingen worden genomen.
(145) Met betrekking tot de rechtsvorderingen die zijn ingesteld tegen een exploitant of een door de exploitant gemachtigde persoon, moet de eiser de mogelijkheid hebben om de vordering aanhangig te maken bij de rechtbanken van de lidstaten waar de exploitant of de door de exploitant gemachtigde persoon een kantoor of waar de persoon van wie de proefpersoon zijn woonplaats heeft, zijn woonplaats heeft, tenzij de exploitant een overheidsinstantie uit een lidstaat is die handelt in de uitoefening van zijn openbare bevoegdheden.
(146) De exploitant of de door de exploitant gemachtigde persoon moet een vergoeding betalen voor alle schade die een persoon kan lijden als gevolg van een verwerking die in strijd is met deze verordening. De exploitant of de door de exploitant gemachtigde persoon moet worden vrijgesteld van aansprakelijkheid als hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor de schade. Het begrip schade moet in brede zin worden geïnterpreteerd, vanuit het perspectief van de jurisprudentie van het Hof van Justitie, op een manier die de doelstellingen van deze verordening volledig weerspiegelt. Deze bepaling heeft geen invloed op eventuele claims voor schadevergoeding die voortkomen uit de schending van andere regels van het recht van de Unie of het nationale recht. Een verwerking die in strijd is met deze verordening omvat ook verwerking die in strijd is met de gedelegeerde en uitvoeringshandelingen die zijn aangenomen in overeenstemming met deze verordening en met de nationale wetgeving die de regels van deze verordening specificeert. De betrokken personen moeten een volledige en daadwerkelijke vergoeding krijgen voor de schade die zij hebben geleden. Indien de exploitanten of de door de exploitanten geautoriseerde personen betrokken zijn bij dezelfde verwerking, moet elke exploitant of elke door de exploitant gemachtigde persoon verantwoordelijk worden geacht voor de gehele schade. Wanneer de juridische procedures die hen aangaan echter verband houden, kan de compensatie, in overeenstemming met het nationale recht, worden verdeeld op basis van de verantwoordelijkheid van elke exploitant of elke door de exploitant gemachtigde persoon, op voorwaarde dat de volledige en effectieve compensatie van de betrokken persoon nagegaan wie de schade heeft geleden. Elke exploitant of door de exploitant gemachtigde persoon die de volledige schadevergoeding heeft betaald, kan vervolgens een verhaalsvordering instellen tegen andere exploitanten of door exploitanten gemachtigde personen die betrokken zijn bij dezelfde verwerking.
(147) In het geval dat deze verordening specifieke regels bevat met betrekking tot de rechterlijke bevoegdheid, met name met betrekking tot gerechtelijk beroep, inclusief schadevorderingen, tegen een exploitant of een door de exploitant gemachtigde persoon, zullen de algemene regels met betrekking tot de rechterlijke bevoegdheid, zoals die uit Verordening (EU ) Nee. 1215/2012 van het Europees Parlement en de Raad (1) mag geen afbreuk doen aan de toepassing van dergelijke specifieke regels.
(1) Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (PB L 351 van 20.12.2012, blz. 1).
(148) Om de naleving van de toepassing van de regels van deze verordening te versterken, moeten sancties, waaronder administratieve boetes, worden opgelegd voor elke overtreding van deze verordening, naast of in plaats van de passende maatregelen die door de toezichthoudende autoriteit zijn opgelegd op grond van deze regeling. Bij een kleine overtreding of in het geval dat de boete dreigt te worden opgelegd
voor een natuurlijk persoon een onevenredige last vormt, kan in plaats van een boete een waarschuwing worden gegeven. Er moet echter voldoende aandacht worden besteed aan de aard, de ernst en de duur van de inbreuk, de opzettelijke aard van de inbreuk, de maatregelen die zijn genomen om de veroorzaakte schade te beperken, de mate van aansprakelijkheid of eventuele relevante eerdere inbreuken, de wijze waarop de inbreuk is gepleegd ter kennis van de toezichthoudende autoriteit is gebracht, het naleven van de maatregelen die zijn genomen tegen de exploitant of de door de exploitant gemachtigde persoon, het naleven van een gedragscode en elke andere verzwarende of verzachtende omstandigheid. Het opleggen van sancties, waaronder administratieve boetes, moet onderworpen zijn aan adequate procedurele waarborgen, in overeenstemming met de algemene beginselen van het recht van de Unie en het Handvest, waaronder effectieve rechterlijke bescherming en een eerlijk proces.
(149) De lidstaten moeten de regels kunnen vaststellen met betrekking tot strafrechtelijke sancties voor overtredingen van deze verordening, inclusief voor overtredingen van het nationale recht dat is vastgesteld op basis van en binnen de grenzen van deze verordening. De respectieve strafrechtelijke sancties kunnen ook het ontnemen van de winsten die zijn verkregen door het overtreden van deze verordening mogelijk maken. Het opleggen van strafrechtelijke sancties voor schendingen van dergelijke regels van nationaal recht en administratieve sancties mag echter niet leiden tot schending van het ne bis in idem-beginsel, zoals geïnterpreteerd door het Hof van Justitie.
(150) Om de administratieve sancties bij overtreding van deze verordening te consolideren en te harmoniseren, moet elke toezichthoudende autoriteit de bevoegdheid hebben om administratieve boetes op te leggen. Deze regeling moet de overtredingen, de maximumlimiet en de criteria voor het vaststellen van de daarmee samenhangende administratieve boetes aangeven, die in elk individueel geval door de bevoegde toezichthoudende autoriteit moeten worden vastgesteld, rekening houdend met alle relevante omstandigheden van de specifieke situatie, rekening houdend met er moet met name rekening worden gehouden met de aard, ernst en duur van de inbreuk, evenals met de gevolgen ervan en met de maatregelen die zijn genomen om de naleving van de verplichtingen uit hoofde van deze verordening te garanderen en om de gevolgen van de inbreuk te voorkomen of te verzachten. Wanneer aan een onderneming administratieve geldboeten worden opgelegd, moet een onderneming in dit verband worden begrepen als een onderneming in de zin van de artikelen 101 en 102 VWEU. Als administratieve boetes worden opgelegd aan personen die geen bedrijf zijn, moet de toezichthoudende autoriteit bij het schatten van het passende bedrag van de boete rekening houden met het algemene inkomensniveau van de betreffende lidstaat, evenals met de economische situatie van de persoon. Het consistentiemechanisme kan ook worden gebruikt om de consistente toepassing van administratieve boetes te bevorderen. De bevoegdheid om te bepalen of en in welke mate overheidsinstanties onderworpen moeten worden aan administratieve boetes zou bij de lidstaten moeten liggen. Het opleggen van een bestuurlijke boete of het versturen van een waarschuwing laat de toepassing van andere bevoegdheden van de toezichthouders of andere sancties op grond van deze regeling onverlet. (151) De rechtsstelsels van Denemarken en Estland staan geen administratieve boetes toe zoals bepaald in deze verordening. De regels inzake administratieve boetes kunnen zo worden toegepast dat in Denemarken de boete door de bevoegde nationale rechtbanken wordt opgelegd als strafrechtelijke sanctie, en in Estland wordt de boete door de toezichthoudende autoriteit opgelegd in het kader van een procedure wegens onrechtmatige daad, op voorwaarde dat een dergelijke toepassing van de boete regels in de respectieve lidstaten een effect hebben dat gelijkwaardig is aan dat van de administratieve boetes die door de toezichthoudende autoriteiten worden opgelegd. Daarom moeten de bevoegde nationale rechtbanken rekening houden met de aanbeveling van de toezichthoudende autoriteit die de boete heeft opgelegd. In ieder geval moeten de opgelegde boetes doeltreffend, evenredig en afschrikkend zijn. (152) Wanneer deze verordening de administratieve sancties niet harmoniseert of in andere gevallen, waar nodig, bijvoorbeeld in het geval van ernstige inbreuken op deze verordening, moeten de lidstaten een systeem invoeren dat voorziet in effectieve, evenredige en afschrikkende sancties. De aard van dergelijke sancties, strafrechtelijk of administratief, moet worden bepaald door het nationale recht.
(153) Het recht van de lidstaten moet een evenwicht tot stand brengen tussen de regels die de vrijheid van meningsuiting en informatie regelen, met inbegrip van journalistieke, academische, artistieke en/of literaire expressie, en het recht op de bescherming van persoonsgegevens uit hoofde van deze verordening. De verwerking van persoonsgegevens uitsluitend voor journalistieke doeleinden of met het oog op academische, artistieke of literaire expressie moet onderworpen zijn aan vrijstellingen of uitzonderingen van
bepaalde bepalingen van deze verordening voor het geval het nodig is om een evenwicht tot stand te brengen tussen het recht op de bescherming van persoonsgegevens en het recht op vrijheid van meningsuiting en informatie, zoals bepaald in artikel 11 van het handvest. Dit zou vooral moeten gelden voor de verwerking van persoonsgegevens op audiovisueel gebied, maar ook in nieuwsarchieven en krantenbibliotheken. Daarom moeten de lidstaten wetgevende maatregelen nemen die voorzien in de noodzakelijke uitzonderingen en afwijkingen om het evenwicht tussen deze grondrechten te waarborgen. De lidstaten moeten dergelijke uitzonderingen en afwijkingen vaststellen met betrekking tot de algemene beginselen, de rechten van de betrokkenen, de exploitant en de door de exploitant gemachtigde persoon, de overdracht van persoonsgegevens aan derde landen of internationale organisaties, onafhankelijke toezichthoudende autoriteiten, samenwerking en samenhang , evenals met betrekking tot specifieke gegevensverwerkingssituaties. Als deze uitzonderingen of vrijstellingen van lidstaat tot lidstaat verschillen, moet het recht van de lidstaat waaronder de exploitant valt van toepassing zijn. Om rekening te houden met het belang van het recht op vrijheid van meningsuiting in elke democratische samenleving, is het noodzakelijk dat begrippen die verband houden met deze vrijheid, zoals de journalistiek, in brede zin worden geïnterpreteerd.
(154) Deze verordening maakt het mogelijk om bij de toepassing van deze verordening rekening te houden met het beginsel van publieke toegang tot officiële documenten. De toegang van het publiek tot officiële documenten kan als in het openbaar belang worden beschouwd. Persoonsgegevens uit documenten die in het bezit zijn van een overheidsinstantie of een overheidsorgaan moeten door die autoriteit of dat orgaan openbaar kunnen worden gemaakt indien het recht van de Unie of het interne recht waaronder de overheidsinstantie of het overheidsorgaan valt daarin voorziet. Het recht van de Unie en het nationale recht moeten zorgen voor een evenwicht tussen de toegang van het publiek tot officiële documenten en het hergebruik van overheidsinformatie enerzijds, en het recht op de bescherming van persoonsgegevens anderzijds, en kunnen daarom de noodzakelijke evenwicht met het recht op de bescherming van persoonsgegevens op grond van deze verordening. De verwijzing naar overheidsinstanties en -organen moet in deze context alle autoriteiten of andere organen omvatten die onder de nationale wetgeving vallen met betrekking tot de toegang van het publiek tot documenten. Richtlijn 2003/98/EG van het Europees Parlement en de Raad (1) laat het beschermingsniveau van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens overeenkomstig het recht van de Unie en het interne recht intact en heeft op geen enkele wijze invloed, en in het bijzonder wijzigt het niets aan de rechten en plichten die in deze verordening zijn vastgelegd. De bovengenoemde richtlijn is met name niet van toepassing op documenten waartoe de toegang is uitgesloten of beperkt op grond van toegangsregelingen om redenen die verband houden met de bescherming van persoonsgegevens, noch op delen van documenten die toegankelijk zijn op grond van die regelingen en die persoonsgegevens bevatten waarvan het hergebruik is vastgesteld. bij wet onverenigbaar zijn met het recht inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
(1) Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 betreffende het hergebruik van overheidsinformatie (PB L 345 van 31.12.2003, blz. 90).
(155) Het interne recht of collectieve overeenkomsten, met inbegrip van "arbeidsovereenkomsten", kunnen voorzien in specifieke regels om de verwerking van persoonsgegevens van werknemers in het kader van het dienstverband te reguleren, met name de voorwaarden waaronder persoonsgegevens in het kader van het dienstverband op een werkplek kunnen worden verwerkt. worden verwerkt op basis van toestemming van de werknemer, met het oog op aanwerving, naleving van de voorwaarden van de arbeidsovereenkomst, inclusief het nakomen van verplichtingen vastgelegd door de wet of collectieve overeenkomsten, management, het plannen en organiseren van werk, gelijkheid en diversiteit op de werkplek, het waarborgen van de gezondheid en veiligheid op de werkplek, evenals met het oog op het uitoefenen en profiteren, individueel of collectief, van de rechten en voordelen die verband houden met werk, evenals met het doel van het beëindigen van de arbeidsrelatie.
(156) De verwerking van persoonsgegevens voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden moet op grond van deze verordening onderworpen zijn aan adequate garanties voor de rechten en vrijheden van de betrokkene. De respectieve garanties moeten ervoor zorgen dat de nodige technische en organisatorische maatregelen zijn getroffen om met name het beginsel van dataminimalisatie te waarborgen. De daaropvolgende verwerking van persoonsgegevens voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden vindt plaats wanneer de exploitant de haalbaarheid heeft beoordeeld voor het vervullen van
deze doelstellingen te verwezenlijken door persoonsgegevens te verwerken die de identificatie van de betrokken personen niet (meer) mogelijk maken, op voorwaarde dat er voldoende waarborgen zijn (zoals de pseudonimisering van persoonsgegevens). De lidstaten moeten adequate garanties bieden voor de verwerking van persoonsgegevens voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden. De lidstaten moeten de bevoegdheid krijgen om, onder bepaalde voorwaarden en met adequate garanties voor de betrokkenen, verduidelijkingen en vrijstellingen te verstrekken met betrekking tot verzoeken om informatie en het recht op rectificatie, het recht op wissing, het recht om vergeten te worden, en het recht op beperking van de verwerking , het recht op gegevensportabiliteit, evenals het recht op verzet in het geval van de verwerking van persoonsgegevens voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden. De voorwaarden en garanties in kwestie kunnen specifieke procedures genereren zodat de betrokkenen hun respectieve rechten uitoefenen als dit passend is in de context van de doeleinden waarop de specifieke verwerking betrekking heeft, evenals technische en organisatorische maatregelen gericht op het minimaliseren van de verwerking van persoonsgegevens. , in overeenstemming met de beginselen van evenredigheid en noodzakelijkheid. De verwerking van persoonsgegevens voor wetenschappelijke doeleinden moet ook voldoen aan andere relevante wetgeving, zoals die inzake klinische proeven.
(157) Door informatie uit registers te combineren kunnen onderzoekers waardevolle nieuwe kennis verwerven over wijdverbreide ziekten zoals hart- en vaatziekten, kanker en depressie. Op basis van registers kunnen onderzoeksresultaten worden versterkt, omdat ze gebaseerd zijn op een grotere populatie. In de sociale wetenschappen stelt registergebaseerd onderzoek onderzoekers in staat essentiële informatie te verkrijgen over de lange termijn correlatie van een reeks sociale omstandigheden, zoals werkloosheid of opleiding, met andere levensomstandigheden. Onderzoeksresultaten verkregen op basis van registers leveren solide en hoogwaardige kennis op, die de basis kan vormen voor de ontwikkeling en implementatie van op kennis gebaseerd beleid en die de kwaliteit van leven voor een aantal mensen, de efficiëntie van sociale dienstverlening kan verbeteren . Om wetenschappelijk onderzoek te vergemakkelijken, kunnen persoonsgegevens worden verwerkt voor wetenschappelijke onderzoeksdoeleinden, met inachtneming van de voorwaarden en overeenkomstige garanties die zijn vastgelegd in het recht van de Unie of in het nationale recht.
(158) Indien persoonsgegevens worden verwerkt voor archiveringsdoeleinden, moet deze verordening ook op die verwerking van toepassing zijn, rekening houdend met het feit dat deze verordening niet van toepassing mag zijn op overleden personen. Overheidsinstanties of publieke of private lichamen die documenten van openbaar belang bijhouden, moeten op grond van het recht van de Unie of het nationale recht een wettelijke verplichting hebben om documenten van blijvende waarde te verwerven, te bewaren, te evalueren, voor te bereiden, te beschrijven, te communiceren, te promoten, te verspreiden en de toegang tot documenten van blijvende waarde te garanderen van algemeen publiek belang. De lidstaten moeten ook kunnen voorzien in verdere verwerking van persoonsgegevens voor archiveringsdoeleinden, bijvoorbeeld om specifieke informatie te verstrekken over politiek gedrag tijdens voormalige totalitaire staatsregimes, genocides, misdaden tegen de menselijkheid, met name de holocaust, of oorlogsmisdaden.
(159) Indien persoonsgegevens worden verwerkt voor wetenschappelijk onderzoek, moet deze verordening ook op die verwerking van toepassing zijn. Voor de toepassing van deze verordening moet de verwerking van persoonsgegevens voor wetenschappelijke onderzoeksdoeleinden in brede zin worden geïnterpreteerd, en omvat bijvoorbeeld technologische ontwikkelings- en demonstratieactiviteiten, fundamenteel onderzoek, toegepast onderzoek en onderzoek gefinancierd uit particuliere bronnen. Bovendien moet rekening worden gehouden met de doelstelling van de Unie om een Europese Onderzoeksruimte tot stand te brengen, zoals vermeld in artikel 179, lid 1, VWEU. Tot de doelstellingen van wetenschappelijk onderzoek behoren ook studies te behoren die in het algemeen belang op het gebied van de volksgezondheid worden uitgevoerd. Om tegemoet te komen aan de specifieke kenmerken van de verwerking van persoonsgegevens voor wetenschappelijk onderzoeksdoeleinden dienen specifieke voorwaarden te gelden, in het bijzonder met betrekking tot de publicatie of openbaarmaking op een andere wijze van persoonsgegevens in het kader van wetenschappelijk onderzoek. Indien het resultaat van wetenschappelijk onderzoek, vooral in de gezondheidscontext, aanleiding vormt voor aanvullende maatregelen in het belang van de betrokkene, dienen de algemene regels van deze regeling met deze maatregelen in het achterhoofd te worden toegepast.
(160) Indien persoonsgegevens worden verwerkt voor historisch onderzoek, moet deze verordening ook op die verwerking van toepassing zijn. Dit dient ook historisch onderzoek en onderzoek voor genealogische doeleinden te omvatten, waarbij in gedachten moet worden gehouden dat deze regeling niet van toepassing mag zijn op overleden personen.
(161) Om toestemming te verlenen voor deelname aan wetenschappelijke onderzoeksactiviteiten binnen klinische proeven moeten de relevante bepalingen van Verordening (EU) nr. 536/2014 van het Europees Parlement en de Raad (1).
(1) Verordening (EU) nr. 536/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende interventionele klinische proeven met geneesmiddelen voor menselijk gebruik en tot intrekking van Richtlijn 2001/20/EG (PB L 158 van 27.5.2014, blz. 1).
(162) Indien persoonsgegevens voor statistische doeleinden worden verwerkt, moet deze verordening op die verwerking van toepassing zijn. Het recht van de Unie of het nationale recht moet, binnen de grenzen van deze verordening, de statistische inhoud, de toegangscontrole, de specificaties voor de verwerking van persoonsgegevens voor statistische doeleinden en de passende maatregelen bepalen om de rechten en vrijheden van de betrokkenen te beschermen en de vertrouwelijkheid te waarborgen. van statistische gegevens. Deze statistische resultaten kunnen later voor verschillende doeleinden worden gebruikt, waaronder voor wetenschappelijk onderzoek. Statistische doeleinden betekent elke handeling waarbij persoonsgegevens worden verzameld en verwerkt die nodig zijn voor statistische onderzoeken of voor de productie van statistische resultaten. Bij statistische doeleinden wordt ervan uitgegaan dat het resultaat van de verwerking voor statistische doeleinden geen persoonsgegevens betreft, maar geaggregeerde gegevens en dat dit resultaat of de persoonsgegevens niet worden gebruikt ter onderbouwing van maatregelen of besluiten ten aanzien van een bepaalde natuurlijke persoon.
(163) De vertrouwelijke informatie die de statistische autoriteiten op Unie- en nationaal niveau verzamelen om officiële Europese en nationale statistieken op te stellen, moet worden beschermd. Europese statistieken moeten worden ontworpen, ontwikkeld en verspreid in overeenstemming met de statistische beginselen die zijn vastgelegd in artikel 338, lid 2, VWEU, terwijl nationale statistieken ook in overeenstemming moeten zijn met het nationale recht. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (2) bevat aanvullende specificaties met betrekking tot de vertrouwelijkheid van statistische gegevens voor Europese statistieken.
(2) Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad van 11 maart 2009 betreffende Europese statistieken en tot intrekking van Verordening (EG, Euratom) nr. 1101/2008 van het Europees Parlement en de Raad betreffende de overdracht van vertrouwelijke statistische gegevens aan het Bureau voor de Statistiek van de Europese Gemeenschappen, van Verordening (EG) nr. 322/97 van de Raad betreffende gemeenschapsstatistieken en Besluit 89/382/EEG, Euratom van de Raad tot oprichting van het Comité voor statistische programma's van de Europese Gemeenschappen (PB L 87 van 31.3.2009, blz. 164).
(164) Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de exploitant of van de door de exploitant gemachtigde persoon toegang te verkrijgen tot persoonsgegevens en toegang tot hun gebouwen, kunnen de lidstaten door middel van wetgeving en binnen de door deze verordening gestelde grenzen het volgende aannemen: specifieke regels ter bescherming van het beroepsgeheim of andere gelijkwaardige verplichtingen, voor zover dit noodzakelijk is om een evenwicht te garanderen tussen het recht op bescherming van persoonsgegevens en de verplichting om het beroepsgeheim te bewaren. Dit doet geen afbreuk aan de bestaande verplichtingen van de lidstaten om regels vast te stellen met betrekking tot het beroepsgeheim in de door het Unierecht vereiste situaties.
(165) Deze verordening respecteert en doet geen afbreuk aan de status die kerken en religieuze verenigingen of gemeenschappen in de lidstaten op basis van het bestaande constitutionele recht genieten, zoals erkend in artikel 17 VWEU.
(166) Om de doelstellingen van deze verordening te verwezenlijken, namelijk het beschermen van de fundamentele rechten en vrijheden van natuurlijke personen en in het bijzonder hun recht op de bescherming van persoonsgegevens, en het garanderen van het vrije verkeer van persoonsgegevens op het grondgebied van de Unie moet de bevoegdheid om handelingen vast te stellen overeenkomstig artikel 290 VWEU aan de Commissie worden gedelegeerd. Er moeten met name gedelegeerde handelingen worden vastgesteld met betrekking tot de criteria en vereisten voor certificeringsmechanismen, de informatie die moet worden gepresenteerd door gestandaardiseerde pictogrammen en de procedures voor het verstrekken van dergelijke pictogrammen. Het is vooral belangrijk dat binnen
haar voorbereidende activiteiten moet de Commissie passend overleg organiseren, ook op deskundigenniveau. Bij het voorbereiden en opstellen van gedelegeerde handelingen moet de Commissie zorgen voor de gelijktijdige, tijdige en passende toezending van relevante documenten aan het Europees Parlement en de Raad.
(167) Om uniforme voorwaarden voor de uitvoering van deze verordening te garanderen, moet de Commissie worden voorzien van handhavingsbevoegdheden in de situaties waarin deze verordening voorziet. De respectieve bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011. In deze context zou de Commissie specifieke maatregelen voor micro-ondernemingen en voor kleine en middelgrote ondernemingen moeten overwegen.
(168) De onderzoeksprocedure moet worden gebruikt voor de vaststelling van uitvoeringshandelingen met betrekking tot: standaardcontractbepalingen tussen exploitanten en door exploitanten gemachtigde personen, alsmede tussen door exploitanten gemachtigde personen; gedragscodes; technische normen en certificeringsmechanismen; het passende beschermingsniveau dat wordt geboden door een derde land, een gebied of een bepaalde verwerkingssector in dat derde land, of door een internationale organisatie; standaardclausules inzake gegevensbescherming; formaten en procedures voor de elektronische uitwisseling van informatie tussen exploitanten, door exploitanten gemachtigde personen en toezichthoudende autoriteiten voor verplichte bedrijfsregels; wederzijdse hulp; evenals de modaliteiten voor de elektronische uitwisseling van informatie tussen de toezichthouders, alsook tussen de toezichthouders en het comité.
(169) De Commissie moet onmiddellijk toepasselijke uitvoeringshandelingen vaststellen wanneer uit het beschikbare bewijsmateriaal blijkt dat een derde land, een gebied of een bepaalde verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau garandeert, en ook voor dwingende redenen van urgentie.
(170) Aangezien de doelstelling van deze verordening, namelijk het garanderen van een gelijkwaardig niveau van bescherming van natuurlijke personen en het vrije verkeer van persoonsgegevens in de hele Unie, niet op bevredigende wijze door de lidstaten kan worden verwezenlijkt, maar gezien de reikwijdte of gevolgen van maatregelen wel kan Om beter op het niveau van de Unie te worden verwezenlijkt, kan zij maatregelen nemen in overeenstemming met het subsidiariteitsbeginsel, zoals gedefinieerd in artikel 5 van het Verdrag betreffende de Europese Unie ("EU-Verdrag"). In overeenstemming met het evenredigheidsbeginsel, zoals gedefinieerd in het betreffende artikel, gaat deze verordening niet verder dan nodig is om de genoemde doelstellingen te verwezenlijken.
(171) Richtlijn 95/46/EG moet door deze verordening worden ingetrokken. De verwerking die aan de gang is op de datum van toepassing van deze verordening moet binnen twee jaar na de datum van inwerkingtreding van deze verordening in overeenstemming worden gebracht met deze verordening. Als de verwerking gebaseerd is op toestemming op grond van Richtlijn 95/46/EG, is het niet nodig dat de betrokkene opnieuw toestemming geeft als de wijze waarop de toestemming is gegeven in overeenstemming is met de voorwaarden van deze verordening, zodat de Het is de exploitant toegestaan deze verwerking voort te zetten na de datum van toepassing van deze verordening. De vastgestelde besluiten van de Commissie en de machtigingen van de toezichthoudende autoriteiten die zijn verleend op basis van Richtlijn 95/46/EG blijven van kracht totdat ze worden gewijzigd, vervangen of ingetrokken.
(172) De Europese Autoriteit voor gegevensbescherming werd geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 7 maart 2012 een advies uitgebracht (1).
(1) PB C 192 van 30.6.2012, blz. 7.
(173) Deze verordening moet van toepassing zijn op alle aspecten die verband houden met de bescherming van de fundamentele rechten en vrijheden in verband met de verwerking van persoonsgegevens, waarvoor geen specifieke verplichtingen gelden met hetzelfde doel als die welke zijn vastgelegd in Richtlijn 2002/58/EG van de Europees Parlement en de Raad (2), inclusief de verplichtingen met betrekking tot de exploitant en de rechten van natuurlijke personen. Om de relatie tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, moet die richtlijn dienovereenkomstig worden gewijzigd. Na de vaststelling van deze verordening moet met name Richtlijn 2002/58/EG worden herzien om consistentie met deze verordening te garanderen,
(2) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de vertrouwelijkheid in de openbare communicatiesector (Richtlijn betreffende vertrouwelijkheid en elektronische communicatie) (PB L 201 van 31.7.2002, blz. 37).
ACCEPTEER DIT REGLEMENT:
- **** -
HOOFDSTUK I: Algemene bepalingen
Artikel 1: Voorwerp en doelstellingen
(1) Deze verordening stelt de regels vast met betrekking tot de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, evenals de regels met betrekking tot het vrije verkeer van persoonsgegevens.
(2) Deze verordening waarborgt de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen en in het bijzonder hun recht op de bescherming van persoonsgegevens.
(3) Het vrije verkeer van persoonsgegevens binnen de Unie kan niet worden beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
Artikel 2: Materiële reikwijdte
(1) Deze regeling is van toepassing op de verwerking van persoonsgegevens, geheel of gedeeltelijk geautomatiseerd, evenals op de verwerking met andere dan geautomatiseerde middelen van persoonsgegevens die deel uitmaken van een gegevensregistratiesysteem of die bedoeld zijn deel uitmaken van een gegevensregistratiesysteem.
(2) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:
a) binnen een activiteit die niet onder het recht van de Unie valt;
b) door de lidstaten bij het uitvoeren van activiteiten die vallen onder Hoofdstuk 2 van Titel V van het EU-Verdrag;
c) door een natuurlijke persoon in een uitsluitend persoonlijke of huishoudelijke activiteit;
d) door de bevoegde autoriteiten met het oog op de preventie, het onderzoek, de opsporing of de strafrechtelijke vervolging van misdrijven, of de uitvoering van strafrechtelijke sancties, met inbegrip van bescherming tegen bedreigingen voor de openbare veiligheid en de preventie daarvan.
(3) Voor de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie is Verordening (EG) nr. 45/2001. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op een dergelijke verwerking van persoonsgegevens zijn aangepast aan de principes en regels van deze verordening in overeenstemming met artikel 98.
(4) Deze verordening heeft geen invloed op de toepassing van Richtlijn 2000/31/EG, en met name op de regels met betrekking tot de aansprakelijkheid van dienstverleners als tussenpersoon, zoals bepaald in de artikelen 12 tot en met 15 van genoemde richtlijn.
Artikel 3: Territoriale reikwijdte
(1) Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van het hoofdkantoor van een exploitant of een door de exploitant gemachtigde persoon op het grondgebied van de Unie, ongeacht of de verwerking plaatsvindt op het grondgebied van de Unie of niet.
(2) Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden door een exploitant of een door de exploitant gemachtigde persoon die niet in de Unie is gevestigd, wanneer de verwerkingsactiviteiten verband houden met:
a) het aanbieden van goederen of diensten aan dergelijke betrokken personen in de Unie, ongeacht of de betrokken persoon al dan niet om betaling vraagt; of
b) het monitoren van hun gedrag als dit zich binnen de Unie manifesteert.
(3) Deze verordening is van toepassing op de verwerking van persoonsgegevens door een exploitant die niet in de Unie is gevestigd, maar op een plaats waar nationaal recht wordt toegepast op basis van internationaal publiekrecht.
Artikel 4: Definities
Voor de toepassing van deze verordening:
1. "persoonlijke gegevens" betekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon is een persoon die dat kan zijn
direct of indirect geïdentificeerd, met name door verwijzing naar een identificatie-element, zoals een naam, een identificatienummer, locatiegegevens, een online-identificator, of naar een of meer specifieke elementen, zijn eigen fysieke, fysiologische identiteit, genetische, psychologische, economisch, cultureel of sociaal; 2. "verwerking" betekent elke bewerking of reeks bewerkingen die wordt uitgevoerd op persoonsgegevens of sets van persoonsgegevens, met of zonder gebruik van geautomatiseerde middelen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, aanpassen of wijzigen, extraheren, raadplegen , gebruik, openbaarmaking door verzending, verspreiding of op enige andere wijze beschikbaar stellen, afstemming of combinatie, beperking, verwijdering of vernietiging 3. "beperking van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de toekomstige verwerking ervan te beperken;
4. "profilering": elke vorm van automatische verwerking van persoonsgegevens die bestaat uit het gebruik van persoonsgegevens om bepaalde persoonlijke aspecten met betrekking tot een natuurlijke persoon te evalueren, in het bijzonder om aspecten van prestaties op het werk of de economische situatie te analyseren of te voorspellen , gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, de plaats waar de betreffende natuurlijke persoon zich bevindt of zijn verplaatsingen;
5. Onder ‘pseudonimisering’ wordt verstaan de verwerking van persoonsgegevens op een zodanige wijze dat deze niet langer aan een specifieke betrokkene kunnen worden toegeschreven zonder gebruik te maken van aanvullende informatie, op voorwaarde dat deze aanvullende informatie afzonderlijk wordt opgeslagen en onderworpen is aan bepaalde technische en organisatorische maatregelen om ervoor zorgen dat de betreffende persoonsgegevens niet worden toegewezen aan een geïdentificeerde of identificeerbare natuurlijke persoon;
6. "gegevensregistratiesysteem": elke gestructureerde reeks persoonsgegevens die volgens specifieke criteria toegankelijk is, ongeacht of deze gecentraliseerd, gedecentraliseerd of gedistribueerd is volgens functionele of geografische criteria;
7. "exploitant": de natuurlijke of rechtspersoon, overheidsinstantie, agentschap of ander orgaan dat, alleen of samen met anderen, de doeleinden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden en middelen van de verwerking zijn vastgelegd in het recht van de Unie of het nationale recht, kunnen de exploitant of de specifieke criteria voor de aanwijzing ervan worden bepaald in het recht van de Unie of het nationale recht;
8. "door de exploitant gemachtigde persoon": de natuurlijke of rechtspersoon, overheidsinstantie, agentschap of andere instantie die namens de exploitant persoonsgegevens verwerkt; 9. "ontvanger" betekent de natuurlijke of rechtspersoon, overheidsinstantie, dienst of ander orgaan aan wie (aan wie) de persoonsgegevens worden bekendgemaakt, ongeacht of het een derde partij is of niet. Overheidsinstanties aan wie persoonsgegevens kunnen worden doorgegeven in het kader van een bepaald onderzoek in overeenstemming met het recht van de Unie of het interne recht, worden echter niet als ontvangers beschouwd; de verwerking van deze gegevens door de respectieve overheidsinstanties voldoet aan de toepasselijke regels voor gegevensbescherming, in overeenstemming met de doeleinden van de verwerking;
10. "derde partij": een natuurlijke of rechtspersoon, overheidsinstantie, agentschap of orgaan, anders dan de betrokkene, de exploitant, de door de exploitant gemachtigde persoon en de personen die, onder rechtstreeks gezag van de exploitant of de gemachtigde persoon door de exploitant bevoegd zijn om persoonsgegevens te verwerken;
11. “toestemming” van de betrokkene: elke uiting van de vrije, specifieke, geïnformeerde en ondubbelzinnige wil van de betrokkene waarmee hij/zij door middel van een verklaring of een ondubbelzinnige handeling aanvaardt dat de hem/haar betreffende persoonsgegevens worden verwerkt ; 12. "inbreuk op de beveiliging van persoonsgegevens": een inbreuk op de beveiliging die, per ongeluk of illegaal, leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van persoonsgegevens die op een andere manier worden verzonden, opgeslagen of verwerkt, of tot ongeoorloofde toegang daartoe;
13. "genetische gegevens": de persoonsgegevens die verband houden met de erfelijke of verworven genetische kenmerken van een natuurlijke persoon, die unieke informatie verschaffen over de fysiologie of de gezondheid van de persoon in kwestie en die met name voortkomen uit een analyse van een monster van biologische door de persoon in kwestie verzameld materiaal;
14. "biometrische gegevens": persoonsgegevens die voortvloeien uit specifieke verwerkingstechnieken die verband houden met de fysieke, fysiologische of gedragskenmerken van een natuurlijke persoon en die de unieke identificatie van die persoon mogelijk maken of bevestigen, zoals gezichtsopnamen of dactyloscopische gegevens;
15. "gezondheidsgegevens": persoonsgegevens die verband houden met de lichamelijke of geestelijke gezondheid van een natuurlijke persoon, met inbegrip van het verlenen van medische hulpdiensten, die informatie over zijn of haar gezondheidstoestand onthullen;
16. "hoofdkwartier" betekent:
a) in het geval van een exploitant met hoofdkantoor in ten minste twee lidstaten, de plaats waar zijn centrale administratie zich in de Unie bevindt, tenzij de beslissingen met betrekking tot de doeleinden en middelen voor de verwerking van persoonsgegevens worden genomen in een andere zetel van de exploitant exploitant in de Unie, zetel die de bevoegdheid heeft om de uitvoering van deze besluiten te gelasten, in welk geval de zetel die de respectieve besluiten heeft genomen, als de hoofdzetel wordt beschouwd;
b) in het geval van een door de exploitant gemachtigde persoon met hoofdkantoor in ten minste twee lidstaten, de plaats waar zijn centrale administratie zich in de Unie bevindt, of, als de door de exploitant gemachtigde persoon geen centrale administratie heeft in de Unie, de zetel van de Unie van de door de exploitant gemachtigde persoon waar de voornaamste verwerkingsactiviteiten plaatsvinden, in het kader van de activiteiten van een kantoor van de door de exploitant gemachtigde persoon, voor zover dit onderworpen is aan specifieke verplichtingen uit hoofde van deze verordening;
17. "vertegenwoordiger": een natuurlijke of rechtspersoon gevestigd in de Unie, schriftelijk aangewezen door de exploitant of de door de exploitant gemachtigde persoon overeenkomstig artikel 27, die de exploitant of de gemachtigde persoon vertegenwoordigt met betrekking tot hun respectieve verplichtingen uit hoofde van dit artikel. regelgeving;
18. "onderneming": een natuurlijke of rechtspersoon die een economische activiteit uitoefent, ongeacht de rechtsvorm ervan, met inbegrip van vennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;
19. "groep van ondernemingen": een onderneming die zeggenschap uitoefent, en de ondernemingen die door haar worden gecontroleerd;
20. "verplichte bedrijfsregels": het beleid inzake de bescherming van persoonsgegevens dat moet worden nageleefd door een exploitant of een door de exploitant gemachtigde persoon die gevestigd is op het grondgebied van een lidstaat, met betrekking tot overdrachten of sets van gegevensoverdrachten met een persoonlijk karakter naar een exploitant of een door de exploitant gemachtigde persoon in een of meer derde landen binnen een groep bedrijven of een groep bedrijven die betrokken zijn bij een gemeenschappelijke economische activiteit;
21. "toezichthoudende autoriteit": een onafhankelijke publieke autoriteit opgericht door een lidstaat overeenkomstig artikel 51;
22. "gerichte toezichthoudende autoriteit": een toezichthoudende autoriteit die het doelwit is van de verwerking van persoonsgegevens omdat:
a) de exploitant of de door de exploitant gemachtigde persoon is gevestigd op het grondgebied van de lidstaat van de desbetreffende toezichthoudende autoriteit;
(b) de betrokkenen die woonachtig zijn in de lidstaat waar de desbetreffende toezichthoudende autoriteit is gevestigd, worden aanzienlijk getroffen of zullen waarschijnlijk aanzienlijk worden getroffen door de verwerking; of
c) er is een klacht ingediend bij de desbetreffende toezichthoudende autoriteit;
23. "grensoverschrijdende verwerking":
(a) ofwel de verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van de kantoren in verschillende lidstaten van een exploitant of een door de exploitant gemachtigde persoon op het grondgebied van de Unie, indien de exploitant of de door de exploitant gemachtigde persoon de exploitant heeft kantoren in ten minste twee lidstaten; of
b) ofwel de verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van een enkel kantoor van een exploitant of van een door de exploitant gemachtigde persoon op het grondgebied van de Unie, maar die van invloed is op
betrokkenen uit ten minste twee lidstaten aanzienlijk of waarschijnlijk aanzienlijk zullen beïnvloeden;
24. “relevant en gemotiveerd bezwaar”: een bezwaar tegen een ontwerpbesluit teneinde vast te stellen of er sprake is van een overtreding van deze regeling dan wel of de beoogde maatregelen ten aanzien van de exploitant of de door de exploitant gemachtigde persoon in overeenstemming zijn met deze regeling, die toont duidelijk duidelijk het belang aan van de risico's die het ontwerpbesluit met zich meebrengt met betrekking tot de fundamentele rechten en vrijheden van de betrokken personen en, in voorkomend geval, het vrije verkeer van persoonsgegevens binnen de Unie;
25. Onder ‘diensten van de informatiemaatschappij’ wordt verstaan een dienst zoals gedefinieerd in artikel 1
lid 1 letter b) van Richtlijn 2015/1535/EG van het Europees Parlement en de Raad (1);
(1) Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad van 9 september 2015 betreffende de procedure voor het verstrekken van informatie op het gebied van technische voorschriften en regels met betrekking tot de diensten van de informatiemaatschappij (PB L 241 van 17.9.2015, blz. . 1).
(vanaf 23 mei 2018, art. 4, punt 25. van hoofdstuk I gerectificeerd door punt 2. van de rectificatie van 23 mei 2018)
26. "internationale organisatie": een organisatie en haar ondergeschikte lichamen die worden gereguleerd door het internationaal publiekrecht of enig ander lichaam dat is opgericht bij een overeenkomst gesloten tussen twee of meer landen of op basis van een dergelijke overeenkomst.
HOOFDSTUK II: Principes
Artikel 5: Principes met betrekking tot de verwerking van persoonsgegevens
(1) Persoonsgegevens zijn:
a) op legale, eerlijke en transparante wijze voor de betrokkene verwerkt ("wettigheid, eerlijkheid en transparantie");
b) verzameld voor specifieke, expliciete en legitieme doeleinden en vervolgens niet worden verwerkt op een manier die onverenigbaar is met deze doeleinden; daaropvolgende verwerking voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden wordt niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd, in overeenstemming met artikel 89, lid 1 ("beperkingen met betrekking tot het doel");
c) adequaat, relevant en beperkt tot wat nodig is in relatie tot de doeleinden waarvoor ze worden verwerkt ("gegevensminimalisatie");
d) accuraat en, indien nodig, te actualiseren; alle noodzakelijke maatregelen moeten worden genomen om ervoor te zorgen dat persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld worden verwijderd of gecorrigeerd ("nauwkeurigheid");
e) bewaard in een vorm die de identificatie van de betrokken personen mogelijk maakt, gedurende een periode die niet langer is dan de periode die nodig is om de doeleinden te verwezenlijken waarvoor de gegevens worden verwerkt; persoonsgegevens kunnen voor langere perioden worden bewaard voor zover ze uitsluitend worden verwerkt voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, in overeenstemming met artikel 89 lid (1), onder voorbehoud van de implementatie van de passende technische en organisatorische maatregelen waarin deze verordening voorziet om de rechten en vrijheden van de betrokkene te garanderen ("opslaggerelateerde beperkingen");
f) verwerkt op een manier die een adequate beveiliging van persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of illegale verwerking en tegen onopzettelijk verlies, vernietiging of schade, door het nemen van passende technische of organisatorische maatregelen ("integriteit en vertrouwelijkheid").
(2) De exploitant is verantwoordelijk voor de naleving van lid (1) en kan deze naleving aantonen ("verantwoordelijkheid").
Art. 6: Rechtmatigheid van de verwerking
(1) De verwerking is alleen rechtsgeldig als en voor zover ten minste een van de volgende voorwaarden van toepassing is:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen alvorens een contract te sluiten;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de exploitant rust;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak die een openbaar belang dient of voortvloeit uit de uitoefening van het openbaar gezag dat aan de exploitant is toevertrouwd;
f) de verwerking is noodzakelijk voor de behartiging van de legitieme belangen die door de exploitant of een derde partij worden nagestreefd, tenzij de belangen of fundamentele rechten en vrijheden van de betrokkene prevaleren, die de bescherming van persoonsgegevens vereisen, vooral wanneer de betrokkene een kind.
Letter (f) van het eerste lid is niet van toepassing in geval van verwerking door overheidsinstanties in het kader van de vervulling van hun taken.
(2) De lidstaten kunnen meer specifieke bepalingen handhaven of invoeren om de toepassing van de regels van deze verordening met betrekking tot verwerking aan te passen, teneinde te voldoen aan lid (1), letters (c) en (e), door preciezere specifieke eisen te definiëren met betrekking tot verwerking en andere maatregelen om een wettelijke en eerlijke verwerking te garanderen, ook voor andere specifieke verwerkingssituaties, zoals bepaald in hoofdstuk IX.
(3) De basis voor de verwerking waarnaar wordt verwezen in paragraaf (1) letters (c) en (e) moet worden verstrekt in: a) het recht van de Unie; of
b) het nationale recht dat op de exploitant van toepassing is.
Het doel van de verwerking wordt vastgesteld op basis van de respectieve rechtsgrondslag of, wat betreft de verwerking bedoeld in lid (1), letter (e), noodzakelijk is voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of binnen de uitoefening van een publieke functie die aan de exploitant is opgedragen. De respectieve rechtsgrondslag kan specifieke bepalingen bevatten met betrekking tot de aanpassing van de toepassing van de regels van deze verordening, onder meer: de algemene voorwaarden die de rechtmatigheid van de verwerking door de exploitant regelen; de soorten gegevens die het onderwerp zijn van verwerking; de betrokken personen; de entiteiten waaraan de gegevens kunnen worden bekendgemaakt en het doel waarvoor de genoemde persoonsgegevens kunnen worden bekendgemaakt; doelbeperkingen; bewaartermijnen; en verwerkingsactiviteiten en -procedures, inclusief maatregelen om legale en eerlijke verwerking te garanderen, zoals die voor andere specifieke verwerkingssituaties zoals bepaald in Hoofdstuk IX. Het recht van de Unie of het nationale recht streeft een doelstelling van algemeen belang na en is evenredig aan het nagestreefde legitieme doel.
(4) Indien de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet gebaseerd is op de toestemming van de betrokkene of op het recht van de Unie of het interne recht, wat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor ter bescherming van de doeleinden bedoeld in artikel 23 lid (1) houdt de exploitant, om te bepalen of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens initieel zijn verzameld, onder meer rekening met:
a) elk verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de beoogde verdere verwerking;
b) de context waarin de persoonsgegevens zijn verzameld, vooral met betrekking tot de relatie tussen de betrokkenen en de exploitant;
c) de aard van persoonsgegevens, vooral in het geval van de verwerking van bijzondere categorieën persoonsgegevens, in overeenstemming met artikel 9, of in het geval dat persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, in overeenstemming met artikel 10;
d) de mogelijke gevolgen voor de betrokkenen van de verwachte verdere verwerking;
e) het bestaan van adequate garanties, waaronder versleuteling of pseudonimisering.
Art. 7: Voorwaarden met betrekking tot toestemming
(1) Indien de verwerking gebaseerd is op toestemming, moet de exploitant kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
(2) Indien de toestemming van de betrokkene wordt gegeven in de context van een schriftelijke verklaring die ook naar andere aspecten verwijst, moet het verzoek om toestemming worden ingediend in een vorm die het duidelijk onderscheidt van de andere aspecten, in een vorm die begrijpelijk en begrijpelijk is. gemakkelijk toegankelijk, met behulp van een
duidelijke en eenvoudige taal. Elk deel van die verklaring dat een overtreding van deze verordening vormt, is niet verplicht.
(3) De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De intrekking van de toestemming heeft geen invloed op de rechtmatigheid van de verwerking die op basis van de toestemming is uitgevoerd vóór de intrekking ervan. Voordat de toestemming wordt verleend, wordt de betrokkene hierover geïnformeerd. Het intrekken van toestemming is net zo eenvoudig als het geven ervan.
(4) Bij de beoordeling of de toestemming vrijelijk is gegeven, wordt zoveel mogelijk rekening gehouden met het feit dat onder meer de uitvoering van een contract, met inbegrip van het verlenen van een dienst, al dan niet afhankelijk is van de toestemming met betrekking tot de verwerking van persoonlijke gegevens die niet noodzakelijk zijn voor de uitvoering van dit contract.
Art. 8: Toepasselijke voorwaarden met betrekking tot de toestemming van kinderen met betrekking tot diensten van de informatiemaatschappij
(1) Als artikel 6, lid 1, onder a), van toepassing is op het rechtstreeks aanbieden van diensten van de informatiemaatschappij aan een kind, is de verwerking van de persoonsgegevens van een kind legaal als het kind minstens 16 jaar oud is. Als het kind jonger is dan 16 jaar, is de betreffende verwerking alleen legaal als en voor zover de desbetreffende toestemming wordt verleend of geautoriseerd door de houder van de ouderlijke verantwoordelijkheid voor het kind.
De lidstaten kunnen voor deze doeleinden bij wet een lagere leeftijd vaststellen, op voorwaarde dat de lagere leeftijd niet minder dan 13 jaar bedraagt.
(2) De exploitant doet alle redelijke inspanningen om in dergelijke gevallen te verifiëren of de houder van de ouderlijke verantwoordelijkheid toestemming heeft verleend of geautoriseerd, rekening houdend met de beschikbare technologieën.
(3) Paragraaf (1) heeft geen invloed op het algemene contractenrecht dat van toepassing is in de lidstaten, zoals de regels met betrekking tot de geldigheid, het sluiten of de gevolgen van een contract met betrekking tot een kind.
Artikel 9: Verwerking van bijzondere categorieën van persoonsgegevens
(1) De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze belijdenis of filosofische overtuigingen of lidmaatschap van een vakbond blijken, en de verwerking van genetische gegevens, biometrische gegevens voor de unieke identificatie van een natuurlijk persoon, gegevens over de gezondheid of gegevens over het seksuele leven of de seksuele geaardheid van een natuurlijk persoon.
(2) Paragraaf (1) is niet van toepassing in de volgende situaties:
a) de betrokkene heeft zijn uitdrukkelijke toestemming gegeven voor de verwerking van deze persoonsgegevens voor een of meer specifieke doeleinden, tenzij het recht van de Unie of het interne recht bepaalt dat het verbod van lid 1 niet kan worden opgeheven met toestemming van de betrokkene ;
b) de verwerking is noodzakelijk voor het nakomen van de verplichtingen en het uitoefenen van specifieke rechten van de exploitant of de betrokkene op het gebied van werkgelegenheid en sociale zekerheid en sociale bescherming, voor zover dit is toegestaan door het recht van de Unie of het interne recht, of een naar nationaal recht gesloten collectieve arbeidsovereenkomst die adequate waarborgen biedt voor de fundamentele rechten en belangen van de betrokkene;
c) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen, wanneer de betrokkene fysiek of juridisch niet in staat is toestemming te geven;
d) de verwerking wordt uitgevoerd in het kader van hun legitieme activiteiten en met voldoende garanties door een stichting, een vereniging of een andere non-profitorganisatie met politieke, filosofische, religieuze of vakbondsspecifieke kenmerken, op voorwaarde dat de verwerking alleen betrekking heeft op haar leden of op de voormalige leden van het desbetreffende orgaan of aan personen met wie zij permanente contacten heeft in verband met haar doeleinden en dat persoonsgegevens niet aan derden worden doorgegeven zonder toestemming van de betrokken personen; e) de verwerking heeft betrekking op persoonsgegevens die door de betrokkene openlijk openbaar worden gemaakt;
f) de verwerking is noodzakelijk voor het vaststellen, uitoefenen of verdedigen van een recht in de rechtbank of telkens wanneer de rechtbanken optreden in de uitoefening van hun rechterlijke functie;
g) de verwerking is noodzakelijk om redenen van groot openbaar belang, gebaseerd op het recht van de Unie of het interne recht, die evenredig is aan het nagestreefde doel, de essentie van het recht op gegevensbescherming respecteert en passende en specifieke maatregelen biedt om de grondrechten te beschermen en belangen van de betrokkene;
h) de verwerking is noodzakelijk voor doeleinden die verband houden met preventieve of arbeidsgeneeskunde, de beoordeling van de arbeidsgeschiktheid van de werknemer, het stellen van een medische diagnose, het verlenen van medische of sociale bijstand of medische behandeling of het beheer van gezondheidszorgstelsels en -diensten of van sociale bijstand, gebaseerd op het recht van de Unie of het interne recht, of op basis van een contract gesloten met een medische staf en onder voorbehoud van naleving van de voorwaarden en garanties bedoeld in lid 3;
i) de verwerking is noodzakelijk om redenen van openbaar belang op het gebied van de volksgezondheid, zoals bescherming tegen ernstige grensoverschrijdende bedreigingen van de gezondheid of het waarborgen van hoge kwaliteitsnormen en de veiligheid van medische zorg en medicijnen of medische hulpmiddelen, op basis van het Unierecht of van het nationale recht, dat voorziet in passende en specifieke maatregelen om de rechten en vrijheden van de betrokken persoon te beschermen, met name het beroepsgeheim; of j) de verwerking is noodzakelijk voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, in overeenstemming met artikel 89, lid 1, op basis van het recht van de Unie of het interne recht, en die evenredig is aan de doelstelling wordt gevolgd, respecteert de essentie van het recht op gegevensbescherming en voorziet in passende en specifieke maatregelen om de fundamentele rechten en belangen van de betrokkene te beschermen.
(3) De in lid (1) bedoelde persoonsgegevens kunnen worden verwerkt voor de in lid (2) letter (h) genoemde doeleinden, indien de desbetreffende gegevens worden verwerkt door een professional die onderworpen is aan de verplichting tot geheimhouding of krachtens de verantwoordelijkheid draagt, op grond van het recht van de Unie of het nationale recht of op grond van de regels die zijn vastgesteld door bevoegde nationale instanties of door een andere persoon die ook onderworpen is aan een geheimhoudingsplicht krachtens het recht van de Unie of het nationale recht, of op grond van de regels die zijn vastgesteld door bevoegde nationale instanties.
(4) De lidstaten kunnen aanvullende voorwaarden handhaven of invoeren, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gezondheidsgegevens.
Art. 10: Verwerking van persoonsgegevens in verband met strafrechtelijke veroordelingen en misdrijven
De verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen overeenkomstig artikel 6, lid 1, vindt uitsluitend plaats onder controle van een overheidsinstantie of wanneer de verwerking is toegestaan door het recht van de Unie of door het nationale recht dat bepaalt adequate waarborgen voor de rechten en vrijheden van de betrokken personen. Een alomvattend register van strafrechtelijke veroordelingen wordt uitsluitend bijgehouden onder toezicht van een staatsautoriteit.
Art. 11: Verwerking waarvoor geen identificatie vereist is
(1) Indien de doeleinden waarvoor een exploitant persoonsgegevens verwerkt de identificatie van een betrokkene door de exploitant niet (meer) vereisen, is de exploitant niet verplicht om aanvullende informatie te bewaren, verkrijgen of verwerken om de betrokkene te identificeren het enige doel om aan deze verordening te voldoen.
(2) Indien de exploitant in de in lid 1 van dit artikel genoemde gevallen kan aantonen dat hij de betrokkene niet kan identificeren, stelt de exploitant de betrokkene daarvan, indien mogelijk, daarvan op de hoogte. In dergelijke gevallen zijn de artikelen 15 tot en met 20 niet van toepassing, tenzij de betrokkene, om zijn rechten uit hoofde van die artikelen uit te oefenen, aanvullende informatie verstrekt die zijn identificatie mogelijk maakt.
HOOFDSTUK III: Rechten van de betrokkene
Deel 1: Transparantie en modaliteiten
Art. 12: Transparantie van informatie, communicatie en methoden voor de uitoefening van de rechten van de betrokkene
(1) De exploitant neemt passende maatregelen om de betrokkene te voorzien van alle informatie waarnaar wordt verwezen in de artikelen 13 en 14 en alle communicatie op basis van de artikelen 15-22 en 34 met betrekking tot de verwerking, in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm, vooral door gebruik te maken van duidelijke en eenvoudige taal
voor alle informatie die specifiek op een kind gericht is. De informatie wordt schriftelijk of op andere wijze verstrekt, inclusief, indien van toepassing, in elektronisch formaat. Op verzoek van de betrokkene kan de informatie mondeling worden verstrekt, mits de identiteit van de betrokkene op andere wijze wordt bewezen.
(2) De exploitant vergemakkelijkt de uitoefening van de rechten van de betrokkene overeenkomstig de artikelen 15-22. In de gevallen bedoeld in artikel 11 lid (2) weigert de exploitant niet te voldoen aan het verzoek van de betrokkene om zijn rechten uit te oefenen overeenkomstig de artikelen 15 tot en met 22, tenzij de exploitant aantoont dat hij niet in staat is de betrokkene te identificeren .
(3) De exploitant verstrekt de betrokkene zonder onnodige vertraging en in ieder geval uiterlijk één maand na ontvangst van het verzoek informatie over de acties die zijn ondernomen naar aanleiding van een verzoek op basis van de artikelen 15-22. Deze termijn kan indien nodig met twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal aanvragen. De exploitant brengt de betrokkene binnen een maand na ontvangst van het verzoek op de hoogte van een dergelijke verlenging, onder vermelding van de redenen voor de vertraging. Als de betrokkene een verzoek in elektronisch formaat indient, wordt de informatie waar mogelijk in elektronisch formaat verstrekt, tenzij de betrokkene om een ander formaat vraagt. (4) Als de exploitant geen maatregelen neemt naar aanleiding van het verzoek van de betrokkene, informeert de exploitant de betrokkene onverwijld en binnen maximaal één maand na ontvangst van het verzoek over de redenen waarom hij geen maatregelen neemt en over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en om gerechtelijk beroep in te stellen.
(5) De krachtens de artikelen 13 en 14 verstrekte informatie en alle mededelingen en maatregelen genomen krachtens de artikelen 15 tot en met 22 en 34 worden kosteloos verstrekt. Als de verzoeken van een betrokkene duidelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, kan de exploitant:
a) hetzij een redelijke vergoeding in rekening te brengen, rekening houdend met de administratieve kosten, voor het verstrekken van de informatie of communicatie, dan wel voor het nemen van de gevraagde maatregelen;
b) of weigeren aan het verzoek te voldoen.
In deze gevallen rust op de exploitant de bewijslast van het kennelijk ongegronde of buitensporige karakter van het verzoek.
(6) Onverminderd artikel 11 kan de exploitant, indien hij redelijke twijfels heeft over de identiteit van de natuurlijke persoon die het in de artikelen 15 tot en met 21 genoemde verzoek indient, verzoeken om aanvullende informatie te verstrekken die nodig is om de identiteit van de betrokken persoon te bevestigen. (7) De informatie die op grond van de artikelen 13 en 14 aan de betrokkenen moet worden verstrekt, kan worden verstrekt in combinatie met gestandaardiseerde pictogrammen om op een gemakkelijk zichtbare, begrijpelijke en duidelijk leesbare manier een significant overzicht te geven van de beoogde verwerking. Als de iconen in elektronisch formaat worden gepresenteerd, moeten ze automatisch kunnen worden gelezen. (8) De commissie is bevoegd om gedelegeerde handelingen vast te stellen in overeenstemming met artikel 92 om de informatie te bepalen die door de pictogrammen moet worden gepresenteerd en de procedures voor het verstrekken van gestandaardiseerde pictogrammen.
Deel 2: Informatie en toegang tot persoonsgegevens
Art. 13: Informatie die moet worden verstrekt als persoonsgegevens worden verzameld van de betrokkene
(1) Als bij hem persoonlijke gegevens over een betrokkene worden verzameld, verstrekt de exploitant op het moment dat deze persoonlijke gegevens worden verkregen, de betrokkene alle volgende informatie:
a) de identiteit en contactgegevens van de exploitant en, in voorkomend geval, van zijn vertegenwoordiger;
b) de contactgegevens van de functionaris voor gegevensbescherming, al naargelang het geval;
c) de doeleinden waarvoor de persoonsgegevens worden verwerkt, evenals de rechtsgrondslag van de verwerking; d) als de verwerking plaatsvindt overeenkomstig artikel 6, lid 1, letter (f), de legitieme belangen die door de exploitant of een derde partij worden nagestreefd;
e) ontvangers of categorieën van ontvangers van persoonsgegevens;
f) indien van toepassing, het voornemen van de exploitant om persoonsgegevens door te geven aan een derde land of een internationale organisatie en het al dan niet bestaan van een besluit van de Commissie over de passendheid
of, in het geval van overdrachten als bedoeld in artikel 46 of 47 of in artikel 49, lid 1, tweede alinea, een verwijzing naar de passende of passende garanties en naar de middelen om een kopie daarvan te verkrijgen, indien deze zijn overgedragen aan karakter.
(2) Naast de in lid (1) genoemde informatie verstrekt de exploitant, wanneer de persoonsgegevens worden verkregen, de betrokkene de volgende aanvullende informatie die nodig is om een eerlijke en transparante verwerking te garanderen:
a) de periode gedurende welke de persoonsgegevens worden bewaard of, indien dit niet mogelijk is, de criteria die worden gebruikt om deze periode vast te stellen;
b) het bestaan van het recht om de exploitant te verzoeken om toegang tot de persoonsgegevens van de betrokkene, de rectificatie of verwijdering ervan of de beperking van de verwerking of het recht om zich tegen de verwerking te verzetten, evenals het recht om gegevensportabiliteit; c) wanneer de verwerking gebaseerd is op artikel 6 lid (1) letter (a) of op artikel 9 lid (2) letter (a), het bestaan van het recht om de toestemming op elk moment in te trekken, zonder de wettigheid van de verwerking aan te tasten uitgevoerd op basis van toestemming vóór de intrekking ervan;
d) het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
e) of het verstrekken van persoonsgegevens een wettelijke of contractuele verplichting inhoudt of een verplichting die noodzakelijk is voor het sluiten van een contract, en of de betrokkene verplicht is deze persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn van het niet naleven van deze verplichting;
f) het bestaan van een geautomatiseerd besluitvormingsproces, inclusief het aanmaken van profielen, bedoeld in artikel 22, leden 1 en 4, evenals, althans in de respectieve gevallen, relevante informatie over de gebruikte logica en over het belang en de verwachte gevolgen van een dergelijke verwerking voor de betrokkene.
(3) Als de exploitant van plan is de persoonsgegevens vervolgens te verwerken voor een ander doel dan waarvoor ze zijn verzameld, verstrekt de exploitant de betrokkene vóór deze verdere verwerking informatie over het betreffende secundaire doel en eventuele aanvullende informatie relevant, in overeenstemming met lid (2).
(4) De leden (1), (2) en (3) zijn niet van toepassing indien en voor zover de betrokkene al over de betreffende informatie beschikt.
Art. 14: Informatie die moet worden verstrekt als de persoonsgegevens niet van de betrokkene zijn verkregen
(1) Als de persoonsgegevens niet van de betrokkene zijn verkregen, verstrekt de exploitant de betrokkene de volgende informatie:
a) de identiteit en contactgegevens van de exploitant en, in voorkomend geval, van zijn vertegenwoordiger;
b) de contactgegevens van de functionaris voor gegevensbescherming, al naargelang het geval;
c) de doeleinden waarvoor de persoonsgegevens worden verwerkt, evenals de rechtsgrondslag van de verwerking; d) betrokken categorieën van persoonsgegevens;
e) ontvangers of categorieën van ontvangers van persoonsgegevens, al naargelang het geval;
f) indien van toepassing, het voornemen van de exploitant om persoonsgegevens door te geven aan een ontvanger uit een derde land of een internationale organisatie en het al dan niet bestaan van een besluit van de Commissie over de geschiktheid of, in het geval van de overdrachten bedoeld in artikel 46 of 47 of in artikel 49, lid 1, tweede lid, een verwijzing naar adequate of passende waarborgen en naar de middelen om daarvan een afschrift te verkrijgen, indien deze beschikbaar zijn gesteld.
(2) Naast de in lid 1 genoemde informatie verstrekt de exploitant de betrokkene de volgende informatie die nodig is om een eerlijke en transparante verwerking met betrekking tot de betrokkene te garanderen:
a) de periode gedurende welke de persoonsgegevens worden bewaard of, indien dit niet mogelijk is, de criteria die worden gebruikt om deze periode vast te stellen;
b) als de verwerking plaatsvindt overeenkomstig artikel 6, lid 1, letter f), de legitieme belangen die door de exploitant of een derde partij worden nagestreefd;
c) het bestaan van het recht om de exploitant te verzoeken om toegang tot de persoonsgegevens van de betrokkene, de rectificatie of verwijdering ervan of de beperking van de verwerking en het recht om zich tegen de verwerking te verzetten, evenals het recht om gegevensportabiliteit; d) wanneer de verwerking gebaseerd is op artikel 6 lid (1) letter (a) of op artikel 9 lid (2) letter (a), het bestaan van het recht om de toestemming op elk moment in te trekken, zonder de wettigheid van de verwerking aan te tasten uitgevoerd op basis van toestemming vóór de intrekking ervan;
e) het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
f) de bron van de persoonsgegevens en, indien van toepassing, of deze afkomstig zijn uit openbaar beschikbare bronnen;
g) het bestaan van een geautomatiseerd besluitvormingsproces inclusief het aanmaken van profielen, bedoeld in artikel 22, leden 1 en 4, evenals, althans in de respectieve gevallen, relevante informatie over de gebruikte logica en over het belang en de verwachte gevolgen van een dergelijke verwerking voor de betrokkene.
(3) De exploitant verstrekt de in paragrafen (1) en (2) genoemde informatie:
a) binnen een redelijke termijn na het verkrijgen van de persoonsgegevens, maar niet langer dan één maand, rekening houdend met de specifieke omstandigheden waarin de persoonsgegevens worden verwerkt; b) als de persoonsgegevens moeten worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van de eerste mededeling aan de betreffende betrokkene; of
c) indien het de bedoeling is persoonsgegevens aan een andere ontvanger bekend te maken, uiterlijk op de datum waarop deze voor het eerst worden bekendgemaakt.
(4) Indien de exploitant van plan is de persoonsgegevens vervolgens voor een ander doel te verwerken dan waarvoor zij zijn verkregen, verstrekt de exploitant de betrokkene vóór deze verdere verwerking informatie over het betreffende secundaire doel en eventuele aanvullende informatie relevant, in overeenstemming met lid (2).
(5) Paragrafen (1) tot en met (4) zijn niet van toepassing indien en voor zover:
a) de betrokken persoon is al eigenaar van de informatie;
b) het verstrekken van deze informatie onmogelijk blijkt of onevenredige inspanningen zou vergen, vooral in het geval van verwerking voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, met inachtneming van de daarin gestelde voorwaarden en garanties in artikel 89 lid (1), of voor zover de verplichting bedoeld in lid (1) van dit artikel de verwezenlijking van de doelstellingen van de betreffende verwerking onmogelijk dreigt te maken of ernstig in het gedrang kan brengen. In dergelijke gevallen neemt de ondernemer passende maatregelen om de rechten, vrijheden en legitieme belangen van de betrokkene te beschermen, inclusief het beschikbaar stellen van informatie aan het publiek;
c) het verkrijgen of openbaar maken van gegevens uitdrukkelijk wordt voorgeschreven door het recht van de Unie of het interne recht waaronder de exploitant valt en dat voorziet in adequate maatregelen om de legitieme belangen van de betrokkene te beschermen; of
d) als de persoonsgegevens vertrouwelijk moeten blijven op grond van een wettelijke verplichting tot beroepsgeheim geregeld door het recht van de Unie of het interne recht, met inbegrip van een wettelijke verplichting tot geheimhouding.
Artikel 15: Het recht van toegang van de betrokkene
(1) De betrokkene heeft het recht om van de exploitant een bevestiging te krijgen of er al dan niet persoonsgegevens over hem of haar worden verwerkt en, zo ja, toegang te krijgen tot de betreffende gegevens en de volgende informatie:
a) de doeleinden van de verwerking;
b) de betrokken categorieën van persoonsgegevens;
c) ontvangers of categorieën van ontvangers aan wie persoonsgegevens zijn of zullen worden bekendgemaakt, met name ontvangers uit derde landen of internationale organisaties;
d) waar mogelijk, de periode gedurende welke persoonsgegevens naar verwachting zullen worden bewaard of, indien dit niet mogelijk is, de criteria die worden gebruikt om deze periode vast te stellen; e) het bestaan van het recht om de exploitant te verzoeken persoonsgegevens te corrigeren of te verwijderen of om de verwerking van persoonsgegevens met betrekking tot de betrokkene te beperken of het recht om zich tegen de verwerking te verzetten;
f) het recht om een klacht in te dienen bij een toezichthoudende autoriteit;
g) indien de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron ervan;
h) het bestaan van een geautomatiseerd besluitvormingsproces inclusief het aanmaken van profielen, bedoeld in artikel 22, leden 1 en 4, evenals, althans in de respectieve gevallen, relevante informatie over de gebruikte logica en over het belang en de verwachte gevolgen van een dergelijke verwerking voor de betrokkene.
(2) Als persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht om geïnformeerd te worden over de passende garanties op grond van artikel 46 met betrekking tot de overdracht.
(3) De exploitant verstrekt een kopie van de persoonsgegevens die het voorwerp zijn van de verwerking. Voor alle andere door de betrokkene gevraagde kopieën kan de exploitant een redelijke vergoeding in rekening brengen, gebaseerd op administratieve kosten. Als de betrokkene de aanvraag in elektronisch formaat indient en tenzij de betrokkene een ander formaat aanvraagt, wordt de informatie verstrekt in een momenteel gebruikt elektronisch formaat.
(4) Het recht om een kopie te verkrijgen als bedoeld in lid (3) heeft geen invloed op de rechten en vrijheden van anderen.
Sectie 3: Rectificatie en verwijdering
Artikel 16: Het recht op rectificatie
De betrokkene heeft het recht om van de exploitant zonder onnodige vertraging de rectificatie te verkrijgen van onjuiste persoonsgegevens die hem betreffen. Rekening houdend met de doeleinden waarvoor de gegevens zijn verwerkt, heeft de betrokkene het recht om onvolledige persoonsgegevens aan te vullen, onder meer door het verstrekken van een aanvullende verklaring.
Kunst. 17: Recht op gegevensverwijdering (“recht om vergeten te worden”)
(1) De betrokkene heeft het recht om van de exploitant de verwijdering van de hem betreffende persoonsgegevens te verkrijgen, zonder onnodige vertraging, en de exploitant heeft de verplichting om de persoonsgegevens zonder onnodige vertraging te verwijderen als een van de volgende redenen van toepassing is: ) persoonsgegevens zijn niet langer nodig om de doeleinden te verwezenlijken waarvoor ze zijn verzameld of verwerkt;
b) de betrokkene trekt zijn toestemming in op basis waarvan de verwerking plaatsvindt, in overeenstemming met artikel 6 lid (1) letter (a) of artikel 9 lid (2) letter (a), en er is geen andere rechtsgrondslag voor de verwerking;
c) de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 1, en er zijn geen legitieme redenen om de verwerking te prevaleren, of de betrokkene maakt bezwaar tegen de verwerking overeenkomstig artikel 21, lid 2;
d) persoonsgegevens onrechtmatig zijn verwerkt;
e) persoonsgegevens moeten worden verwijderd om te voldoen aan een wettelijke verplichting die op de exploitant rust op grond van het recht van de Unie of het interne recht waaronder de exploitant valt; f) persoonsgegevens zijn verzameld in verband met het aanbieden van diensten van de informatiemaatschappij als bedoeld in artikel 8, lid 1.
(2) Indien de exploitant persoonsgegevens openbaar heeft gemaakt en op grond van lid 1 verplicht is deze te verwijderen, neemt de exploitant, rekening houdend met de beschikbare technologie en de implementatiekosten, redelijke maatregelen, inclusief technische maatregelen, om de exploitanten die de persoonsgegevens verwerken ervan op de hoogte stellen dat de betrokkene heeft verzocht om verwijdering door deze exploitanten van eventuele links naar de betreffende gegevens of van eventuele kopieën of reproducties van deze persoonsgegevens.
(3) Paragrafen (1) en (2) zijn niet van toepassing voor zover de verwerking noodzakelijk is:
a) voor de uitoefening van het recht op vrije meningsuiting en informatie;
b) voor de naleving van een wettelijke verplichting die voorziet in verwerking op basis van het recht van de Unie of het interne recht dat van toepassing is op de exploitant of voor de vervulling van een taak die in het belang wordt uitgevoerd
in het openbaar of bij de uitoefening van een officieel gezag dat aan de exploitant is toevertrouwd;
c) om redenen van openbaar belang op het gebied van de volksgezondheid, in overeenstemming met artikel 9, lid 2
letters (h) en (i) en met artikel 9 lid (3);
d) voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, in overeenstemming met artikel 89, lid (1), voor zover het in lid (1) genoemde recht het waarschijnlijk onmogelijk maakt of om de verwezenlijking van de verwerkingsdoelstellingen ernstig te beïnvloeden
respectievelijk; of
e) voor het vaststellen, uitoefenen of verdedigen van een recht in de rechtbank. (vanaf 23 mei 2018, artikel 17, paragraaf (3) van hoofdstuk III, sectie 3, gewijzigd door punt 3 van het amendement van 23 mei
2018)
Art. 18: Het recht om de verwerking te beperken
(1) De betrokkene heeft het recht om van de exploitant de beperking van de verwerking te verkrijgen als een van de volgende gevallen van toepassing is:
a) de betrokkene betwist de juistheid van de gegevens, gedurende een periode die de exploitant in staat stelt de juistheid van de gegevens te verifiëren;
b) de verwerking is illegaal en de betrokkene verzet zich tegen het verwijderen van persoonsgegevens en vraagt in plaats daarvan om beperking van het gebruik ervan;
c) de exploitant heeft de persoonsgegevens niet langer nodig voor het doel van de verwerking, maar de betrokkene vraagt deze om het vaststellen, uitoefenen of verdedigen van een recht in rechte; of
d) de betrokkene heeft bezwaar gemaakt tegen de verwerking overeenkomstig artikel 21, lid 1, gedurende de periode waarin wordt gecontroleerd of de legitieme rechten van de exploitant prevaleren boven die van de betrokkene.
(2) Indien de verwerking op grond van lid (1) is beperkt, mogen dergelijke persoonsgegevens, met uitzondering van de opslag, alleen worden verwerkt met toestemming van de betrokkene of voor het vaststellen, uitoefenen of verdedigen van een recht in rechte of voor de rechter. bescherming van de rechten van een andere natuurlijke of rechtspersoon of om redenen van belangrijk openbaar belang van de Unie of een lidstaat.
(3) Een betrokkene die overeenkomstig lid (1) een verwerkingsbeperking heeft gekregen, wordt door de exploitant geïnformeerd voordat de verwerkingsbeperking wordt opgeheven.
Art. 19: Meldingsplicht inzake rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking
De exploitant deelt elke ontvanger aan wie persoonsgegevens zijn verstrekt mee welke rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking uitgevoerd in overeenstemming met artikel 16, artikel 17 lid (1) en artikel 18, tenzij dit onmogelijk blijkt of onevenredige maatregelen vereist. pogingen. De exploitant informeert de betrokkene over de respectievelijke ontvangers als de betrokkene daarom vraagt.
Artikel 20: Het recht op gegevensoverdraagbaarheid
(1) De betrokkene heeft het recht om de persoonsgegevens die hem betreffen en die hij aan de exploitant heeft verstrekt, in een gestructureerd, algemeen gebruikt en machinaal leesbaar formaat te ontvangen en hij heeft het recht deze gegevens zonder belemmeringen aan een andere exploitant over te dragen van de exploitant aan wie de persoonsgegevens zijn verstrekt, in het geval dat:
a) de verwerking is gebaseerd op toestemming overeenkomstig artikel 6 lid (1) letter (a) of artikel 9 lid (2) letter (a) of op een contract overeenkomstig artikel 6 lid (1) letter (b); en b) de verwerking gebeurt automatisch.
(2) Bij de uitoefening van het recht op gegevensportabiliteit overeenkomstig lid (1) heeft de betrokkene het recht om persoonsgegevens rechtstreeks van de ene naar de andere exploitant te laten verzenden, voor zover dit technisch haalbaar is.
(3) De uitoefening van het recht genoemd in lid (1) van dit artikel heeft geen invloed op artikel 17. Dit recht is niet van toepassing op de verwerking die nodig is om een taak te vervullen die wordt uitgevoerd in het algemeen belang of in het kader van de uitoefening van een officieel gezag met waarop de exploitant berust.
(4) Het in lid (1) genoemde recht heeft geen invloed op de rechten en vrijheden van anderen.
Artikel 4: Het recht van verzet en de geautomatiseerde individuele besluitvorming
Artikel 21: Het recht op verzet
(1) De betrokkene heeft te allen tijde het recht om, om redenen die verband houden met zijn specifieke situatie, bezwaar te maken tegen de verwerking overeenkomstig artikel 6, lid 1, letter (e) of (f) van persoonsgegevens
personeel dat hem aanbelangt, inclusief het aanmaken van profielen op basis van die bepalingen. De exploitant verwerkt niet langer persoonsgegevens, tenzij de exploitant bewijst dat hij legitieme en dwingende redenen heeft die de verwerking rechtvaardigen en die prevaleren boven de belangen, rechten en vrijheden van de betrokkene of dat het doel ervan is om een recht vast te stellen, uit te oefenen of te verdedigen in
aanleg.
(de datum
23 mei 2018 Artikel 21, alinea. (1) uit hoofdstuk III, afdeling 4 gerectificeerd door punt 4. van de rectificatie van 23 mei 2018)
(2) Wanneer de verwerking van persoonsgegevens gericht is op direct marketing, heeft de betrokkene het recht om zich te allen tijde te verzetten tegen de verwerking van persoonsgegevens die hem voor dit doel betreffen, inclusief het aanmaken van profielen, voor zover deze verband houdt voor de desbetreffende direct marketing.
(3) Als de betrokkene zich verzet tegen de verwerking met het oog op direct marketing, worden de persoonsgegevens niet langer voor dit doel verwerkt.
(4) Uiterlijk op het moment van de eerste communicatie met de betrokkene wordt het in de paragrafen (1) en (2) genoemde recht expliciet onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van alle andere informatie gepresenteerd .
(5) In de context van het gebruik van diensten van de informatiemaatschappij en ondanks Richtlijn 2002/58/EG kan de betrokkene zijn recht van bezwaar uitoefenen via automatische middelen waarbij gebruik wordt gemaakt van technische specificaties.
(6) Indien persoonsgegevens worden verwerkt voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden in overeenstemming met artikel 89, lid 1, heeft de betrokkene, om redenen die verband houden met zijn specifieke situatie, het recht om zich te verzetten tegen de verwerking van persoonsgegevens die haar betreft, tenzij de verwerking noodzakelijk is voor de uitvoering van een taak om redenen van openbaar belang.
Art 22: Het geautomatiseerde individuele besluitvormingsproces, inclusief het aanmaken van profielen
(1) De betrokkene heeft het recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op automatische verwerking, inclusief het aanmaken van profielen, en dat rechtsgevolgen met zich meebrengt die de betrokkene aangaan of hem op soortgelijke wijze in aanzienlijke mate treffen.
(2) Lid 1 is niet van toepassing als het besluit:
a) noodzakelijk is voor het sluiten of uitvoeren van een contract tussen de betrokkene en een gegevensbeheerder;
b) is toegestaan door het recht van de Unie of het interne recht dat op de exploitant van toepassing is en dat ook voorziet in passende maatregelen om de rechten, vrijheden en legitieme belangen van de betrokken persoon te beschermen; of
c) berust op de uitdrukkelijke toestemming van de betrokkene.
(3) In de gevallen bedoeld in paragraaf (2) letters (a) en (c), implementeert de gegevensbeheerder passende maatregelen om de rechten, vrijheden en legitieme belangen van de betrokkene te beschermen, in ieder geval zijn recht op menselijke tussenkomst van de kant van de exploitant, om zijn standpunt kenbaar te maken en tegen de beslissing in beroep te gaan.
(4) De in lid 2 bedoelde besluiten zijn niet gebaseerd op de bijzondere categorieën van persoonsgegevens bedoeld in artikel 9 lid 1, tenzij artikel 9 lid 2 letter (a) of (g) van toepassing is) en waarin passende maatregelen zijn getroffen om de rechten, vrijheden en legitieme belangen van de betrokkene te beschermen.
Sectie 5: Beperkingen
Artikel 23: Beperkingen
(1) Het recht van de Unie of het interne recht dat van toepassing is op de gegevensbeheerder of de persoon die door de beheerder is gemachtigd, kan door middel van een wetgevende maatregel de reikwijdte van de verplichtingen en rechten beperken die zijn vastgelegd in de artikelen 12-22 en 34, evenals in artikel 5 voor zover de bepalingen ervan overeenkomen met de rechten en verplichtingen voorzien in de artikelen 12 tot en met 22, wanneer dergelijke a
beperking respecteert de essentie van fundamentele rechten en vrijheden en is een noodzakelijke en proportionele maatregel in een democratische samenleving, om te garanderen:
a) nationale veiligheid;
b) verdediging;
c) openbare veiligheid;
d) het voorkomen, onderzoeken, opsporen of strafrechtelijk vervolgen van misdrijven of het uitvoeren van strafrechtelijke sancties, met inbegrip van bescherming tegen bedreigingen voor de openbare veiligheid en het voorkomen daarvan; e) andere belangrijke doelstellingen van algemeen openbaar belang van de Unie of van een lidstaat, in het bijzonder een belangrijk economisch of financieel belang van de Unie of van een lidstaat, inclusief op monetair, budgettair en fiscaal gebied en op het gebied van publieke gezondheidszorg en sociale zekerheid;
f) bescherming van de onafhankelijkheid van de rechterlijke macht en gerechtelijke procedures;
g) het voorkomen, onderzoeken, opsporen en vervolgen van ethische schendingen in het geval van gereglementeerde beroepen;
h) de functie van toezicht, inspectie of regulering die, zelfs incidenteel, verband houdt met de uitoefening van openbaar gezag in de gevallen genoemd in de letters (a)-(e) en (g);
i) bescherming van de betrokkene of de rechten en vrijheden van anderen; j) tenuitvoerlegging van civielrechtelijke vorderingen.
(2) In het bijzonder bevat elke wetgevende maatregel als bedoeld in lid 1, ten minste, indien van toepassing, specifieke bepalingen met betrekking tot:
a) de doeleinden van de verwerking of de categorieën van verwerking;
b) categorieën van persoonsgegevens;
c) de reikwijdte van de ingevoerde beperkingen;
d) garanties om misbruik of illegale toegang of overdracht te voorkomen;
e) vermelding van de exploitant of categorieën van exploitanten;
f) bewaartermijnen en toepasselijke garanties, rekening houdend met de aard, omvang en doeleinden van de verwerking of verwerkingscategorieën;
g) de risico's voor de rechten en vrijheden van de betrokken personen; En
h) het recht van de betrokkenen om geïnformeerd te worden over de beperking, tenzij dit het doel van de beperking kan aantasten.
HOOFDSTUK IV: De exploitant en de door de exploitant gemachtigde persoon
Sectie 1: Algemene verplichtingen
Artikel 24: Aansprakelijkheid van de exploitant
(1) Rekening houdend met de aard, omvang, context en doeleinden van de verwerking, evenals de risico's met verschillende graden van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, implementeert de exploitant passende technische en organisatorische maatregelen om te garanderen en zijn om aan te tonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. De betreffende maatregelen worden herzien en indien nodig bijgewerkt.
(2) Wanneer ze evenredig zijn aan de verwerkingsactiviteiten, omvatten de in lid (1) genoemde maatregelen de implementatie door de exploitant van een passend gegevensbeschermingsbeleid. (3) Het naleven van goedgekeurde gedragscodes, bedoeld in artikel 40, of van een goedgekeurd certificeringsmechanisme, bedoeld in artikel 42, kan worden gebruikt als element om de naleving van verplichtingen door de exploitant aan te tonen.
Art. 25: Het garanderen van gegevensbescherming vanaf het moment van conceptie en standaard (1) Rekening houdend met de huidige stand van de technologie, de implementatiekosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals risico's met verschillende mate van waarschijnlijkheid. en ernst voor de rechten en vrijheden van natuurlijke personen die de verwerking met zich meebrengt, implementeert de exploitant, zowel op het moment van het vaststellen van de middelen voor de verwerking als op het moment van de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die bedoeld om de beginselen van gegevensbescherming, zoals gegevensminimalisatie, effectief te implementeren en de nodige garanties in de verwerking te integreren, om aan de vereisten van deze verordening te voldoen en de rechten van de betrokkenen te beschermen.
(2) De exploitant implementeert passende technische en organisatorische maatregelen om ervoor te zorgen dat standaard alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek verwerkingsdoel. Deze verplichting geldt voor de hoeveelheid verzamelde gegevens, de mate van verwerking, de bewaartermijn en de toegankelijkheid ervan. Dergelijke maatregelen zorgen er met name voor dat persoonlijke gegevens standaard niet voor een onbeperkt aantal mensen toegankelijk zijn, zonder tussenkomst van de persoon.
(3) Een certificeringsmechanisme dat is goedgekeurd in overeenstemming met artikel 42 kan worden gebruikt als een element om de naleving van de eisen bepaald in paragrafen (1) en (2) van dit artikel aan te tonen.
Artikel 26: Geassocieerde operatoren
(1) Als twee of meer exploitanten gezamenlijk de doeleinden en middelen van de verwerking vaststellen, zijn zij verbonden exploitanten. Zij leggen op transparante wijze de verantwoordelijkheden van iedereen vast wat betreft het nakomen van hun verplichtingen uit hoofde van deze verordening, in het bijzonder wat betreft de uitoefening van de rechten van de betrokkenen en de verplichtingen van iedereen om de informatie te verstrekken waarin de artikelen 13 en 14 voorzien. , door middel van een overeenkomst tussen hen, behalve in het geval en voor zover de verantwoordelijkheden van de exploitanten zijn vastgelegd in het recht van de Unie of in het interne recht dat op hen van toepassing is. In de overeenkomst kan een aanspreekpunt voor de betrokken personen worden aangewezen.
(2) De in lid 1 bedoelde overeenkomst weerspiegelt op passende wijze de respectieve rollen en relaties van de aangesloten exploitanten ten opzichte van de betrokken personen. De essentie van deze overeenkomst wordt aan de betrokkene kenbaar gemaakt.
(3) Ongeacht de clausules van de overeenkomst waarnaar in lid (1) wordt verwezen, kan de betrokkene zijn rechten uit hoofde van deze verordening uitoefenen met betrekking tot en met betrekking tot elk van de exploitanten.
Art. 27: Vertegenwoordigers van exploitanten of door exploitanten gemachtigde personen die hun hoofdkantoor niet in de Unie hebben
(1) Indien artikel 3, lid 2, van toepassing is, wijst de exploitant of de door de exploitant gemachtigde persoon schriftelijk een vertegenwoordiger in de Unie aan.
(2) De verplichting bepaald in lid (1) van dit artikel is niet van toepassing:
a) verwerking met een incidenteel karakter, die niet op grote schaal de verwerking omvat van bijzondere categorieën gegevens, zoals bepaald in artikel 9, lid 1, of de verwerking van persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten vermeld in artikel 10, en waarvan het onwaarschijnlijk is dat dit een risico zal opleveren voor de rechten en vrijheden van individuen, rekening houdend met de aard, context, omvang en doeleinden van de verwerking; of
b) een autoriteit of een openbaar lichaam.
(3) De vertegenwoordiger is gevestigd in een van de lidstaten waar de betrokkenen wier persoonsgegevens worden verwerkt in verband met de levering van goederen en diensten of wier gedrag wordt gemonitord, zich bevinden.
(4) De vertegenwoordiger ontvangt van de exploitant of de door de exploitant gemachtigde persoon een mandaat waarmee de toezichthoudende autoriteiten en de betrokken personen in het bijzonder de vertegenwoordiger kunnen aanspreken, naast de exploitant of de door de exploitant gemachtigde persoon of in plaats daarvan van hen, met betrekking tot alle kwesties die verband houden met de verwerking, om de naleving van deze verordening te garanderen.
(5) De benoeming van een vertegenwoordiger door de exploitant of de door de exploitant gemachtigde persoon heeft geen invloed op de rechtsvorderingen die kunnen worden ingesteld tegen de exploitant of de door de exploitant zelf gemachtigde persoon.
Art. 28: De door de exploitant gemachtigde persoon
(1) Als de verwerking in opdracht van een exploitant moet worden uitgevoerd, maakt de exploitant alleen gebruik van bevoegde personen die voldoende garanties bieden voor de implementatie van passende technische en organisatorische maatregelen, zodat de verwerking voldoet aan de vereisten van deze verordening en om de bescherming van de rechten van de betrokken persoon te waarborgen.
(2) De door de exploitant geautoriseerde persoon werft geen andere door de exploitant geautoriseerde persoon zonder eerst een schriftelijke, specifieke of algemene toestemming van de exploitant te hebben ontvangen. Bij een algemene schriftelijke machtiging informeert de door de exploitant gemachtigde de exploitant over alles
verwachte wijzigingen met betrekking tot het toevoegen of vervangen van andere door de exploitant geautoriseerde personen, waardoor de exploitant de mogelijkheid heeft om bezwaar te maken tegen deze wijzigingen.
(3) De verwerking door een persoon die door een exploitant is gemachtigd, wordt geregeld door een contract of een andere rechtshandeling op basis van het recht van de Unie of het interne recht, die bindend is voor de persoon die door de exploitant is gemachtigd ten opzichte van de exploitant en waarin het voorwerp en de duur ervan zijn vastgelegd. van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokken personen en de verplichtingen en rechten van de exploitant. Het desbetreffende contract of rechtshandeling bepaalt met name dat de door de exploitant gemachtigde persoon:
a) persoonsgegevens alleen verwerken op basis van gedocumenteerde instructies van de exploitant, ook met betrekking tot de overdracht van persoonsgegevens naar een derde land of een internationale organisatie, tenzij deze verplichting bij de bevoegde persoon berust op grond van het recht van de Unie of het interne recht dat is erop van toepassing; in dit geval dient u deze wettelijke verplichting vóór de verwerking aan de exploitant te melden, tenzij de betreffende wet een dergelijke kennisgeving verbiedt om belangrijke redenen die verband houden met het openbaar belang;
b) er wordt voor gezorgd dat de personen die bevoegd zijn om persoonsgegevens te verwerken, zich ertoe hebben verbonden de vertrouwelijkheid te respecteren of een passende wettelijke geheimhoudingsplicht hebben;
c) alle noodzakelijke maatregelen nemen in overeenstemming met artikel 32;
d) voldoen aan de voorwaarden genoemd in paragrafen (2) en (4) met betrekking tot de aanwerving van een andere persoon die door de exploitant is gemachtigd;
e) biedt, rekening houdend met de aard van de verwerking, hulp aan de exploitant door middel van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor het nakomen van de verplichting van de exploitant om te reageren op verzoeken met betrekking tot de uitoefening door de betrokkene van de rechten bedoeld in hoofdstuk III; f) de exploitant helpen bij het waarborgen van de naleving van de verplichtingen vastgelegd in de artikelen 32 tot en met 36, rekening houdend met de aard van de verwerking en de informatie waarover de door de exploitant gemachtigde persoon beschikt;
g) naar keuze van de exploitant, alle persoonsgegevens verwijderen of teruggeven aan de exploitant na de beëindiging van de dienstverlening met betrekking tot de verwerking en de bestaande kopieën verwijderen, tenzij het recht van de Unie of het interne recht de opslag van persoonsgegevens vereist;
h) de exploitant alle nodige informatie verstrekt om aan te tonen dat aan de in dit artikel gestelde verplichtingen wordt voldaan, de audits, inclusief inspecties, door de exploitant of een andere bevoegde auditor laat uitvoeren en daaraan bijdraagt.
Met betrekking tot de eerste alinea, letter (h), stelt de door de exploitant gemachtigde persoon de exploitant onmiddellijk op de hoogte als een instructie naar zijn mening in strijd is met deze verordening of met andere bepalingen van het interne recht of het recht van de Unie met betrekking tot gegevensbescherming.
(4) In het geval dat een door een exploitant gemachtigde persoon een andere gemachtigde persoon aanwerft om namens de exploitant specifieke verwerkingsactiviteiten uit te voeren, gelden dezelfde gegevensbeschermingsverplichtingen die zijn vastgelegd in het contract of een andere rechtshandeling die is gesloten tussen de exploitant en de gemachtigde persoon. door de exploitant, zoals bepaald in lid (3), vallen toe aan de tweede bevoegde persoon, door middel van een contract of een andere rechtshandeling, gebaseerd op het recht van de Unie of het interne recht, in het bijzonder het bieden van voldoende garanties voor de uitvoering van passende technische en organisatorische maatregelen, zodat de verwerking voldoet aan de eisen van deze verordening. In het geval dat deze tweede bevoegde persoon zijn verplichtingen op het gebied van gegevensbescherming niet nakomt, blijft de initiële bevoegde persoon volledig verantwoordelijk tegenover de exploitant met betrekking tot de nakoming van de verplichtingen van deze tweede bevoegde persoon.
(5) De naleving door de door de exploitant gemachtigde persoon van een goedgekeurde gedragscode, bedoeld in artikel 40, of van een goedgekeurd certificeringsmechanisme, bedoeld in artikel 42, kan worden gebruikt als element om het bestaan van voldoende garanties bedoeld in de leden (1) en (4) van dit artikel.
(6) Onverminderd een individueel contract gesloten tussen de exploitant en de door de exploitant gemachtigde persoon, kan het contract of een andere rechtshandeling bedoeld in de leden (3) en (4) van dit artikel geheel of gedeeltelijk gebaseerd zijn , op de modelcontractbepalingen genoemd in paragrafen (7) en (8) van dit artikel, ook wanneer deze deel uitmaken van een certificering verleend aan de exploitant of aan de persoon die door de exploitant is gemachtigd overeenkomstig de artikelen 42 en 43.
(7) De Commissie kan standaardcontractbepalingen opstellen voor de aspecten vermeld in de leden (3) en (4) van dit artikel en in overeenstemming met de onderzoeksprocedure vermeld in artikel 93, lid (2).
(8) Een toezichthoudende autoriteit kan standaardcontractbepalingen aannemen voor de aspecten genoemd in de paragrafen (3) en (4) van dit artikel en in overeenstemming met het mechanisme voor het garanderen van consistentie genoemd in artikel 63.
(9) Het contract of andere rechtshandeling genoemd in de leden (3) en (4) moet schriftelijk worden opgesteld, ook in elektronisch formaat.
(10) Onverminderd de artikelen 82, 83 en 84, als een door de exploitant gemachtigde persoon deze verordening schendt, door het doel en de middelen voor de verwerking van persoonsgegevens vast te stellen, wordt de door de exploitant gemachtigde persoon beschouwd als een exploitant met betrekking tot de respectieve verwerking.
Art. 29: Uitvoering van de verwerkingsactiviteit onder het gezag van de exploitant of de door de exploitant gemachtigde persoon
De door de exploitant gemachtigde persoon en iedere persoon die handelt onder het gezag van de exploitant of de door de exploitant gemachtigde persoon die toegang heeft tot persoonsgegevens, verwerken deze niet behalve op verzoek van de exploitant, tenzij het recht van de Unie of het interne recht hem daartoe verplicht doe dat.
Art. 30: Registratie van verwerkingsactiviteiten
(1) Elke exploitant en, in voorkomend geval, zijn vertegenwoordiger houden een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden uitgevoerd. Het record bevat alle volgende informatie:
a) de naam en contactgegevens van de exploitant en, in voorkomend geval, van de aangesloten exploitant, van de vertegenwoordiger van de exploitant en van de functionaris voor gegevensbescherming;
b) de doeleinden van de verwerking;
c) een beschrijving van de categorieën betrokkenen en de categorieën persoonsgegevens; d) de categorieën ontvangers aan wie persoonsgegevens zijn of zullen worden bekendgemaakt, inclusief ontvangers uit derde landen of internationale organisaties;
e) indien van toepassing, overdrachten van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van het desbetreffende derde land of de internationale organisatie en, in het geval van de overdrachten bedoeld in artikel 49, lid 1, tweede alinea, de documentatie die het bestaan van adequate garanties aantoont;
f) waar mogelijk, de verwachte termijnen voor het verwijderen van verschillende categorieën gegevens; g) waar mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, bedoeld in artikel 32 lid 1.
(2) Elke door de exploitant gemachtigde persoon en, in voorkomend geval, de vertegenwoordiger van de door de exploitant gemachtigde persoon houdt een register bij van alle categorieën verwerkingsactiviteiten die namens hem worden uitgevoerd.
de exploitant, waaronder:
a) de naam en contactgegevens van de door de exploitant gemachtigde persoon of personen en van elke exploitant namens wie deze persoon (deze personen) handelt, evenals, in voorkomend geval, van
de vertegenwoordiger van de exploitant of de vertegenwoordiger van de door de exploitant gemachtigde persoon, en van
de functionaris voor gegevensbescherming;
b) de categorieën verwerkingsactiviteiten die namens elke exploitant worden uitgevoerd;
c) indien van toepassing, overdracht van persoonsgegevens naar een derde land of een organisatie
internationaal, inclusief de identificatie van het respectieve derde land of de internationale organisatie en, in het geval van de overdrachten bedoeld in artikel 49, lid 1, tweede alinea, de documentatie waaruit blijkt
het bestaan van voldoende waarborgen;
d) waar mogelijk, een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
genoemd in artikel 32 lid (1).
(vanaf 23 mei 2018, art. 30, tweede lid van c
hoofdstuk IV, sectie 1 gerectificeerd door punt 5. van de rectificatie van 23 mei - (3) De in paragrafen (1) en (2) bedoelde documenten zijn schriftelijk opgesteld, ook in elektronisch formaat.
2018)
(4) De exploitant of de door hem gemachtigde persoon, evenals, in voorkomend geval, de vertegenwoordiger van de exploitant of de door de exploitant gemachtigde persoon stellen de gegevens op verzoek ter beschikking van de toezichthoudende autoriteit.
(5) De verplichtingen genoemd in de paragrafen 1 en 2 zijn niet van toepassing op een onderneming of organisatie met minder dan 250 werknemers, tenzij de verwerking die zij uitvoert waarschijnlijk een risico met zich meebrengt voor de rechten en vrijheden van de betrokken personen, de verwerking niet incidenteel is of de verwerking bijzondere categorieën van gegevens omvat, zoals uiteengezet in artikel 9, lid 1, of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, zoals uiteengezet in artikel 10.
Artikel 31: Samenwerking met de toezichthoudende autoriteit
De exploitant en de door de exploitant gemachtigde persoon en eventueel hun vertegenwoordiger werken samen
verzoek, met de toezichthoudende autoriteit bij het vervullen van haar taken.
(op 23 mei 2018, Art. 31 van Hoofdstuk IV, Sectie 1 gewijzigd door punt 7. van Ad
ctificatie van 23-mei-2018 )
Artikel 2: Beveiliging van persoonsgegevens
Art. 32: Beveiliging van de verwerking
(1) Rekening houdend met het huidige ontwikkelingsstadium, de implementatiekosten en de aard, reikwijdte, context en doeleinden van de verwerking, evenals het risico met verschillende graden van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, de exploitant en de door hem gemachtigde persoon treft adequate technische en organisatorische maatregelen om een veiligheidsniveau te garanderen dat overeenstemt met dit risico, waaronder onder meer:
a) pseudonimisering en versleuteling van persoonsgegevens;
b) het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en voortdurende weerstand van verwerkingssystemen en -diensten te waarborgen;
c) het vermogen om de beschikbaarheid van persoonsgegevens en de toegang daartoe tijdig te herstellen in geval van een fysiek of technisch incident;
d) een proces voor het periodiek testen, evalueren en beoordelen van de effectiviteit van technische en organisatorische maatregelen om de veiligheid van de verwerking te garanderen.
(2) Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de risico’s die de verwerking met zich meebrengt en die met name, per ongeluk of illegaal, ontstaat door de vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking of de ongeoorloofde toegang tot de doorgegeven persoonsgegevens. , opgeslagen of op een andere manier verwerkt.
(3) Het naleven van een goedgekeurde gedragscode, bedoeld in artikel 40, of van een goedgekeurd certificeringsmechanisme, bedoeld in artikel 42, kan worden gebruikt als een element om aan te tonen dat wordt voldaan aan de vereisten vastgelegd in paragraaf (1) van dit artikel.
(4) De exploitant en de door hem gemachtigde persoon nemen maatregelen om ervoor te zorgen dat elke natuurlijke persoon die onder het gezag van de exploitant of de door de exploitant gemachtigde persoon handelt en toegang heeft tot persoonsgegevens, deze alleen op verzoek van de exploitant verwerkt. , behalve in het geval waarin deze verplichting krachtens het recht van de Unie of het interne recht op hem rust.
Art. 33: Kennisgeving aan de toezichthoudende autoriteit in geval van inbreuk op de beveiliging van persoonsgegevens
(1) Als er sprake is van een inbreuk op de beveiliging van persoonsgegevens, zal de exploitant hiervan op de hoogte stellen
dit overeenkomstig artikel 55 aan de bevoegde toezichthoudende autoriteiten doorgeven, zonder onnodige vertraging en, indien mogelijk, binnen 72 uur na de datum waarop hij hiervan op de hoogte werd gebracht, tenzij het onwaarschijnlijk is dat dit een risico voor de rechten en vrijheden met zich meebrengt
natuurlijke personen. Als de melding aan de toezichthoudende autoriteit niet binnen de gestelde termijn plaatsvindt
van 72 uur, dit gaat vergezeld van een gemotiveerde verklaring voor de vertraging.
(op 23 mei 2018 Art. 33, lid (1) van hoofdstuk IV, afdeling 2 gewijzigd door punt
8. vanaf de Correctie van 23 mei-
2018)
(2) De door de exploitant geautoriseerde persoon brengt de exploitant zonder onnodige vertraging op de hoogte nadat hij zich bewust is geworden van een inbreuk op de beveiliging van persoonsgegevens.
(3) De kennisgeving bedoeld in lid 1: ten minste:
a) de aard van de inbreuk op de beveiliging van persoonsgegevens beschrijven, inclusief, waar mogelijk, de categorieën en het geschatte aantal betrokken personen, evenals de categorieën en het geschatte aantal persoonsgegevensrecords in kwestie;
b) geef de naam en contactgegevens door van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk op de beveiliging van persoonsgegevens beschrijven;
d) een beschrijving geven van de maatregelen die de exploitant heeft genomen of voorgesteld zal nemen om het probleem van de inbreuk op de beveiliging van persoonsgegevens op te lossen, met inbegrip van, in voorkomend geval, de maatregelen om de mogelijke negatieve gevolgen ervan te verzachten.
(4) Wanneer en voor zover het niet mogelijk is de informatie tegelijkertijd te verstrekken, kan deze in verschillende fasen worden verstrekt, zonder ongerechtvaardigde vertraging.
(5) De exploitant bewaart documenten met betrekking tot alle gevallen van inbreuken op de beveiliging van persoonsgegevens, waaronder een beschrijving van de feitelijke situatie waarin de inbreuk op de beveiliging van persoonsgegevens plaatsvond, de gevolgen ervan en de genomen herstelmaatregelen. Met deze documentatie kan de toezichthoudende autoriteit de naleving van dit artikel verifiëren.
Art. 34: Het informeren van de betrokkene over de inbreuk op de beveiliging van persoonsgegevens
(1) Indien de inbreuk op de beveiliging van persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt, informeert de exploitant de betrokkene zonder onnodige vertraging over deze inbreuk.
(2) De informatie die naar de betrokkene wordt gestuurd, bedoeld in lid (1) van dit artikel, omvat een beschrijving in duidelijke en eenvoudige taal van de aard van de inbreuk op de beveiliging van persoonsgegevens, evenals op zijn minst de informatie en maatregelen genoemd in artikel 33 lid (3) letters (b), (c) en (d).
(3) Het informeren van de in lid 1 bedoelde betrokkene is niet nodig als aan een van de volgende voorwaarden is voldaan:
a) de exploitant passende technische en organisatorische beschermingsmaatregelen heeft getroffen, en deze maatregelen zijn toegepast in het geval van persoonsgegevens die getroffen zijn door een inbreuk op de beveiliging van persoonsgegevens, met name maatregelen om ervoor te zorgen dat persoonsgegevens onbegrijpelijk worden voor personen die dat niet zijn geautoriseerd om er toegang toe te krijgen, zoals encryptie;
b) de exploitant verdere maatregelen heeft genomen om ervoor te zorgen dat het hoge risico voor de rechten en vrijheden van de betrokken personen, bedoeld in lid 1, zich waarschijnlijk niet langer zal voordoen;
c) een onevenredige inspanning zou vergen. In deze situatie wordt in plaats daarvan een openbare informatievoorziening uitgevoerd of wordt een soortgelijke maatregel genomen waarmee de betrokken personen op een even effectieve manier worden geïnformeerd.
(4) Als de exploitant de inbreuk op de beveiliging van persoonsgegevens nog niet aan de betrokkene heeft meegedeeld, kan de toezichthoudende autoriteit, na rekening te hebben gehouden met de waarschijnlijkheid dat de inbreuk op de beveiliging van persoonsgegevens een hoog risico met zich meebrengt, hem verzoeken dit te doen of besluiten dat aan een van de in lid 3 genoemde voorwaarden is voldaan.
Deel 3: Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
Artikel 35: Evaluatie van de impact op de gegevensbescherming
(1) Als een soort verwerking, met name gebaseerd op het gebruik van nieuwe technologieën, gezien de aard, omvang, context en doeleinden van de verwerking waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen, kan de exploitant voert vóór de verwerking een beoordeling uit van de impact van de verstrekte verwerkingen op de bescherming van persoonsgegevens. Met één enkele beoordeling kan een reeks vergelijkbare verwerkingsactiviteiten worden aangepakt die vergelijkbare hoge risico's met zich meebrengen.
(2) Bij het uitvoeren van een beoordeling van de gevolgen voor de gegevensbescherming vraagt de exploitant het advies van de functionaris voor gegevensbescherming, indien deze is aangesteld.
(3) De beoordeling van de impact op de gegevensbescherming bedoeld in lid 1 is vooral vereist in het geval van:
a) een systematische en alomvattende evaluatie van de persoonlijke aspecten die betrekking hebben op natuurlijke personen, die gebaseerd is op automatische verwerking, inclusief het aanmaken van profielen, en die de basis vormt van beslissingen die rechtsgevolgen teweegbrengen ten aanzien van de natuurlijke persoon of die hem op een soortgelijke manier in belangrijke mate;
b) grootschalige verwerking van bijzondere categorieën gegevens, bedoeld in artikel 9, lid 1, of van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten, bedoeld in artikel 10; of
c) systematische grootschalige monitoring van een voor het publiek toegankelijk gebied.
(4) De toezichthoudende autoriteit stelt een lijst op en publiceert deze van de soorten verwerkingsactiviteiten die onderworpen zijn aan de verplichting om een effectbeoordeling op de gegevensbescherming uit te voeren, in overeenstemming met lid (1). De toezichthouder deelt deze lijsten mee aan het comité bedoeld in artikel 68.
(5) De toezichthoudende autoriteit kan ook een lijst opstellen en ter beschikking stellen van het publiek van de soorten verwerkingsactiviteiten waarvoor een beoordeling van de impact op de gegevensbescherming niet noodzakelijk is. De toezichthouder deelt deze lijsten mee aan het comité.
(6) Alvorens de in de paragrafen 4 en 5 bedoelde lijsten vast te stellen, past de bevoegde toezichthoudende autoriteit het mechanisme toe om de consistentie bedoeld in artikel 63 te garanderen in het geval dat deze actieve lijsten een verwerking inhouden die de levering van goederen met zich meebrengt. of het verlenen van diensten aan de betrokken personen of het monitoren van hun gedrag in meerdere lidstaten of die het vrije verkeer van persoonsgegevens binnen de Unie substantieel kunnen beïnvloeden. (7) De beoordeling omvat ten minste:
a) een systematische beschrijving van de verwachte verwerkingsactiviteiten en de doeleinden van de verwerking, inclusief, in voorkomend geval, het legitieme belang dat door de exploitant wordt nagestreefd;
b) een beoordeling van de noodzaak en evenredigheid van de verwerkingen in relatie tot deze doeleinden; c) een beoordeling van de risico's voor de rechten en vrijheden van de betrokken personen bedoeld in lid 1; en d) de maatregelen die naar verwachting de risico's zullen aanpakken, met inbegrip van garanties, veiligheidsmaatregelen en mechanismen die zijn ontworpen om de bescherming van persoonsgegevens te waarborgen en de naleving van de bepalingen van deze verordening aan te tonen, rekening houdend met de rechten en legitieme belangen van de betrokkenen en andere geïnteresseerde personen.
(8) Bij het beoordelen van de impact van de verwerkingsactiviteiten die worden uitgevoerd door de exploitanten of de door de relevante exploitanten gemachtigde personen, moet de naleving door de respectieve exploitanten of gemachtigde personen van de goedgekeurde gedragscodes bedoeld in artikel 40, in het bijzonder met een met het oog op een gegevensbeschermingseffectbeoordeling.
(9) De exploitant vraagt, indien nodig, de toestemming van de betrokken personen of hun vertegenwoordigers met betrekking tot de verstrekte verwerking, onverminderd de bescherming van commerciële of publieke belangen of de veiligheid van de verwerkingsactiviteiten.
(10) Wanneer de verwerking overeenkomstig artikel 6, lid 1, letter (c) of (e), een rechtsgrondslag heeft in het recht van de Unie of van een lidstaat waaronder de exploitant valt, en dat recht de specifieke verwerking regelt operatie of de reeks specifieke operaties in kwestie en er is al een beoordeling van de impact op de gegevensbescherming uitgevoerd als onderdeel van een algemene effectbeoordeling in de context van de vaststelling van de respectieve rechtsgrondslag, leden 1 tot en met 7 zijn niet van toepassing, tenzij de lidstaten van oordeel zijn dat het noodzakelijk is een dergelijke evaluatie uit te voeren alvorens de verwerkingsactiviteiten uit te voeren.
(11) Indien nodig voert de exploitant een analyse uit om te beoordelen of de verwerking plaatsvindt in overeenstemming met de gegevensbeschermingseffectbeoordeling, tenminste wanneer er een verandering is in het risico dat de verwerkingsactiviteiten met zich meebrengen.
Art. 36: Voorafgaand overleg
(1) De exploitant raadpleegt de toezichthoudende autoriteit vóór de verwerking wanneer uit de beoordeling van de impact op de gegevensbescherming zoals bedoeld in artikel 35 blijkt dat de verwerking een hoog risico zou opleveren als de exploitant geen maatregelen heeft genomen om het risico te beperken.
(2) Wanneer hij van mening is dat de in paragraaf (1) genoemde verwerking in strijd zou zijn met deze regelgeving, vooral wanneer het risico niet in voldoende mate is geïdentificeerd of beperkt
aan de exploitant brengt de toezichthoudende autoriteit uiterlijk acht weken na ontvangst van het verzoek om overleg een schriftelijk advies uit aan de exploitant en eventueel aan de door de exploitant gemachtigde persoon en kan gebruik maken van elk van de genoemde bevoegdheden in artikel 58. Deze termijn kan, rekening houdend met de complexiteit van de verstrekte verwerking, met zes weken worden verlengd. De toezichthoudende autoriteit informeert de exploitant en, in voorkomend geval, de door de exploitant gemachtigde persoon, binnen een maand na ontvangst van het verzoek, over een dergelijke verlenging, onder vermelding van de redenen voor de vertraging. Deze termijnen kunnen worden opgeschort totdat de toezichthouder de informatie heeft verkregen die hij voor het overleg heeft gevraagd.
(3) Bij overleg met de toezichthoudende autoriteit overeenkomstig lid (1) verstrekt de exploitant haar:
a) indien van toepassing, de respectieve verantwoordelijkheden van de exploitant, geassocieerde exploitanten en door de exploitant gemachtigde personen die betrokken zijn bij verwerkingsactiviteiten, met name voor verwerking binnen een groep van bedrijven;
b) het doel en de middelen van de beoogde verwerking;
c) de maatregelen en garanties die zijn voorzien voor de bescherming van de rechten en vrijheden van de betrokken personen, in overeenstemming met deze verordening;
d) indien van toepassing, de contactgegevens van de functionaris voor gegevensbescherming;
e) de beoordeling van de impact op de gegevensbescherming, bedoeld in artikel 35; En
f) alle andere informatie die door de toezichthoudende autoriteit wordt gevraagd.
(4) De lidstaten raadplegen de toezichthoudende autoriteit tijdens het proces van voorbereiding van een voorstel voor een wetgevende maatregel die door een nationaal parlement moet worden aangenomen of een regelgevende maatregel die op een dergelijke wetgevende maatregel is gebaseerd en die betrekking heeft op verwerking. (5) Niettegenstaande lid 1 kan het nationale recht van exploitanten verlangen dat zij de toezichthoudende autoriteit raadplegen en voorafgaande toestemming van deze verkrijgen in verband met de verwerking door een exploitant, teneinde een taak te vervullen die door hem in het openbaar belang wordt uitgeoefend, met inbegrip van verwerkingen die verband houden met sociale bescherming en volksgezondheid.
Sectie 4: Functionaris voor gegevensbescherming
Artikel 37: Aanwijzing van de functionaris voor gegevensbescherming
(1) De exploitant en de door de exploitant gemachtigde persoon benoemen een functionaris voor gegevensbescherming wanneer:
a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die handelen in de uitoefening van hun jurisdictiefunctie;
b) de hoofdactiviteiten van de exploitant of de door de exploitant gemachtigde persoon bestaan uit verwerkingen die door hun aard, omvang en/of doeleinden een periodieke en systematische monitoring van de betrokken personen op grote schaal vereisen; of
c) de hoofdactiviteiten van de exploitant of de door de exploitant gemachtigde persoon bestaan uit
grootschalige verwerking van bijzondere categorieën gegevens overeenkomstig artikel 9 of van gegevens met
persoonlijk karakter gerelateerd aan strafrechtelijke veroordelingen en misdrijven, genoemd in artikel 10.
(vanaf 23 mei 2018, Art. 37, paragraaf (1), letter C. van hoofdstuk IV, sectie 4 zoals gewijzigd door punt 9. van de rectificatie van 23-
mei-2018 )
(2) Een groep ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat de functionaris voor gegevensbescherming vanuit elke onderneming gemakkelijk bereikbaar is.
(3) Als de exploitant of de door de exploitant gemachtigde persoon een overheidsinstantie of een overheidsinstantie is, kan voor meerdere van deze autoriteiten of instanties één functionaris voor gegevensbescherming worden aangesteld, rekening houdend met hun organisatiestructuur en omvang. (4) In andere dan de in lid 1 genoemde gevallen kan de exploitant of de door de exploitant gemachtigde persoon of de verenigingen en andere instanties die categorieën exploitanten of door exploitanten gemachtigde personen vertegenwoordigen, benoemen of, indien het recht van de Unie of het interne recht vereist dit werk, wijst een functionaris voor gegevensbescherming aan. De functionaris voor gegevensbescherming kan optreden ten gunste van dergelijke verenigingen en andere instanties die exploitanten of door exploitanten gemachtigde personen vertegenwoordigen.
(5) De functionaris voor gegevensbescherming wordt aangesteld op basis van professionele kwaliteiten en in het bijzonder op basis van gespecialiseerde kennis van de wetgeving en praktijken op het gebied van gegevensbescherming, en op basis van het vermogen om de daarin voorziene taken uit te voeren. in artikel 39.
(6) De persoon die verantwoordelijk is voor de gegevensbescherming kan een personeelslid van de exploitant zijn of een door de exploitant gemachtigde persoon, of kan zijn taken uitvoeren op basis van een servicecontract. (7) De exploitant of de door de exploitant gemachtigde persoon publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de toezichthoudende autoriteiten.
Artikel 38: Functie van de functionaris voor gegevensbescherming
(1) De exploitant en de door de exploitant gemachtigde persoon zorgen ervoor dat de persoon die verantwoordelijk is voor de gegevensbescherming correct en tijdig wordt betrokken bij alle aspecten die verband houden met de bescherming van persoonsgegevens.
(2) De exploitant en de door de exploitant gemachtigde persoon ondersteunen de functionaris voor gegevensbescherming bij het vervullen van de taken genoemd in artikel 39, en verzekeren hem van de nodige middelen voor de uitvoering van deze taken, evenals van toegang tot persoonsgegevens en verwerkingsactiviteiten, en om zijn kennisspecialiteit te behouden.
(3) De exploitant en de door de exploitant geautoriseerde persoon zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt over de uitvoering van deze taken. Hij wordt niet ontslagen of bestraft door de exploitant of door de persoon die door de exploitant is gemachtigd om zijn taken uit te voeren. De functionaris voor gegevensbescherming is rechtstreeks verantwoordelijk voor het hoogste managementniveau van de exploitant of de door de exploitant gemachtigde persoon.
(4) Betrokkenen kunnen contact opnemen met de functionaris voor gegevensbescherming over alle zaken die verband houden met de verwerking van hun gegevens en de uitoefening van hun rechten op grond van deze verordening. (5) De persoon die verantwoordelijk is voor gegevensbescherming is verplicht om bij de uitvoering van zijn taken geheimhouding of vertrouwelijkheid te respecteren, in overeenstemming met het recht van de Unie of het nationale recht. (6) De functionaris voor gegevensbescherming kan andere taken en verantwoordelijkheden vervullen. De exploitant of de door de exploitant gemachtigde persoon zorgt ervoor dat geen van deze taken en plichten tot een belangenconflict leidt.
Artikel 39: Taken van de functionaris voor gegevensbescherming
(1) De functionaris voor gegevensbescherming heeft minimaal de volgende taken:
a) het informeren en adviseren van de exploitant, of de door de exploitant gemachtigde persoon, evenals de werknemers die zich bezighouden met de verwerking met betrekking tot hun verplichtingen op grond van deze verordening en andere bepalingen van het recht van de Unie of het interne recht met betrekking tot gegevensbescherming; b) toezicht houden op de naleving van deze verordening, andere bepalingen van het recht van de Unie of het interne recht met betrekking tot gegevensbescherming en het beleid van de exploitant of de door de exploitant gemachtigde persoon met betrekking tot de bescherming van persoonsgegevens, inclusief de toewijzing van verantwoordelijkheden en bewustmakingsacties en training van personeel dat betrokken is bij verwerkingsactiviteiten, evenals gerelateerde audits;
c) het op verzoek verstrekken van advies over de beoordeling van de impact op de gegevensbescherming en het monitoren van de werking ervan, in overeenstemming met artikel 35;
d) samenwerking met de toezichthoudende autoriteit;
e) het vervullen van de rol van aanspreekpunt voor de toezichthoudende autoriteit met betrekking tot de kwesties die verband houden met de verwerking, met inbegrip van het voorafgaande overleg bedoeld in artikel 36, evenals, indien nodig, het overleg over alle andere aangelegenheden.
(2) Bij de vervulling van zijn taken houdt de functionaris voor gegevensbescherming rekening met het risico dat aan de verwerkingen verbonden is, rekening houdend met de aard, omvang, context en doeleinden van de verwerking.
Sectie 5: Gedragscodes en certificering
Art. 40: Gedragscodes
(1) De lidstaten, de toezichthoudende autoriteiten, het comité en de Commissie moedigen de ontwikkeling aan van gedragscodes die bedoeld zijn om bij te dragen tot de juiste toepassing van deze verordening, rekening houdend met de specifieke kenmerken van de verschillende verwerkende sectoren en de specifieke behoeften van micro-ondernemingen en kleine ondernemingen en de middelgrote ondernemingen.
(2) Verenigingen en andere instanties die categorieën exploitanten of door exploitanten geautoriseerde personen vertegenwoordigen, kunnen gedragscodes opstellen of de bestaande wijzigen of uitbreiden, om de wijze van toepassing van deze verordening te specificeren, bijvoorbeeld met betrekking tot:
a) eerlijke en transparante verwerking;
b) de legitieme belangen die exploitanten in specifieke contexten nastreven; c) verzameling van persoonsgegevens;
d) pseudonimisering van persoonsgegevens;
e) het informeren van het publiek en de betrokken personen;
f) het uitoefenen van de rechten van de betrokken personen;
g) het informeren en beschermen van kinderen en de wijze waarop de toestemming van degenen die de ouderlijke verantwoordelijkheid over de kinderen dragen, moet worden verkregen;
h) de maatregelen en procedures genoemd in de artikelen 24 en 25 en de maatregelen ter waarborging van de verwerkingsveiligheid, genoemd in artikel 32;
i) het informeren van de toezichthoudende autoriteiten over schendingen van de beveiliging van persoonsgegevens en het informeren van de betrokken personen over deze schendingen;
j) de overdracht van persoonsgegevens aan derde landen of internationale organisaties; of
k) buitengerechtelijke procedures en andere procedures voor geschillenbeslechting voor de beslechting van geschillen tussen exploitanten en betrokkenen met betrekking tot verwerking, onverminderd de rechten van betrokkenen, overeenkomstig de artikelen 77 en 79.
(3) De gedragscodes die zijn goedgekeurd op grond van lid (5) van dit artikel en die een algemene geldigheid hebben op grond van lid (9) van dit artikel kunnen niet alleen gelden voor exploitanten of personen die zijn gemachtigd door exploitanten die het onderwerp zijn van deze verordening , maar ook exploitanten of door exploitanten gemachtigde personen die op grond van artikel 3 niet onder deze verordening vallen, om adequate garanties te bieden in het kader van de overdracht van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden bedoeld in artikel 46, lid (2) letter (e). Deze exploitanten of door de exploitanten gemachtigde personen gaan bindende en afdwingbare verbintenissen aan, door middel van contractuele instrumenten of andere juridisch bindende instrumenten, om de respectieve passende garanties toe te passen, ook met betrekking tot de rechten van de betrokken personen.
(4) De gedragscode bedoeld in lid (2) van dit artikel omvat mechanismen die het in artikel 41, lid (1) bedoelde orgaan in staat stellen het verplichte toezicht uit te oefenen op de naleving van de bepalingen ervan door exploitanten of door personen die daartoe door de toezichthouder zijn gemachtigd. exploitanten die zich ertoe verbinden het toe te passen, onverminderd de taken en bevoegdheden van de toezichthoudende autoriteiten die bevoegd zijn krachtens artikel 55 of 56.
(5) De in het tweede lid van dit artikel genoemde verenigingen en andere organen die voornemens zijn een gedragscode op te stellen of een bestaande code te wijzigen of uit te breiden, dienen het ontwerp van de code, de wijziging of de uitbreiding in bij de toezichthoudende autoriteit die bevoegd is op grond van artikel 2. De toezichthouder brengt advies uit over de naleving van dit voorschrift van de conceptcode, wijziging of uitbreiding en keurt dit goed als wordt geoordeeld dat dit voldoende adequate waarborgen biedt.
(6) Indien de ontwerpcode, wijziging of uitbreiding wordt goedgekeurd in overeenstemming met lid (5), en de gedragscode in kwestie geen betrekking heeft op verwerkingsactiviteiten in meerdere lidstaten, zal de toezichthoudende autoriteit de code ook registreren en publiceren.
(7) Indien een ontwerp-gedragscode, wijziging of uitbreiding betrekking heeft op verwerkingsactiviteiten in meerdere lidstaten, zal de bevoegde toezichthoudende autoriteit overeenkomstig artikel 55 deze, vóór goedkeuring, via de procedure bedoeld in artikel 63 doorgeven aan de commissie, die een oordeel uitbrengt over de naleving van deze regeling door het betreffende project, of in de situatie genoemd in lid (3) van dit artikel adequate garanties biedt.
(8) Indien het in het zevende lid bedoelde advies de naleving van deze regeling van de ontwerpcode, wijziging of uitbreiding bevestigt of indien het in de in het derde lid bedoelde situatie voldoende garanties biedt, zendt de commissie het advies uit van de Commissie.
(9) De Commissie kan uitvoeringshandelingen vaststellen om te besluiten dat de goedgekeurde gedragscode, wijziging of uitbreiding die haar overeenkomstig lid 8 van dit artikel wordt voorgelegd, algemene geldigheid heeft in de Unie. De respectieve uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure van artikel 93, lid 2.
(10) De commissie zorgt voor voldoende publiciteit voor de goedgekeurde codes waarvan overeenkomstig lid (9) is besloten dat ze algemene geldigheid hebben.
(11) Het Comité verzamelt alle goedgekeurde gedragscodes, wijzigingen en uitbreidingen in een register en maakt deze op passende wijze beschikbaar voor het publiek.
Art. 41: Toezicht op goedgekeurde gedragscodes
(1) Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit op grond van de artikelen 57 en 58, kan het toezicht op de naleving van een gedragscode overeenkomstig artikel 40 worden uitgevoerd door een orgaan dat beschikt over een passend niveau van deskundigheid op het gebied van betrekking hebben op het onderwerp van de code en die daartoe is geaccrediteerd door de bevoegde toezichthouder.
(2) Een in lid 1 bedoelde instantie kan worden geaccrediteerd voor het toezicht op de naleving van een gedragscode indien:
a) op bevredigende wijze aan de bevoegde toezichthoudende autoriteiten zijn onafhankelijkheid en deskundigheid met betrekking tot het voorwerp van de code hebben aangetoond;
b) procedures ingesteld die het mogelijk maken om de geschiktheid van exploitanten en door exploitanten gemachtigde personen te beoordelen om de code toe te passen, om toezicht te houden op hun naleving van de bepalingen van de code en om periodiek de werking ervan te beoordelen;
c) vastgestelde procedures en structuren voor het behandelen van klachten over overtredingen van de code of over de manier waarop de code werd of wordt geïmplementeerd door een exploitant of een door de exploitant gemachtigde persoon, en om de transparantie van deze procedures en structuren voor de betrokken personen en voor het publiek; En
d) op bevredigende wijze aan de bevoegde toezichthoudende autoriteiten heeft aangetoond dat zijn taken en bevoegdheden geen belangenconflicten veroorzaken.
(3) De bevoegde toezichthoudende autoriteit legt de ontwerpvereisten voor de accreditatie van een in lid 1 van dit artikel bedoelde instantie voor aan de commissie, in overeenstemming met het mechanisme
om de consistentie bedoeld in artikel 63 te waarborgen.
(vanaf 23 mei 2018, art. 41, paragraaf (3) van hoofdstuk IV, afdeling
nea 5 gecorrigeerd door punt 10. van de Correctie van 23-mei-
2018)
(4) Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit en de bepalingen van Hoofdstuk VIII, neemt een orgaan bedoeld in lid (1) van dit artikel passende maatregelen, onder voorbehoud van adequate garanties, in geval van overtreding van de code. door een operator of een door de operator geautoriseerde persoon, inclusief door die operator of die persoon te schorsen of uit te sluiten van de code. Het betreffende orgaan informeert de bevoegde toezichthoudende autoriteit over deze maatregelen en de redenen die daartoe hebben geleid.
(5) De bevoegde toezichthoudende autoriteit trekt de accreditatie van een in het lid bedoelde instantie in
(1) indien niet langer wordt voldaan aan de eisen voor accreditatie of aan de maatregelen genomen door de instelling
in kwestie in strijd is met deze verordening.
(vanaf 23 mei 2018, art. 41, tweede lid van c
hoofdstuk IV, paragraaf 5 gerectificeerd door punt 11. van de Rectificatie van 23-mei-
2018)
(6) Dit artikel is niet van toepassing op de verwerking door autoriteiten en overheidsinstanties.
Artikel 42: Certificering
(1) De lidstaten, de toezichthoudende autoriteiten, het comité en de Commissie moedigen, vooral op het niveau van de Unie, de invoering aan van certificeringsmechanismen op het gebied van gegevensbescherming, evenals van zegels en merken op dit gebied, die het mogelijk maken om aan te tonen het feit dat de verwerkingen uitgevoerd door de exploitanten en de door de exploitanten gemachtigde personen in overeenstemming zijn met deze verordening. Er wordt rekening gehouden met de specifieke behoeften van micro-ondernemingen en kleine en middelgrote ondernemingen. (2) De certificeringsmechanismen voor gegevensbescherming, zegels of merken die zijn goedgekeurd op grond van lid (5) van dit artikel zijn niet alleen ingesteld om te worden gerespecteerd door de exploitanten of de door de exploitanten gemachtigde personen die het onderwerp zijn van deze verordening, maar ook om het bestaan aantonen van adequate garanties die worden geboden door de exploitanten of de door hen gemachtigde personen
exploitanten die niet onder deze verordening vallen, overeenkomstig artikel 3, in het kader van de overdracht van persoonsgegevens aan derde landen of internationale organisaties onder de voorwaarden bedoeld in artikel 46, lid 2, onder f). Deze exploitanten of door de exploitanten gemachtigde personen gaan bindende en afdwingbare verbintenissen aan, door middel van contractuele instrumenten of andere juridisch bindende instrumenten, om de respectieve passende garanties toe te passen, ook met betrekking tot de rechten van de betrokken personen.
(3) Certificering is vrijwillig en beschikbaar via een transparant proces.
(4) Certificering in overeenstemming met dit artikel doet niets af aan de verantwoordelijkheid van de exploitant of de persoon die door de exploitant is gemachtigd om aan deze regeling te voldoen en heeft geen invloed op de taken en bevoegdheden van de toezichthoudende autoriteiten die bevoegd zijn op grond van artikel 55 of 56. (5) De in artikel 43 bedoelde certificeringsinstanties of de bevoegde toezichthoudende autoriteit geven een certificering af op grond van dit artikel, op basis van de criteria die zijn goedgekeurd door de respectieve bevoegde toezichthoudende autoriteit op grond van artikel 58, lid (3), of door de commissie op grond van artikel 63. Indien de criteria worden goedgekeurd door de commissie, dit kan leiden tot een gemeenschappelijke certificering, namelijk het Europese gegevensbeschermingszegel.
(6) De exploitant of de door de exploitant gemachtigde persoon die zijn verwerkingsactiviteiten onderwerpt aan het certificeringsmechanisme, biedt de in artikel 43 bedoelde certificeringsinstantie of, in voorkomend geval, de bevoegde toezichthoudende autoriteiten, alle informatie aan die nodig is om de de certificeringsprocedure, evenals toegang tot de activiteiten respectievelijke verwerking.
(7) De certificering wordt afgegeven aan een exploitant of een persoon die door de exploitant is gemachtigd voor:
de maximale periode van drie jaar en kan onder dezelfde voorwaarden worden verlengd, op voorwaarde dat nog steeds aan de relevante criteria wordt voldaan. De certificering wordt in voorkomend geval ingetrokken door de certificatie-instellingen bedoeld in artikel 43 of door de bevoegde toezichthoudende autoriteit indien deze niet langer
aan de criteria voor certificering is voldaan.
(vanaf 23 mei 2018, art. 42, paragraaf (7) van hfdst
IV, sectie 5 gerectificeerd door punt 12. van de rectificatie van 23 mei
2018)
(8) Het Comité verzamelt alle certificeringsmechanismen en gegevensbeschermingszegels en -merken in een register en stelt deze met alle passende middelen ter beschikking van het publiek.
Artikel 43: Certificatie-instellingen
(1) Onverminderd de taken en bevoegdheden van de bevoegde toezichthoudende autoriteit, bepaald in de artikelen 57 en 58, kunnen de certificerende instanties die over een passend competentieniveau beschikken op het gebied van gegevensbescherming, nadat zij de toezichthoudende autoriteit hebben geïnformeerd om haar toe te staan de bevoegdheden uit hoofde van artikel 58, lid (2), letter (h), uitoefenen en de certificering afgeven en vernieuwen. De lidstaten zorgen ervoor dat deze certificeringsinstanties worden geaccrediteerd door een of beide van de volgende entiteiten:
a) de toezichthoudende autoriteit die bevoegd is krachtens artikel 55 of 56;
b) de nationale accreditatie-instantie die is aangewezen overeenkomstig Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad (1) in overeenstemming met de norm EN-ISO/IEC 17065/2012 en met de aanvullende eisen vastgesteld door de toezichthoudende autoriteit die bevoegd is krachtens artikel 55 of 56.
(1) Verordening (EG) nr. 765/2008 van het Europees Parlement en de Raad van 9 juli 2008 tot vaststelling van de vereisten voor accreditatie en markttoezicht met betrekking tot het op de markt brengen van producten en tot intrekking van Verordening (EEG) nr. 339/93 (PB L 218 van 13.8.2008, blz. 30)
(2) Een in lid 1 bedoelde certificeringsinstantie wordt uitsluitend overeenkomstig dat lid geaccrediteerd als:
a) op bevredigende wijze aan de bevoegde toezichthoudende autoriteiten zijn onafhankelijkheid en deskundigheid met betrekking tot het onderwerp van de certificering hebben aangetoond;
b) zich ertoe verbinden te voldoen aan de criteria vermeld in artikel 42, lid 5, en goedgekeurd door de toezichthoudende autoriteit die bevoegd is krachtens artikel 55 of 56, of door het comité krachtens artikel 63;
c) procedures ingesteld voor de afgifte, periodieke beoordeling en intrekking van certificeringen, zegels en merken op het gebied van gegevensbescherming;
d) vastgestelde procedures en structuren voor het behandelen van klachten over schendingen van de certificering of over de wijze waarop de certificering werd of wordt geïmplementeerd door een exploitant of een door de exploitant geautoriseerde persoon, en om de transparantie van deze procedures en structuren voor de betrokken personen en voor het publiek; En
e) op bevredigende wijze aan de bevoegde toezichthoudende autoriteiten hebben aangetoond dat zijn taken en bevoegdheden geen belangenconflicten veroorzaken.
(3) De accreditatie van de certificatie-instellingen bedoeld in paragrafen (1) en (2) van dit artikel wordt uitgevoerd op basis van de eisen die zijn goedgekeurd door de toezichthoudende autoriteit die bevoegd is krachtens artikel 55 of 56, of door de commissie krachtens artikel 63 of XNUMX. XNUMX. In het geval van een accreditatie in
overeenkomstig lid 1, letter b) van dit artikel vormen deze eisen een aanvulling op die van Verordening (EG) nr. 765/2008 en de technische normen die de methoden en procedures van de instanties beschrijven
certificeren.
(op de 23e
i-2018 artikel 43, lid. (3) uit hoofdstuk IV, paragraaf 5 gerectificeerd door punt 13. van de rectificatie van 23-mei-
2018)
(4) De in lid (1) bedoelde certificeringsinstanties zijn verantwoordelijk voor het uitvoeren van een passende evaluatie om deze certificering te certificeren of in te trekken, zonder afbreuk te doen aan de verantwoordelijkheid van de exploitant of de persoon die door de exploitant is gemachtigd om aan deze verordening te voldoen. Accreditatie wordt afgegeven voor een periode van maximaal vijf jaar en kan onder dezelfde voorwaarden worden verlengd, op voorwaarde dat de certificatie-instelling voldoet aan de eisen gesteld in dit artikel.
(5) De in lid (1) bedoelde certificeringsinstanties geven de redenen voor het verlenen of intrekken van de gevraagde certificering aan de bevoegde toezichthoudende autoriteiten door.
(6) De vereisten genoemd in lid (3) van dit artikel en de criteria genoemd in artikel 42 lid (5) worden door de toezichthoudende autoriteit in een gemakkelijk toegankelijke vorm gepubliceerd. autoriteit
toezicht zendt deze eisen en criteria ook door aan de commissie.
(op 23 mei 2018 Art. 43, paragraaf (6) van hoofdstuk IV, afdeling 5 gewijzigd door punt 1
4. vanaf de Correctie van 23 mei-
2018)
(7) Onverminderd de bepalingen van Hoofdstuk VIII trekt de bevoegde toezichthoudende autoriteit of de nationale accreditatie-instantie de accreditatie die aan een certificeringsinstantie is verleend krachtens lid (1) van dit artikel in, indien niet of niet langer aan de voorwaarden voor accreditatie wordt voldaan. of de maatregelen genomen door de accreditatie-instelling zijn in strijd met deze regeling.
(8) De Commissie is bevoegd om gedelegeerde handelingen vast te stellen overeenkomstig artikel 92, om de eisen te specificeren waarmee rekening moet worden gehouden bij de certificeringsmechanismen voor gegevensbescherming, bedoeld in artikel 42, lid 1.
(9) De Commissie kan uitvoeringshandelingen vaststellen om technische normen vast te stellen voor certificeringsmechanismen en zegels en merken op het gebied van gegevensbescherming, evenals mechanismen voor het bevorderen en erkennen van die certificeringsmechanismen, zegels en merken. De respectieve uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
HOOFDSTUK V: Doorgifte van persoonsgegevens aan derde landen of internationale organisaties
Artikel 44: Het algemene principe van overdrachten
Eventuele persoonsgegevens die het voorwerp zijn van verwerking of die moeten worden verwerkt nadat ze zijn doorgegeven aan een derde land of aan een internationale organisatie, kunnen alleen worden doorgegeven als, met inachtneming van de overige bepalingen van deze verordening, aan de voorwaarden van dit hoofdstuk is voldaan. voldaan door de exploitant en de door de exploitant gemachtigde persoon, ook met betrekking tot daaropvolgende overdrachten van persoonsgegevens van het derde land of van de internationale organisatie naar een ander derde land of naar een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast om ervoor te zorgen dat het door deze verordening gegarandeerde niveau van bescherming van natuurlijke personen niet wordt ondermijnd.
Art. 45: Overdrachten op basis van een beslissing over de adequaatheid van het beschermingsniveau
(1) De overdracht van persoonsgegevens aan een derde land of een internationale organisatie kan plaatsvinden wanneer de Commissie heeft besloten dat het derde land, een gebied of een of meer specifieke sectoren
van dat derde land of die internationale organisatie in kwestie een passend beschermingsniveau waarborgt. Voor overboekingen die onder deze voorwaarden plaatsvinden, zijn geen speciale autorisaties vereist.
(2) Bij de beoordeling van de toereikendheid van het beschermingsniveau houdt de Commissie met name rekening met de volgende elementen:
a) de rechtsstaat, de eerbiediging van de mensenrechten en de fundamentele vrijheden, de relevante wetgeving, zowel algemeen als sectoraal, inclusief met betrekking tot de openbare veiligheid, defensie, de nationale veiligheid en het strafrecht, evenals de toegang van overheidsinstanties tot persoonsgegevens, zoals evenals de implementatie van deze wetgeving, gegevensbeschermingsregels, beroepsregels en veiligheidsmaatregelen, inclusief de regels met betrekking tot de daaropvolgende overdracht van persoonsgegevens naar een ander derde land of een andere internationale organisatie, die respectievelijk worden gerespecteerd in het betreffende derde land of de internationale organisatie, de jurisprudentie, evenals het bestaan van effectieve en tegenstelbare rechten van de betrokkenen en van effectieve administratieve en gerechtelijke herstelbetalingen voor de betrokkenen wier persoonsgegevens worden overgedragen;
b) het bestaan en de efficiënte werking van een of meer onafhankelijke toezichthoudende autoriteiten in het derde land of onder wiens jurisdictie een internationale organisatie valt, die verantwoordelijk zijn voor het waarborgen en afdwingen van de naleving van de regels inzake gegevensbescherming, met inbegrip van adequate bevoegdheden om de naleving van de aanvraag te garanderen, voor het verlenen van bijstand en advies aan betrokkenen bij de uitoefening van hun rechten en voor samenwerking met de toezichthoudende autoriteiten in de lidstaten; En
c) de internationale verbintenissen waartoe het derde land of de internationale organisatie in kwestie zich heeft aangesloten of andere verplichtingen die voortvloeien uit juridisch bindende verdragen of instrumenten, en uit zijn deelname aan multilaterale of regionale systemen, met name op het gebied van de bescherming van persoonsgegevens .
(3) De Commissie kan, na beoordeling van de toereikendheid van het beschermingsniveau, door middel van een uitvoeringshandeling besluiten dat een derde land, een gebied of een of meer specifieke sectoren van een derde land of een internationale organisatie een passend niveau van bescherming waarborgt. bescherming in de zin van lid 2 van dit artikel. De uitvoeringshandeling voorziet in een periodiek evaluatiemechanisme, ten minste eens in de vier jaar, waarbij rekening wordt gehouden met alle relevante ontwikkelingen in het derde land of de internationale organisatie. De uitvoeringshandeling vermeldt de geografische en sectorale toepassing en identificeert, in voorkomend geval, de toezichthoudende autoriteit of autoriteiten bedoeld in lid 2, onder b), van dit artikel. De uitvoeringshandeling wordt vastgesteld volgens de onderzoeksprocedure bedoeld in artikel 93, lid 2.
(4) De Commissie houdt voortdurend toezicht op de ontwikkelingen in derde landen en op het niveau van internationale organisaties die van invloed kunnen zijn op de werking van de besluiten die zijn aangenomen op grond van lid 3 van dit artikel en de besluiten die zijn genomen op grond van artikel 25, lid 6, van dit artikel. Richtlijn 95/46/WAT.
(5) Indien uit de beschikbare informatie blijkt, met name na de in lid 3 van dit artikel bedoelde evaluatie, dat een derde land, een gebied of een specifieke sector van dat derde land of een internationale organisatie niet langer een niveau van adequate bescherming in de zin van lid 2 van dit artikel, trekt, wijzigt of schorst de Commissie, indien nodig, door middel van een uitvoeringshandeling het in lid 3 van dit artikel bedoelde besluit zonder terugwerkende kracht. De respectieve uitvoeringshandelingen worden vastgesteld overeenkomstig de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Om dwingende urgente redenen stelt de Commissie onmiddellijk toepasselijke uitvoeringshandelingen vast volgens de in artikel 93, lid 3, bedoelde procedure.
(6) De commissie initieert overleg met het derde land of de internationale organisatie om de situatie te verhelpen die aan de basis lag van het overeenkomstig lid 5 genomen besluit.
(7) Een besluit genomen op grond van lid 5 van dit artikel heeft geen invloed op de overdracht van persoonsgegevens naar het derde land, een gebied of een of meer specifieke sectoren van dat derde land of naar de internationale organisatie in kwestie in overeenstemming met de artikelen 46-49. (8) De Commissie publiceert in het Publicatieblad van de Europese Unie en op haar website een lijst van derde landen, gespecificeerde gebieden en sectoren van een derde land en internationale organisaties waarvoor zij heeft besloten dat het passende beschermingsniveau verzekerd is of niet meer verzekerd is.
(9) Beschikkingen die door de Commissie zijn aangenomen op grond van artikel 25, lid 6, van Richtlijn 95/46/EG blijven van kracht totdat zij worden gewijzigd, vervangen of ingetrokken door een besluit van de Commissie dat is vastgesteld in overeenstemming met lid 3 of 5. uit dit artikel.
Art. 46: Overdrachten op basis van voldoende garanties
(1) Bij ontstentenis van een besluit op basis van artikel 45, lid 3, mag de exploitant of de door de exploitant gemachtigde persoon alleen persoonsgegevens doorgeven aan een derde land of een internationale organisatie als de exploitant of de door de exploitant gemachtigde persoon adequate garanties heeft geboden en onder de voorwaarde dat er tegenstelbare rechten en effectieve rechtsmiddelen voor de betrokken personen bestaan.
(2) De in lid 1 bedoelde passende garanties kunnen worden geboden zonder dat er specifieke toestemming van een toezichthoudende autoriteit nodig is, door:
a) een juridisch bindend en afdwingbaar instrument tussen overheidsinstanties of -organen;
b) verplichte bedrijfsregels in overeenstemming met artikel 47;
c) standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld overeenkomstig de onderzoeksprocedure bedoeld in artikel 93, lid 2;
d) standaardbepalingen inzake gegevensbescherming, aangenomen door een toezichthoudende autoriteit en goedgekeurd door de Commissie in overeenstemming met de onderzoeksprocedure bedoeld in artikel 93, lid 2;
e) een gedragscode die is goedgekeurd overeenkomstig artikel 40, vergezeld van een bindende en afdwingbare toezegging van de exploitant of de door de exploitant in het derde land gemachtigde persoon om adequate garanties te bieden, ook met betrekking tot de rechten van de betrokken personen; of
f) een certificeringsmechanisme goedgekeurd in overeenstemming met artikel 42, vergezeld van een bindende en afdwingbare verbintenis van de exploitant of de persoon die door de exploitant in het derde land is gemachtigd om adequate garanties toe te passen, ook met betrekking tot de rechten van de betrokkenen.
(3) Behoudens toestemming van de bevoegde toezichthoudende autoriteit kunnen de in lid 1 bedoelde passende garanties ook worden geboden, met name door:
a) contractuele clausules tussen de exploitant of de door de exploitant gemachtigde persoon en de exploitant, de door de exploitant gemachtigde persoon of de ontvanger van persoonsgegevens uit het derde land of de internationale organisatie; of
b) bepalingen die moeten worden opgenomen in de bestuursovereenkomsten tussen de autoriteiten of openbare lichamen, waarin tegenstelbare en effectieve rechten voor de betrokkenen zijn opgenomen.
(4) De toezichthoudende autoriteit past het in artikel 63 bedoelde mechanisme voor het garanderen van consistentie toe in de gevallen bedoeld in lid 3 van dit artikel.
(5) De vergunningen verleend door een lidstaat of een toezichthoudende autoriteit overeenkomstig artikel 26, lid 2, van Richtlijn 95/46/EG zijn geldig tot de datum waarop ze, indien nodig, worden gewijzigd, vervangen of ingetrokken door de respectieve toezichthoudende autoriteit. Beschikkingen die door de Commissie zijn aangenomen op grond van artikel 26, lid 4, van Richtlijn 95/46/EG blijven van kracht totdat zij, indien nodig, worden gewijzigd, vervangen of ingetrokken door een besluit van de Commissie dat is vastgesteld in overeenstemming met lid 2 van dit artikel.
Artikel 47: Verplichte bedrijfsregels
(1) In overeenstemming met het mechanisme ter waarborging van de consistentie waarin artikel 63 voorziet, keurt de bevoegde toezichthoudende autoriteit bindende bedrijfsregels goed, op voorwaarde dat deze:
a) juridisch bindend zijn en van toepassing zijn op elk betrokken lid van de groep van ondernemingen of van de groep van ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit, met inbegrip van zijn werknemers, en ten uitvoer worden gelegd door de betrokken leden;
b) het uitdrukkelijk tegenstelbare rechten toekennen aan de betrokken personen met betrekking tot de verwerking van hun persoonsgegevens; En
c) om te voldoen aan de vereisten van lid (2).
(2) De verplichte bedrijfsregels vermeld in paragraaf (1) specificeren ten minste:
a) de structuur en contactgegevens van de groep van ondernemingen of van de groep van ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit en van elk van haar leden;
b) de gegevensoverdrachten of het geheel van overdrachten, met inbegrip van de categorieën van persoonsgegevens, het type verwerking en de doeleinden van de verwerking, de soorten betrokkenen en de identificatie van het derde land of de derde landen in kwestie;
c) hun dwingend juridisch karakter, zowel intern als extern;
d) toepassing van algemene beginselen op het gebied van gegevensbescherming, in het bijzonder doelbinding, gegevensminimalisatie, beperkte opslagtermijnen, gegevenskwaliteit, gegevensbescherming vanaf het moment van conceptie en impliciete bescherming, wettelijke basis voor verwerking, verwerking van speciale categorieën gegevens persoonsgegevens maatregelen om de gegevensbeveiliging te waarborgen, evenals vereisten met betrekking tot latere overdrachten aan instanties die niet onderworpen zijn aan verplichte bedrijfsregels;
e) de rechten van betrokkenen met betrekking tot de verwerking en de middelen om deze rechten uit te oefenen, inclusief het recht om niet onderworpen te worden aan beslissingen die uitsluitend gebaseerd zijn op automatische verwerking, inclusief het aanmaken van profielen, in overeenstemming met artikel 22, het recht om een aanvraag in te dienen een klacht indienen bij de bevoegde toezichthoudende autoriteit en bij de bevoegde rechtbanken van de lidstaten, in overeenstemming met artikel 79, evenals het recht op herstelbetalingen en, in voorkomend geval, compensatie voor de schending van de dwingende bedrijfsregels;
f) de aanvaarding door de exploitant of door de door de exploitant gemachtigde persoon, die gevestigd is op het grondgebied van een lidstaat, van de verantwoordelijkheid voor elke overtreding van de verplichte bedrijfsregels door een lid in het geval dat niet gevestigd is in de lidstaat Unie; de exploitant of de door de exploitant gemachtigde persoon wordt slechts geheel of gedeeltelijk van deze aansprakelijkheid ontheven indien hij bewijst dat het betreffende lid niet verantwoordelijk was voor de gebeurtenis die de schade veroorzaakte;
g) de wijze waarop de informatie met betrekking tot de dwingende bedrijfsregels, in het bijzonder met betrekking tot de bepalingen genoemd in de letters (d), (e) en (f) van dit lid, aan de betrokkenen wordt verstrekt naast de informatie genoemd in artikelen 13 en 14;
h) de taken van elke functionaris voor gegevensbescherming die is aangesteld in overeenstemming met artikel 37 of van elke andere persoon of entiteit die belast is met het toezicht op de naleving van verplichte bedrijfsregels binnen de bedrijvengroep of de groep bedrijven die betrokken zijn bij een gemeenschappelijke economische activiteit, opleidingsactiviteiten en klachtenbeheer;
i) procedures voor het formuleren van klachten;
j) de mechanismen binnen de groep van bedrijven of de groep van bedrijven die betrokken zijn bij een gemeenschappelijke economische activiteit, bedoeld om de naleving van de verplichte bedrijfsregels te garanderen. Deze mechanismen omvatten gegevensbeschermingsaudits en methoden om corrigerende maatregelen te garanderen die zijn ontworpen om de rechten van de betrokkene te beschermen. De resultaten van deze controles moeten worden meegedeeld aan de persoon of entiteit bedoeld in letter (h) en aan de raad van bestuur van de vennootschap die zeggenschap uitoefent over de groep van vennootschappen of de groep van vennootschappen die betrokken zijn bij een gemeenschappelijke economische activiteit en moeten worden meegedeeld op verzoek beschikbaar voor de autoriteit van het bevoegde toezicht;
k) de mechanismen voor het rapporteren en vastleggen van de wijzigingen in de regels en voor het rapporteren van deze wijzigingen aan de toezichthoudende autoriteit;
l) het samenwerkingsmechanisme met de toezichthoudende autoriteit om ervoor te zorgen dat de regels worden nageleefd door elk lid van de groep van ondernemingen of van de groep van ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit, met name door het aan de toezichthoudende autoriteit beschikbaar stellen van de resultaten van de controles met betrekking tot de maatregelen genoemd in punt j);
m) rapportagemechanismen aan de bevoegde toezichthoudende autoriteit over eventuele wettelijke vereisten die worden opgelegd aan een lid van de groep van ondernemingen of van de groep van ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit in een derde land en die een aanzienlijk negatief effect kunnen hebben op de garanties die worden geboden door de regels verplichte corporatisten; En
n) passende opleiding op het gebied van gegevensbescherming voor personeel dat permanent of periodiek toegang heeft tot persoonsgegevens.
(3) De Commissie kan het formaat en de procedures specificeren voor de uitwisseling van informatie tussen exploitanten, door exploitanten gemachtigde personen en toezichthoudende autoriteiten op het gebied van bedrijfsregels.
verplicht in de zin van dit artikel. De respectieve uitvoeringshandelingen worden vastgesteld volgens de onderzoeksprocedure van artikel 93, lid 2.
Art. 48: Overdracht of openbaarmaking van informatie die niet is toegestaan door het recht van de Unie
Elke beslissing van een rechtbank of tribunaal en elke beslissing van een administratieve autoriteit van een derde land waarbij een exploitant of de door de exploitant gemachtigde persoon wordt verplicht om persoonsgegevens over te dragen of openbaar te maken, kan op enigerlei wijze worden erkend of ten uitvoer gelegd als deze is gebaseerd op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtshulp dat van kracht is tussen het verzoekende derde land en de Unie of een lidstaat, onverminderd andere redenen voor overdracht op grond van dit hoofdstuk.
Art. 49: Vrijstellingen voor specifieke situaties
(1) Bij ontstentenis van een besluit over de adequaatheid van het beschermingsniveau overeenkomstig artikel 45, lid 3, of adequate waarborgen overeenkomstig artikel 46, met inbegrip van verplichte bedrijfsregels, een overdracht of een reeks gegevensoverdrachten met persoonlijke overdracht aan een derde land of een internationale organisatie kan alleen plaatsvinden onder een van de volgende voorwaarden: a) de betrokkene heeft uitdrukkelijk zijn instemming uitgesproken met de voorgestelde overdracht, nadat hij op de hoogte is gesteld van de mogelijke risico’s die dergelijke overdrachten voor de betrokkene met zich mee kunnen brengen persoon als gevolg van het uitblijven van een besluit over de adequaatheid van het beschermingsniveau en adequate waarborgen;
b) de overdracht is noodzakelijk voor de uitvoering van een contract tussen de betrokkene en de exploitant of voor de toepassing van precontractuele maatregelen die op verzoek van de betrokkene zijn genomen;
c) de overdracht noodzakelijk is voor het sluiten van een contract of voor de uitvoering van een contract dat in het belang van de betrokkene is gesloten tussen de exploitant en een andere natuurlijke of rechtspersoon;
d) de doorgifte is noodzakelijk om gewichtige redenen van algemeen belang;
e) de overdracht is noodzakelijk voor het vaststellen, uitoefenen of verdedigen van een recht in rechte;
f) de doorgifte is noodzakelijk om de vitale belangen van de betrokkene of andere personen te beschermen, wanneer de betrokkene niet over de fysieke of juridische capaciteit beschikt om zijn toestemming te geven; g) de doorgifte vindt plaats vanuit een register dat, volgens het recht van de Unie of het nationale recht, tot doel heeft het publiek te informeren en dat kan worden geraadpleegd door het grote publiek of door iedere persoon die een legitiem belang kan aantonen, maar alleen voor zover aan de voorwaarden inzake raadpleging waarin het recht van de Unie of het interne recht in dat specifieke geval voorziet, is voldaan. Indien een overdracht niet gebaseerd kan zijn op een bepaling voorzien in artikel 45 of 46, met inbegrip van bepalingen met betrekking tot verplichte bedrijfsregels, en geen van de afwijkingen voor specifieke situaties voorzien in de eerste paragraaf van deze paragraaf van toepassing is, kan een overdracht naar een derde land of een internationale organisatie kan alleen plaatsvinden als de doorgifte niet repetitief is, slechts betrekking heeft op een beperkt aantal betrokkenen, noodzakelijk is om de grote legitieme belangen te verwezenlijken die door de exploitant worden nagestreefd en waarbij de belangen of rechten niet prevaleren en de vrijheden van de betrokkene en de exploitant hebben alle omstandigheden met betrekking tot de gegevensoverdracht geëvalueerd en op basis van deze evaluatie passende garanties geboden met betrekking tot de bescherming van persoonsgegevens. De exploitant informeert de toezichthoudende autoriteit over de overdracht. De exploitant informeert, naast het verstrekken van de informatie vermeld in de artikelen 13 en 14, de betrokkene over de overdracht en de belangrijkste legitieme belangen die deze nastreeft.
(2) De overdracht overeenkomstig lid 1, eerste lid, letter (g) heeft niet betrekking op alle persoonsgegevens of op alle categorieën van persoonsgegevens die in het register zijn opgenomen. Wanneer het register moet worden geraadpleegd door personen die een legitiem belang hebben, wordt de overdracht alleen uitgevoerd op verzoek van de betreffende personen of als zij de ontvangers zullen zijn. (3) Paragraaf 1, eerste lid, letters (a), (b) en (c) en het tweede lid zijn niet van toepassing op activiteiten die door overheidsinstanties worden verricht bij de uitoefening van hun publieke bevoegdheden.
(4) Het in lid 1, eerste lid, letter d) bedoelde openbaar belang wordt erkend in het recht van de Unie of in het recht van de lidstaat waaronder de exploitant valt.
(5) Bij ontstentenis van een besluit over de gepastheid van het beschermingsniveau kan het recht van de Unie of het nationale recht, om belangrijke overwegingen van openbaar belang, uitdrukkelijk grenzen stellen
over de overdracht van specifieke categorieën persoonsgegevens naar een derde land of een internationale organisatie. De lidstaten stellen de Commissie van deze bepalingen in kennis.
(6) De exploitant of de door de exploitant gemachtigde persoon legt de beoordeling vast, evenals de passende garanties voorzien in de tweede alinea van paragraaf (1) van dit artikel, in de in artikel 30 genoemde administratie.
Art. 50: Internationale samenwerking op het gebied van de bescherming van persoonsgegevens
Met betrekking tot derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten passende maatregelen om:
a) de ontwikkeling van internationale samenwerkingsmechanismen om de effectieve toepassing van de wetgeving inzake de bescherming van persoonsgegevens te vergemakkelijken;
b) het verlenen van wederzijdse internationale bijstand bij het waarborgen van de toepassing van wetgeving op het gebied van de bescherming van persoonsgegevens, onder meer door middel van kennisgeving, overdracht van klachten, hulp bij onderzoeken en uitwisseling van informatie, met inachtneming van adequate garanties voor de bescherming van persoonsgegevens en andere rechten en fundamentele vrijheden;
(c) de betrokkenheid van relevante belanghebbenden bij de discussies en activiteiten gericht op het intensiveren van de internationale samenwerking op het gebied van de toepassing van de wetgeving inzake de bescherming van persoonsgegevens; (d) het bevorderen van de onderlinge uitwisseling en documentatie met betrekking tot de wetgeving en praktijken met betrekking tot de bescherming van persoonsgegevens, inclusief met betrekking tot jurisdictieconflicten met derde landen.
HOOFDSTUK VI: Onafhankelijke toezichthoudende autoriteiten
Sectie 1: Onafhankelijke status
Artikel 51: De toezichthoudende autoriteit
(1) Elke lidstaat zorgt ervoor dat een of meer onafhankelijke overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening, om de rechten en fundamentele vrijheden van natuurlijke personen op het gebied van verwerking te beschermen en om het vrije verkeer van persoonlijke gegevens te vergemakkelijken gegevens binnen de Unie (de “toezichthoudende autoriteit”). (2) Elke toezichthoudende autoriteit draagt bij aan de consistente toepassing van deze verordening in de hele Unie. Hiertoe werken de toezichthoudende autoriteiten zowel onderling als met de Commissie samen, overeenkomstig hoofdstuk VII.
(3) Als er in een lidstaat meerdere toezichthoudende autoriteiten zijn gevestigd, wijst het de toezichthoudende autoriteit aan die de respectieve autoriteiten binnen het comité vertegenwoordigt en stelt het een mechanisme in om de naleving door de andere autoriteiten te garanderen van de regels met betrekking tot het mechanisme om de voorziene consistentie te waarborgen. in artikel 63.
(4) Elke lidstaat stelt de Commissie uiterlijk op 25 mei 2018 in kennis van de wettelijke bepalingen die hij op grond van dit hoofdstuk aanneemt, en onverwijld van alle daaropvolgende wijzigingen die hij aan deze bepalingen aanbrengt.
Art. 52: Onafhankelijkheid
(1) Elke toezichthoudende autoriteit profiteert van volledige onafhankelijkheid bij het vervullen van haar taken en het uitoefenen van haar bevoegdheden in overeenstemming met deze verordening.
(2) Het lid of de leden van elke toezichthoudende autoriteit blijven bij het vervullen van hun taken en het uitoefenen van hun bevoegdheden in overeenstemming met deze verordening onafhankelijk van enige directe of indirecte externe invloed en vragen noch aanvaarden instructies van een externe partij.
(3) Het lid of de leden van elke toezichthoudende autoriteit onthouden zich van het ondernemen van acties die onverenigbaar zijn met hun bevoegdheden, en voeren tijdens het mandaat geen onverenigbare activiteiten uit, al dan niet bezoldigd.
(4) Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit profiteert van menselijke, technische en financiële middelen, een hoofdkwartier en de noodzakelijke infrastructuur voor de vervulling van taken en de effectieve uitoefening van haar bevoegdheden, inclusief de bevoegdheden die moeten worden uitgeoefend in het kader van wederzijdse bijstand. , samenwerking en participatie binnen de commissie.
(5) Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit haar eigen personeel selecteert en haar eigen personeel heeft onder de exclusieve leiding van het lid of de leden van de betreffende toezichthoudende autoriteit.
(6) Elke lidstaat zorgt ervoor dat elke toezichthoudende autoriteit onderworpen is aan een financiële controle die haar onafhankelijkheid niet aantast en dat zij afzonderlijke, openbare jaarlijkse begrotingen heeft, die deel kunnen uitmaken van de algemene staats- of nationale begroting.
Art. 53: Algemene voorwaarden van toepassing op de leden van de toezichthoudende autoriteit
(1) De lidstaten zorgen ervoor dat elk lid van hun toezichthoudende autoriteit wordt benoemd via een transparante procedure:
– door het parlement;
- door de overheid;
- door het staatshoofd; of
- door een onafhankelijk orgaan dat bevoegd is om benoemingen te doen krachtens het nationale recht.
(2) Elk lid in kwestie beschikt over de nodige kwalificaties, ervaring en competenties, vooral op het gebied van de bescherming van persoonsgegevens, om zijn taken te kunnen vervullen en zijn bevoegdheden uit te oefenen.
(3) De taken van een lid houden op bij het verstrijken van het mandaat, bij ontslag of ambtshalve pensionering in overeenstemming met het relevante nationale recht.
(4) Een lid kan alleen worden ontslagen in geval van ernstig wangedrag of als hij niet langer voldoet aan de voorwaarden die nodig zijn om zijn taken te vervullen.
Art. 54: Regels betreffende de oprichting van de toezichthoudende autoriteit
(1) Elke lidstaat voorziet door middel van wetgeving in het volgende:
a) de oprichting van elke toezichthoudende autoriteit;
b) de kwalificaties en geschiktheidsvoorwaarden die nodig zijn om tot lid van elke toezichthoudende autoriteit te worden benoemd;
c) de regels en procedures voor de benoeming van het lid of de leden van elke toezichthoudende autoriteit;
d) de ambtstermijn van het lid of de leden van elke toezichthoudende autoriteit van ten minste vier jaar, behalve voor de eerste benoeming na 24 mei 2016, waarvan een deel voor een kortere periode kan plaatsvinden indien dit noodzakelijk is om de positie van de autoriteit te beschermen onafhankelijkheid van het toezicht door middel van een gespreide benoemingsprocedure;
e) of en hoe vaak het mandaat van het lid of de leden van elke toezichthoudende autoriteit voor verlenging in aanmerking komt;
f) de voorwaarden die de verplichtingen van het lid of de leden en het personeel van elke toezichthoudende autoriteit regelen, verboden met betrekking tot de handelingen, beroepen en voordelen die daarmee onverenigbaar zijn tijdens het mandaat en na de beëindiging ervan, evenals de regels die de beëindiging regelen van de arbeidsovereenkomst.
(2) Het lid of de leden en het personeel van elke toezichthoudende autoriteit zijn, in overeenstemming met het recht van de Unie of het nationale recht, verplicht om zowel tijdens het mandaat als na de beëindiging ervan het beroepsgeheim te respecteren met betrekking tot de vertrouwelijke informatie waarvan zij kennis hebben gekregen bij het vervullen van hun taken of het uitoefenen van hun bevoegdheden. Deze geheimhoudingsplicht geldt tijdens hun ambtstermijn in het bijzonder voor de melding door natuurlijke personen van overtredingen van deze regeling.
Deel 2: Kwalificaties, taken en competenties
Artikel 55: Competentie
(1) Elke toezichthoudende autoriteit heeft de bevoegdheid om de taken uit te voeren en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend op het grondgebied van de lidstaat waartoe zij behoort.
(2) Als de verwerking wordt uitgevoerd door overheidsinstanties of particuliere instanties die handelen op basis van artikel 6, lid 1, letter (c) of (e), zal de toezichthoudende autoriteit in de staat
het desbetreffende lid beschikt over de bevoegdheid. In dergelijke gevallen is artikel 56 niet van toepassing.
(vanaf 23 mei 2018, art. 55, paragraaf (2) van hoofdstuk VI, afdeling 2, gewijzigd door punt 15 van de wijziging van 23 mei 2018)
(3) De toezichthoudende autoriteiten zijn niet bevoegd om toezicht te houden op de verwerkingsactiviteiten van de rechtbanken die handelen in de uitoefening van hun rechterlijke functie.
Art. 56: Bevoegdheid van de belangrijkste toezichthoudende autoriteit
(1) Onverminderd artikel 55 is de toezichthoudende autoriteit van het hoofdkantoor of het enige kantoor van de exploitant of de door de exploitant gemachtigde persoon bevoegd om op te treden als de belangrijkste toezichthoudende autoriteit voor de grensoverschrijdende verwerking die wordt uitgevoerd door de respectieve exploitant of de desbetreffende bevoegde persoon in het geval, overeenkomstig de procedure voorzien in artikel 60.
(2) In afwijking van lid (1) is elke toezichthoudende autoriteit bevoegd om een klacht te behandelen die onder haar aandacht is gebracht of een mogelijke schending van deze verordening, als het voorwerp ervan uitsluitend betrekking heeft op een kantoor dat gevestigd is in de staat of lidstaat of heeft alleen aanzienlijke gevolgen voor de beoogde personen in de lidstaat ervan.
(3) In de in lid 2 van dit artikel genoemde gevallen informeert de toezichthoudende autoriteit de belangrijkste toezichthoudende autoriteit onverwijld hierover. Binnen drie weken vanaf het moment van de informatie besluit de belangrijkste toezichthoudende autoriteit of het desbetreffende geval al dan niet wordt behandeld in overeenstemming met de procedure van artikel 60, rekening houdend met de vraag of er al dan niet een zetel is van de exploitant of de persoon geautoriseerd door de exploitant op het grondgebied van het lidstaatlid waarvan de toezichthoudende autoriteit hem op de hoogte heeft gebracht.
(4) Indien de belangrijkste toezichthoudende autoriteit besluit de zaak te behandelen, wordt de procedure van artikel 60 toegepast. De toezichthoudende autoriteit die de belangrijkste toezichthoudende autoriteit op de hoogte heeft gesteld, kan aan laatstgenoemde een ontwerpbesluit voorleggen. De belangrijkste toezichthoudende autoriteit houdt bij het opstellen van het in artikel 60, lid 3, bedoelde ontwerpbesluit zoveel mogelijk rekening met het desbetreffende ontwerp.
(5) Indien de belangrijkste toezichthoudende autoriteit besluit de zaak niet te behandelen, behandelt de toezichthoudende autoriteit die de belangrijkste toezichthoudende autoriteit op de hoogte heeft gesteld de zaak in overeenstemming met de artikelen 61 en 62.
(6) De belangrijkste toezichthoudende autoriteit is de enige gesprekspartner van de exploitant of de door de exploitant gemachtigde persoon met betrekking tot de grensoverschrijdende verwerking die wordt uitgevoerd door de betreffende exploitant of de desbetreffende persoon die door de exploitant is gemachtigd.
Artikel 57: Taken
(1) Onverminderd andere taken die krachtens deze verordening zijn vastgelegd, moet elke toezichthoudende autoriteit op haar grondgebied:
a) toezicht houden op en zorgen voor de toepassing van deze verordening;
b) bevordert acties om het bewustzijn en begrip bij het publiek te vergroten over de risico's, regels, garanties en rechten op het gebied van verwerking. Er wordt speciale aandacht besteed aan activiteiten die specifiek op kinderen zijn gericht;
c) adviseert, in overeenstemming met het nationale recht, aan het nationale parlement, de regering en andere instellingen en organen met betrekking tot wetgevende en administratieve maatregelen die verband houden met de bescherming van de rechten en vrijheden van natuurlijke personen met betrekking tot verwerking;
d) bevordert acties om de exploitanten en de door hen gemachtigde personen bewust te maken van hun verplichtingen uit hoofde van deze verordening;
e) verstrekt op verzoek informatie aan iedere betrokkene in verband met de uitoefening van zijn rechten in overeenstemming met deze verordening en werkt daartoe indien nodig samen met de toezichthoudende autoriteiten in andere lidstaten;
f) klachten die zijn ingediend door een betrokkene, een orgaan, een organisatie of een vereniging overeenkomstig artikel 80 behandelen en in passende mate het voorwerp van de klacht onderzoeken en de klager informeren over de voortgang en het resultaat van het onderzoek, binnen een termijn redelijke termijn, vooral als het nodig is om een grondiger onderzoek uit te voeren of om te coördineren met een andere toezichthoudende autoriteit;
g) werkt samen, onder meer door informatie uit te wisselen, met andere toezichthoudende autoriteiten en biedt wederzijdse bijstand om de consistentie van de toepassing en naleving van deze verordening te waarborgen;
h) onderzoek doet naar de toepassing van deze verordening, onder meer op basis van informatie ontvangen van een andere toezichthoudende autoriteit of van een andere overheidsinstantie;
i) volgt de relevante ontwikkelingen op, voor zover deze een impact hebben op de bescherming van persoonsgegevens, met name de evolutie van informatie- en communicatietechnologieën en handelspraktijken;
j) het aannemen van standaardcontractbepalingen vermeld in artikel 28 paragraaf (8) en artikel 46 paragraaf (2) letter (d);
k) het opstellen en bijwerken van een lijst met betrekking tot de vereisten met betrekking tot de beoordeling van de impact op de gegevensbescherming, in overeenstemming met artikel 35, lid 4;
l) adviseert over de verwerkingen bedoeld in artikel 36 lid 2; m) stimuleert de ontwikkeling van gedragscodes in overeenstemming met artikel 40, lid 1, geeft hierover advies en keurt de gedragscodes goed die voldoende garanties bieden, in overeenstemming met artikel 40, lid 5;
n) moedigt de oprichting aan van certificeringsmechanismen, evenals zegels en merken op het gebied van gegevensbescherming in overeenstemming met artikel 42, lid 1, en keurt de certificeringscriteria goed in overeenstemming met artikel 42, lid 5;
o) indien van toepassing, een periodieke beoordeling uitvoeren van de verleende certificeringen, in overeenstemming met artikel 42 lid (7);
p) de accreditatievereisten van een toezichthoudend orgaan voor de gedragscode uitwerkt en publiceert
overeenkomstig artikel 41 en van een certificatie-instelling overeenkomstig artikel 43;
(op 23 mei 2018 Art. 57, paragraaf (1), letter P. van hoofdstuk VI, sectie 2 gerectificeerd door punt 16. van de Rectificatie van 23-
mei-2018 )
q) coördineert de accreditatieprocedure van een toezichthoudend orgaan voor de gedragscode overeenkomstig artikel 41 en van een certificeringsorgaan overeenkomstig artikel 43; r) machtigt de contractuele clausules en bepalingen bedoeld in artikel 46, lid (3);
s) de verplichte bedrijfsregels goedkeuren in overeenstemming met artikel 47;
t) draagt bij aan de activiteiten van de commissie;
u) het bijhouden van interne gegevens over de overtredingen van deze verordening en de genomen maatregelen, in het bijzonder de afgegeven waarschuwingen en de opgelegde sancties in overeenstemming met artikel 58, lid 2; en v) alle andere taken uitvoert die verband houden met de bescherming van persoonsgegevens.
(2) Elke toezichthoudende autoriteit vergemakkelijkt de indiening van de in lid 1, onder f), bedoelde klachten door maatregelen zoals het beschikbaar stellen van een klachtenformulier dat kan worden ingevuld, ook in elektronisch formaat, zonder andere communicatiemiddelen uit te sluiten. (3) De vervulling van de taken van elke toezichthoudende autoriteit is gratis voor de betrokkene en, in voorkomend geval, voor de functionaris voor gegevensbescherming.
(4) Als de verzoeken duidelijk ongegrond of buitensporig zijn, vooral vanwege hun repetitieve karakter, kan de toezichthoudende autoriteit een redelijke vergoeding in rekening brengen, gebaseerd op administratieve kosten, of weigeren deze in behandeling te nemen. De last om het kennelijk ongegronde of buitensporige karakter van het verzoek aan te tonen ligt bij de toezichthoudende autoriteit.
Artikel 58: Bevoegdheden
(1) Elke toezichthoudende autoriteit beschikt over de volgende onderzoeksbevoegdheden:
a) de exploitant en de door de exploitant gemachtigde persoon en, in voorkomend geval, de vertegenwoordiger van de exploitant of de door de exploitant gemachtigde persoon de opdracht te geven alle informatie te verstrekken waar de toezichthoudende autoriteit om vraagt om haar taken te vervullen;
b) om onderzoeken uit te voeren in de vorm van gegevensbeschermingsaudits;
c) het uitvoeren van een evaluatie van de certificeringen die zijn verleend overeenkomstig artikel 42, lid 7;
d) om de exploitant of de door de exploitant gemachtigde persoon op de hoogte te stellen van de vermeende overtreding van deze regelgeving;
e) van de exploitant en de door de exploitant gemachtigde persoon toegang verkrijgen tot alle persoonsgegevens en tot alle informatie die nodig is voor de uitvoering van zijn taken;
f) om toegang te verkrijgen tot alle gebouwen van de exploitant en de door de exploitant geautoriseerde persoon, met inbegrip van alle apparatuur en middelen voor gegevensverwerking, in overeenstemming met het recht van de Unie of het interne procesrecht.
(2) Elke toezichthoudende autoriteit beschikt over de volgende corrigerende bevoegdheden:
a) waarschuwingen te geven aan een exploitant of een door de exploitant gemachtigde persoon met betrekking tot de mogelijkheid dat de aangeboden verwerkingen in strijd zijn met de bepalingen van deze verordening;
b) het geven van waarschuwingen gericht aan een exploitant of een persoon die in het desbetreffende geval door de exploitant is gemachtigd
waarbij de verwerkingen in strijd waren met de bepalingen van deze verordening;
(op 23 mei 2018 Art. 58, paragraaf (2), letter B. van hoofdstuk VI, afdeling 2 gerectificeerd door punt 17. van de Rectificatie van 23-
mei-2018 )
c) het instrueren van de exploitant of de door de exploitant gemachtigde persoon om te voldoen aan de verzoeken van de betrokkene om zijn rechten uit hoofde van deze verordening uit te oefenen;
d) de exploitant of de door de exploitant gemachtigde persoon opdracht te geven ervoor te zorgen dat de verwerkingen in overeenstemming zijn met de bepalingen van deze verordening, waarbij in voorkomend geval de methode en de termijn daarvoor worden gespecificeerd;
e) de exploitant te verplichten de betrokkene te informeren over een schending van de bescherming van persoonsgegevens;
f) het opleggen van een tijdelijke of definitieve beperking, waaronder een verbod op verwerking;
g) het gelasten van de rectificatie of verwijdering van persoonsgegevens of de beperking van de verwerking, overeenkomstig de artikelen 16, 17 en 18, evenals de kennisgeving van deze handelingen aan de ontvangers aan wie de persoonsgegevens zijn bekendgemaakt, overeenkomstig artikel 17 lid (2) en met artikel 19; h) een certificering in te trekken of de certificatie-instelling te verplichten een certificering afgegeven krachtens de artikelen 42 en 43 in te trekken of de certificatie-instelling te verplichten geen certificering af te geven indien niet (meer) aan de certificeringseisen wordt voldaan;
i) het opleggen van administratieve boetes overeenkomstig artikel 83, naast of in plaats van de in dit lid genoemde maatregelen, afhankelijk van de omstandigheden van elk individueel geval;
j) het gelasten van de opschorting van gegevensstromen naar een ontvanger uit een derde land of naar een internationale organisatie.
(3) Elke toezichthoudende autoriteit beschikt over de volgende machtigings- en adviesbevoegdheden: a) het verstrekken van advies aan de exploitant in overeenstemming met de voorafgaande raadplegingsprocedure bedoeld in artikel 36;
b) het uitbrengen van adviezen, op eigen initiatief of op verzoek, aan het nationale parlement, de regering van de lidstaat of, in overeenstemming met het nationale recht, aan andere instellingen en organen, evenals aan het publiek, over elk aspect dat daarmee verband houdt op de bescherming van persoonsgegevens;
c) om toestemming te geven voor de verwerking bedoeld in artikel 36, lid 5, indien de wetgeving van de lidstaat in een dergelijke voorafgaande toestemming voorziet;
d) het uitbrengen van een advies en het goedkeuren van ontwerpgedragscodes, in overeenstemming met artikel 40, lid 5;
e) het accrediteren van de certificatie-instellingen overeenkomstig artikel 43;
f) het afgeven van certificeringen en het goedkeuren van certificeringscriteria in overeenstemming met artikel 42 lid (5); g) het aannemen van de standaardbepalingen inzake gegevensbescherming, bedoeld in artikel 28, lid 8, en artikel 46, lid 2, onder d);
h) het goedkeuren van de contractuele bepalingen bedoeld in artikel 46 lid (3) letter (a);
i) het machtigen van de bestuursafspraken, bedoeld in artikel 46 lid 3 letter b; En
j) het goedkeuren van verplichte bedrijfsregels in overeenstemming met artikel 47.
(4) De uitoefening van de krachtens dit artikel aan de toezichthoudende autoriteit verleende bevoegdheden is onderworpen aan adequate garanties, waaronder effectieve rechterlijke beroepen en eerlijke processen, waarin is voorzien in het recht van de Unie en in het nationale recht in overeenstemming met het Handvest.
(5) Elke lidstaat zorgt er door middel van wetgeving voor dat zijn toezichthoudende autoriteit de bevoegdheid heeft om gevallen van schending van deze verordening voor de gerechtelijke autoriteiten te brengen en,
al naar gelang het geval, het initiëren of anderszins betrokken raken bij gerechtelijke procedures, om de toepassing van de bepalingen van deze verordening te verzekeren.
(6) Elke lidstaat kan in zijn wet of feit bepalen dat zijn toezichthoudende autoriteit aanvullende bevoegdheden heeft, naast de bevoegdheden genoemd in de paragrafen (1), (2) en (3). De uitoefening van deze bevoegdheden heeft geen invloed op de efficiënte werking van Hoofdstuk VII.
Artikel 59: Activiteitenverslagen
Elke toezichthoudende autoriteit stelt jaarlijks een verslag op over haar activiteiten, dat een lijst kan bevatten van de soorten inbreuken waarvan kennis is gegeven en de soorten maatregelen die zijn genomen overeenkomstig artikel 58, lid 2. De rapporten worden voorgelegd aan het nationale parlement, de regering en andere door de nationale wetgeving aangewezen autoriteiten. Ze worden beschikbaar gesteld aan het publiek, de Commissie en de commissie.
HOOFDSTUK VII: Samenwerking en samenhang
Sectie 1: Samenwerking
Art. 60: Samenwerking tussen de belangrijkste toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten
(1) De belangrijkste toezichthoudende autoriteit werkt, in overeenstemming met dit artikel, samen met de andere betrokken toezichthoudende autoriteiten in een poging consensus te bereiken. De belangrijkste toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten delen elkaar alle relevante informatie mee. (2) De belangrijkste toezichthoudende autoriteit kan te allen tijde andere betrokken toezichthoudende autoriteiten verzoeken om wederzijdse bijstand overeenkomstig artikel 61 en kan gezamenlijke operaties uitvoeren overeenkomstig artikel 62, met name met het oog op het uitvoeren van onderzoeken of het monitoren van de uitvoering van een maatregelen die betrekking hebben op een exploitant of een door de exploitant gemachtigde persoon, gevestigd in een andere lidstaat.
(3) De belangrijkste toezichthoudende autoriteit deelt de relevante informatie over deze kwestie onverwijld mee aan de andere betrokken toezichthoudende autoriteiten. De belangrijkste toezichthoudende autoriteit zendt onverwijld een ontwerpbesluit door aan de andere betrokken toezichthoudende autoriteiten, teneinde hun advies te verkrijgen, en houdt terdege rekening met hun adviezen.
(4) Indien een van de andere betrokken toezichthoudende autoriteiten binnen vier weken na te zijn geraadpleegd overeenkomstig lid (3) van dit artikel een relevant en gemotiveerd bezwaar tegen het ontwerpbesluit kenbaar maakt, zal de toezichthoudende autoriteit, indien zij dat doet, het hoofdorgaan zijn. niet voldoet aan het relevante en met redenen omklede bezwaar of van oordeel is dat het bezwaar niet relevant of gemotiveerd is, stelt zij het mechanisme ter waarborging van de consistentie, bedoeld in artikel 63, in kennis.
(5) Indien zij voornemens is gevolg te geven aan het relevante en met redenen omklede bezwaar, zendt de belangrijkste toezichthoudende autoriteit een herzien ontwerpbesluit naar de andere betrokken toezichthoudende autoriteiten om hun advies te verkrijgen. Op dit herziene ontwerpbesluit is gedurende een periode van twee weken de procedure bedoeld in het vierde lid van toepassing.
(6) Indien geen van de andere betrokken toezichthoudende autoriteiten binnen de in de leden 4 en 5 genoemde termijn bezwaar heeft gemaakt tegen het ontwerpbesluit dat door de belangrijkste toezichthoudende autoriteit is ingediend, wordt ervan uitgegaan dat de belangrijkste toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten gaan akkoord met het desbetreffende ontwerpbesluit, dat voor hen bindend wordt.
(7) De belangrijkste toezichthoudende autoriteit neemt het besluit en een kennisgeving aan het hoofdkantoor of het enige kantoor van de exploitant of de door de exploitant gemachtigde persoon, al naar gelang het geval, en informeert de andere betrokken toezichthoudende autoriteiten en het comité over de besluit in kwestie, inclusief een samenvatting van de elementen en relevante redenen. De toezichthoudende autoriteit waarbij de klacht is ingediend, informeert de klager over het besluit.
(8) In afwijking van lid (7) neemt de toezichthoudende autoriteit waarbij de klacht is ingediend, indien een klacht wordt geweigerd of afgewezen, het besluit, stelt de klager daarvan in kennis en informeert de exploitant hierover.
(9) Indien de belangrijkste toezichthoudende autoriteit en de betrokken toezichthoudende autoriteiten overeenkomen bepaalde delen van een klacht te weigeren of af te wijzen en door te gaan met andere delen van de betreffende klacht, wordt voor elk van deze delen een afzonderlijk besluit genomen. De belangrijkste toezichthoudende autoriteit neemt het besluit voor de betrokken partij bij acties die verband houden met de exploitant, een kennisgeving aan het hoofdkantoor
hoofd- of enige zetel van de exploitant of de door de exploitant gemachtigde persoon op het grondgebied van de betreffende lidstaat en informeert de klager hierover, terwijl de toezichthoudende autoriteit van de klager het besluit neemt voor de betrokkene bij de weigering of afwijzing van van de betreffende klacht een kennisgeving aan de klager en informeert de ondernemer of de door de ondernemer gemachtigde persoon hierover.
(10) Na de kennisgeving van het besluit van de belangrijkste toezichthoudende autoriteit overeenkomstig de leden (7) en (9) neemt de exploitant of de door de exploitant gemachtigde persoon de nodige maatregelen om ervoor te zorgen dat de verwerkingsactiviteiten in overeenstemming zijn met het besluit in al haar vestigingen in de Unie. De exploitant of de door de exploitant gemachtigde persoon geeft kennis van de maatregelen die zijn genomen om te voldoen aan het besluit van de belangrijkste toezichthoudende autoriteit, die de andere betrokken toezichthoudende autoriteiten op de hoogte stelt.
(11) Indien een betrokken toezichthoudende autoriteit in uitzonderlijke omstandigheden redenen heeft om aan te nemen dat er een dringende noodzaak bestaat om op te treden om de belangen van de betrokken personen te beschermen, wordt de noodprocedure van artikel 66 toegepast.
(12) De belangrijkste toezichthoudende autoriteit en de andere betrokken toezichthoudende autoriteiten verstrekken elkaar de op grond van dit artikel gevraagde informatie elektronisch, met behulp van een standaardformulier.
Art. 61: Wederzijdse bijstand
(1) De toezichthoudende autoriteiten voorzien elkaar van relevante informatie en bijstand om deze verordening op een coherente manier ten uitvoer te leggen en om effectieve samenwerkingsmaatregelen tussen hen tot stand te brengen. Wederzijdse bijstand heeft met name betrekking op verzoeken om informatie en toezichtmaatregelen, zoals verzoeken om toestemming en voorafgaand overleg, inspecties en onderzoeken.
(2) Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om te reageren op een verzoek van een andere toezichthoudende autoriteit, zonder onnodige vertraging en uiterlijk binnen één maand vanaf de datum van ontvangst van het verzoek. Deze maatregelen kunnen met name de overdracht van relevante informatie over de uitvoering van een onderzoek omvatten.
(3) Verzoeken om bijstand bevatten alle noodzakelijke informatie, inclusief het doel van het verzoek en de onderliggende redenen. De informatie die het onderwerp is van de uitwisseling, wordt uitsluitend gebruikt voor het doel waarvoor deze is gevraagd.
(4) De aangezochte toezichthoudende autoriteit kan niet weigeren aan het verzoek te voldoen, tenzij:
a) niet bevoegd is met betrekking tot het voorwerp van het verzoek of de maatregelen die hij moet uitvoeren; of
b) het inwilligen van het verzoek zou in strijd zijn met deze verordening of met het recht van de Unie of met het interne recht waaronder de toezichthoudende autoriteit die het verzoek heeft ontvangen valt.
(5) De toezichthoudende autoriteit aan wie het verzoek is gericht, informeert de toezichthoudende autoriteit die het verzoek heeft verzonden over de resultaten of, in voorkomend geval, de geboekte vooruitgang of de maatregelen die zijn genomen om op het verzoek te reageren. De aangezochte toezichthoudende autoriteit motiveert elke weigering om aan het verzoek overeenkomstig lid 4 te voldoen.
(6) In de regel verstrekken de aangezochte toezichthoudende autoriteiten de door andere toezichthoudende autoriteiten gevraagde informatie elektronisch, met behulp van een standaardformulier.
(7) De aangezochte toezichthoudende autoriteiten brengen geen vergoeding in rekening voor de acties die zij ondernemen op basis van een verzoek om wederzijdse bijstand. De toezichthouders kunnen enkele regels overeenkomen met betrekking tot de wederzijdse beloning in het geval van specifieke uitgaven die voortvloeien uit het verlenen van wederzijdse bijstand in uitzonderlijke situaties.
(8) Indien een toezichthoudende autoriteit de in lid 5 van dit artikel bedoelde informatie niet verstrekt binnen een maand na ontvangst van het verzoek van een andere toezichthoudende autoriteit, kan laatstgenoemde een voorlopige maatregel nemen op het grondgebied van zijn eigen lidstaat, overeenkomstig artikel 55 lid (1). In dit geval wordt geacht te zijn voldaan aan de dringende noodzaak om op te treden krachtens artikel 66, lid 1, en is een dringend bindend besluit van de commissie vereist overeenkomstig artikel 66, lid 2.
(9) De commissie kan door middel van een uitvoeringshandeling de vorm en procedures voor de in dit artikel genoemde wederzijdse bijstand specificeren, evenals de methoden voor de elektronische uitwisseling van informatie tussen de toezichthoudende autoriteiten en tussen de toezichthoudende autoriteiten en het comité, in het bijzonder
het in lid 6 van dit artikel genoemde standaardformulier. De respectieve uitvoeringshandelingen worden vastgesteld volgens de in artikel 93, lid 2, bedoelde onderzoeksprocedure.
Art. 62: Gezamenlijke werking van de toezichthoudende autoriteiten
(1) In voorkomend geval voeren de toezichthoudende autoriteiten gezamenlijke operaties uit, waaronder gezamenlijke onderzoeken en gezamenlijke wetshandhavingsmaatregelen, waarbij leden of medewerkers van de toezichthoudende autoriteiten van andere lidstaten betrokken zijn.
(2) Als de exploitant of de door de exploitant gemachtigde persoon kantoren in meerdere lidstaten heeft of als een aanzienlijk aantal betrokkenen uit verschillende lidstaten waarschijnlijk aanzienlijk zal worden getroffen door verwerkingsactiviteiten, moet toezicht van de autoriteiten van elk van de respectieve lidstaten Staten hebben het recht om deel te nemen aan gezamenlijke operaties. De toezichthoudende autoriteit die bevoegd is overeenkomstig artikel 56, lid 1 of lid 4, nodigt de toezichthoudende autoriteiten van elk van die lidstaten uit om deel te nemen aan deze gezamenlijke operaties en reageert onverwijld op het verzoek van een toezichthoudende autoriteit om deel te nemen. .
(3) Een toezichthoudende autoriteit kan, in overeenstemming met het nationale recht en met instemming van de toezichthoudende autoriteit van de lidstaat van herkomst, bevoegdheden, waaronder onderzoeksbevoegdheden, verlenen aan leden of personeelsleden van de toezichthoudende autoriteit van de lidstaat van herkomst die betrokken zijn bij gezamenlijke operaties of, voor zover het recht van de lidstaat van de toezichthoudende autoriteit van de ontvangende lidstaat dit toestaat, de leden of het personeel van de toezichthoudende autoriteit van de lidstaat van herkomst machtigen om zijn onderzoeksbevoegdheden uit te oefenen in overeenstemming met het recht van die lidstaat van de volgende autoriteiten. Dergelijke onderzoeksbevoegdheden kunnen alleen worden uitgeoefend onder coördinatie en in aanwezigheid van leden of personeelsleden van de toezichthoudende autoriteit in de ontvangende lidstaat. De leden of het personeel van de toezichthoudende autoriteit in de lidstaat van herkomst zijn onderworpen aan het nationale recht waaronder de toezichthoudende autoriteit in de ontvangende lidstaat valt.
(4) Indien het personeel van een toezichthoudende autoriteit uit de lidstaat van herkomst overeenkomstig lid 1 zijn activiteiten in een andere lidstaat uitoefent, neemt de ontvangende lidstaat de verantwoordelijkheid op zich voor de handelingen van het desbetreffende personeel, met inbegrip van de aansprakelijkheid voor eventuele schade veroorzaakt door de respectieve personeelsleden tijdens hun activiteiten, in overeenstemming met de wetgeving van de lidstaat op wiens grondgebied zij hun activiteiten uitvoeren.
(5) De lidstaat op wiens grondgebied de schade is ontstaan, herstelt deze schade onder de voorwaarden die gelden voor schade veroorzaakt door zijn eigen personeel. De lidstaat van herkomst van de toezichthoudende autoriteit waarvan het personeel schade heeft toegebracht aan een persoon op het grondgebied van een andere lidstaat, vergoedt aan deze andere lidstaat alle bedragen die hij namens hen aan de rechthebbenden heeft betaald.
(6) Onverminderd de uitoefening van zijn rechten jegens derden en met uitzondering van paragraaf (5), onthoudt elke lidstaat zich, in het geval voorzien in paragraaf (1), van het claimen van een andere lidstaat de vergoeding van schadevergoeding voor de in lid 4 genoemde schade.
(7) Indien een gezamenlijke operatie gepland is en een toezichthoudende autoriteit niet binnen een maand voldoet aan de verplichting bedoeld in de tweede zin van lid 2 van dit artikel, kunnen de andere toezichthoudende autoriteiten een voorlopige maatregel nemen op het grondgebied van de lidstaat van die autoriteit, in overeenstemming met artikel 55. In dit geval wordt de dringende noodzaak om op te treden krachtens artikel 66, lid 1, geacht te zijn vervuld en is een dringende kennisgeving of een dringend bindend besluit van de kant van de lidstaat vereist. van de commissie, overeenkomstig artikel 66 lid (2).
Deel 2: Zorgen voor consistentie
Artikel 63: Het mechanisme om coherentie te verzekeren
Om bij te dragen aan de consistente toepassing van deze verordening in de hele Unie, werken de toezichthoudende autoriteiten met elkaar en, in voorkomend geval, met de Commissie samen via het mechanisme voor het garanderen van consistentie, zoals bepaald in dit deel.
Artikel 64: Het advies van de commissie
(1) Het comité brengt advies uit telkens wanneer een bevoegde toezichthoudende autoriteit voornemens is een van de onderstaande maatregelen te nemen. Hiertoe deelt de bevoegde toezichthoudende autoriteit het ontwerpbesluit mee aan het comité, wanneer:
a) heeft tot doel een lijst vast te stellen van verwerkingsactiviteiten die onderworpen zijn aan de verplichting om een effectbeoordeling op de gegevensbescherming uit te voeren, in overeenstemming met artikel 35, lid 4;
b) overeenkomstig artikel 40 lid (7) wordt verwezen naar de naleving van deze regeling van een ontwerp-gedragscode of van een wijziging of uitbreiding van een gedragscode;
c) heeft tot doel de eisen voor de accreditatie van een instelling goed te keuren overeenkomstig artikel 41
lid (3), van een certificatie-instelling overeenkomstig artikel 43 lid (3) of de criteria
van certificering als bedoeld in artikel 42 lid 5;
(vanaf 23 mei 2018, art. 64, eerste lid, letter C. van het hoofdstuk
VII, lid 2 gerectificeerd door punt 18. van Rectificatie van
23 mei 2018 )
d) heeft tot doel de standaardbepalingen inzake gegevensbescherming vast te stellen waarnaar wordt verwezen in artikel 46, lid 2, letter d), of in artikel 28, lid 8;
e) heeft tot doel de contractuele clausules genoemd in artikel 46, lid (3), letter (a), goed te keuren; of f) verwijst naar de goedkeuring van verplichte bedrijfsregels in de zin van artikel 47.
(2) Elke toezichthoudende autoriteit, de voorzitter van de commissie of de Commissie kan verzoeken dat een kwestie van algemene strekking of die gevolgen heeft in meer dan één lidstaat, door de commissie wordt onderzocht om advies te verkrijgen, vooral als een autoriteit van het bevoegde toezicht voldoet niet aan de verplichtingen inzake wederzijdse bijstand overeenkomstig artikel 61 of betreffende gezamenlijke operaties overeenkomstig artikel 62.
(3) In de gevallen bedoeld in het eerste en tweede lid brengt de commissie advies uit over de aan haar voorgelegde kwestie, op voorwaarde dat er nog geen advies over dezelfde kwestie is uitgebracht. Het desbetreffende advies wordt binnen acht weken aangenomen met een gewone meerderheid van de commissieleden. Deze termijn kan, rekening houdend met de complexiteit van de zaak, met zes weken worden verlengd. Met betrekking tot het in het eerste lid bedoelde ontwerpbesluit dat overeenkomstig het vijfde lid aan de leden van de commissie is toegezonden, wordt een lid dat binnen een door de voorzitter aangegeven redelijke termijn geen bezwaar heeft gemaakt, geacht met het ontwerpbesluit in te stemmen.
(4) De toezichthoudende autoriteiten en de Commissie delen het comité, zonder onnodige vertraging, door middel van een standaardformulier, elektronisch alle relevante informatie mee, met inbegrip van, in voorkomend geval, een samenvatting van de feiten, het ontwerpbesluit en de redenen daarvoor. het noodzakelijk is om dergelijke maatregelen te nemen, evenals de adviezen van andere betrokken toezichthoudende autoriteiten.
(5) De voorzitter van de commissie informeert elektronisch, zonder onnodige vertraging:
a) leden van het comité en de Commissie met betrekking tot alle relevante informatie die aan hen is meegedeeld, met gebruikmaking van een standaardformulier. Het secretariaat van de commissie zorgt waar nodig voor vertalingen van relevante informatie; En
b) de in de leden 1 en 2 genoemde toezichthoudende autoriteit, al naargelang het geval, en de Commissie over het advies en dit publiceren.
(6) De in lid 1 bedoelde bevoegde toezichthoudende autoriteit stelt haar ontwerp niet vast
besluit, bedoeld in het eerste lid, binnen de termijn, bedoeld in het derde lid.
(op 23 mei 2018 Art. 64, paragraaf (6) van Hoofdstuk VII, Afdeling 2 gewijzigd bij
(7) De in lid 1 bedoelde bevoegde toezichthoudende autoriteit houdt ten volle rekening met het advies
punt 19. van de rectificatie van 23 mei
2018)
de commissie en deelt binnen twee weken na ontvangst van het advies elektronisch mee aan de voorzitter van de commissie of hij zijn ontwerpbesluit zal behouden of wijzigen en, indien nodig,
het gewijzigde ontwerpbesluit indienen met behulp van een standaardformulier.
(op 23 mei 2018 Art. 64, paragraaf (7) van Hoofdstuk VII, Afdeling 2 gewijzigd bij
(8) Indien de bevoegde toezichthoudende autoriteit, bedoeld in het eerste lid, binnen de termijn bedoeld in het zevende lid van dit artikel aan de voorzitter van de commissie meedeelt dat zij voornemens is het advies van de commissie niet geheel of gedeeltelijk op te volgen gedeeltelijk en gemotiveerd is het artikel van toepassing
punt 19. van de rectificatie van 23 mei
2018)
65 lid (1).
(vanaf 23 mei 2018, art. 64, paragraaf (8) van hoofdstuk VII, afdeling 2, gewijzigd door punt 19 van de wijziging van 23 mei 2018)
Art. 65: Beslechting van geschillen door de commissie
(1) Om de correcte en coherente toepassing van deze verordening in individuele gevallen te garanderen, neemt de commissie in de volgende gevallen een bindend besluit:
a) wanneer, in een van de gevallen genoemd in artikel 60, lid 4, een betrokken toezichthoudende autoriteit een relevant en gemotiveerd bezwaar heeft geformuleerd tegen een ontwerpbesluit van de autoriteit
het hoofdtoezicht en de belangrijkste toezichthoudende autoriteit hebben niet gereageerd op het bezwaar of hebben een dergelijk bezwaar afgewezen omdat het niet relevant of gemotiveerd was. Het bindend besluit heeft betrekking op alle kwesties die onder het relevante en met redenen omklede bezwaar vallen, in het bijzonder op de vraag of deze regeling dat wel was
geschonden;
(de datum
23-mei-2018 Artikel 65, alinea. (1), letter A. van hoofdstuk VII, afdeling 2 gerectificeerd door punt 20. van de rectificatie van 23 mei 2018)
b) indien er uiteenlopende meningen bestaan over welke van de betrokken toezichthoudende autoriteiten de bevoegdheid voor het hoofdkantoor heeft;
c) indien een bevoegde toezichthoudende autoriteit het advies van het comité niet vraagt in de gevallen bedoeld in artikel 64, lid 1, of geen rekening houdt met het advies van het comité uitgebracht overeenkomstig artikel 64. In dit geval kan elke toezichthoudende autoriteit betrokken autoriteit of de Commissie kan de zaak aan het comité voorleggen.
(2) Het in lid 1 bedoelde besluit wordt binnen een maand na de presentatie van de zaak aangenomen met een tweederde meerderheid van de commissieleden. Deze termijn kan, rekening houdend met de complexiteit van de zaak, met een maand worden verlengd. Het in lid 1 bedoelde besluit is gemotiveerd en gericht tot de belangrijkste toezichthoudende autoriteit en alle betrokken toezichthoudende autoriteiten, en is voor hen bindend.
(3) Als het comité er niet in is geslaagd binnen de in lid 2 genoemde termijnen een besluit te nemen, neemt het zijn besluit binnen twee weken na het verstrijken van de in lid 2 genoemde tweede maand, met een gewone meerderheid. van haar leden. Als de leden van de commissie in gelijke verhoudingen uiteenlopende meningen hebben, wordt het besluit aangenomen bij stemming van de president. (4) De betrokken toezichthoudende autoriteiten nemen geen besluit over de kwestie die overeenkomstig lid (1) aan het comité wordt voorgelegd binnen de termijnen genoemd in paragrafen (2) en (3).
(5) De voorzitter van de commissie stelt de betrokken toezichthoudende autoriteiten onverwijld in kennis van het in lid 1 bedoelde besluit. Het Comité informeert de Commissie hierover. Het besluit wordt onverwijld gepubliceerd op de website van de commissie, na kennisgeving door de toezichthouder van het definitieve besluit, bedoeld in het zesde lid.
(6) De belangrijkste toezichthoudende autoriteit of, indien van toepassing, de toezichthoudende autoriteit waarbij de klacht is ingediend, neemt haar definitieve besluit op basis van het in lid 1 van dit artikel bedoelde besluit, zonder onnodige vertraging en binnen niet meer dan een termijn van maand vanaf de kennisgeving door de commissie van haar besluit. De belangrijkste toezichthoudende autoriteit of, indien van toepassing, de toezichthoudende autoriteit waarbij de klacht is ingediend, informeert de commissie over de datum waarop haar definitieve beslissing wordt medegedeeld aan de exploitant of de door de exploitant gemachtigde persoon, respectievelijk de betrokkene. Het definitieve besluit van de betrokken toezichthoudende autoriteiten wordt vastgesteld in overeenstemming met de voorwaarden bepaald in artikel 60, leden 7, 8 en 9. Het definitieve besluit verwijst naar het besluit bedoeld in het eerste lid van dit artikel en bepaalt dat het in dat lid bedoelde besluit overeenkomstig het vijfde lid op de website van de commissie zal worden gepubliceerd. Het besluit, bedoeld in het eerste lid van dit artikel, wordt aan het definitieve besluit gehecht.
Art. 66: Noodprocedure
(1) In uitzonderlijke omstandigheden kan een betrokken toezichthoudende autoriteit, wanneer zij van oordeel is dat er dringend actie moet worden ondernomen om de rechten en vrijheden van de betrokken personen te beschermen, in afwijking van het mechanisme voor het waarborgen van de samenhang bedoeld in de artikelen 63, 64 en 65 of uit de procedure bedoeld in artikel 60, onmiddellijk voorlopige maatregelen te nemen die bedoeld zijn om op zijn eigen grondgebied rechtsgevolgen teweeg te brengen, met een bepaalde geldigheidsduur van niet meer dan drie maanden. De toezichthoudende autoriteit deelt deze maatregelen en de redenen voor de vaststelling ervan onverwijld mee aan de andere betrokken toezichthoudende autoriteiten, het comité en de Commissie.
(2) Indien een toezichthoudende autoriteit een maatregel heeft genomen op grond van lid 1 en van oordeel is dat het noodzakelijk is om dringend definitieve maatregelen te nemen, kan zij het comité verzoeken om een dringend advies of een dringend bindend besluit, met vermelding van de redenen voor dit verzoek. .
(3) Elke toezichthoudende autoriteit kan het comité verzoeken om een dringend advies of een dringend bindend besluit, al naargelang het geval, indien een bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er een dringende noodzaak bestaat om op te treden ter bescherming van de rechten en vrijheden van de betrokken personen, met vermelding van de redenen voor het verzoek om een dergelijk advies of een dergelijk besluit, met inbegrip van de dringende noodzaak om op te treden.
(4) In afwijking van artikel 64, derde lid, en artikel 3, tweede lid, wordt een spoedeisende mededeling of een dringend bindend besluit als bedoeld in de leden 65 en 2 van dit artikel aangenomen binnen twee weken met een gewone meerderheid van de commissieleden.
Artikel 67: Uitwisseling van informatie
De Commissie kan uitvoeringshandelingen vaststellen met een algemene strekking om de modaliteiten voor de elektronische uitwisseling van informatie tussen de toezichthoudende autoriteiten, alsook tussen de toezichthoudende autoriteiten en het comité, te definiëren, met name het in artikel 64 bedoelde standaardformulier. vastgesteld overeenkomstig de onderzoeksprocedure bedoeld in artikel 93, lid 2.
Sectie 3: Europees Comité voor gegevensbescherming
Artikel 68: Europees Comité voor gegevensbescherming
(1) Het Europees Comité voor gegevensbescherming (het "Comité") is opgericht als orgaan van de Unie en bezit rechtspersoonlijkheid.
(2) De commissie wordt vertegenwoordigd door haar voorzitter.
(3) Het Comité is samengesteld uit het hoofd van een toezichthoudende autoriteit van elke lidstaat en de Europese Autoriteit voor gegevensbescherming of hun respectieve vertegenwoordigers.
(4) Indien in een lidstaat meerdere toezichthoudende autoriteiten verantwoordelijk zijn voor het toezicht op de toepassing van de bepalingen die krachtens deze verordening zijn aangenomen, wordt een gemeenschappelijke vertegenwoordiger benoemd in overeenstemming met het interne recht van de betreffende lidstaat.
(5) De commissie heeft het recht om deel te nemen aan de activiteiten en vergaderingen van de commissie, zonder stemrecht. De commissie wijst een vertegenwoordiger aan. De voorzitter van de commissie deelt de activiteiten van de commissie mee aan de Commissie. (6) In de gevallen bedoeld in artikel 65 heeft de Europese Autoriteit voor gegevensbescherming alleen het recht om te stemmen over de besluiten die betrekking hebben op de beginselen en toepasselijke regels met betrekking tot de instellingen, organen, bureaus en agentschappen van de Unie die inhoudelijk overeenkomen met die van dit reglement.
Art. 69: Onafhankelijkheid
(1) Het comité handelt onafhankelijk bij het vervullen van zijn taken of het uitoefenen van zijn bevoegdheden in overeenstemming met de artikelen 70 en 71.
(2) Onverminderd de verzoeken van de Commissie bedoeld in artikel 70, leden 1 en 2, mag het comité bij de uitvoering van zijn taken of bij de uitoefening van zijn bevoegdheden geen verzoeken indienen of aanvaarden
instructies van een externe partij.
(op 23 mei 2018, art. 69, lid (2) van
hoofdstuk VII, sectie 3 gerectificeerd door punt 21. van de rectificatie van 23 mei
2018)
Artikel 70: Taken van de commissie
(1) Het comité zorgt voor de consistente toepassing van deze verordening. Daartoe heeft het comité, op eigen initiatief of, al naar gelang het geval, op verzoek van de Commissie, met name de volgende taken:
a) het monitoren en verzekeren van de juiste toepassing van deze verordening, in de gevallen voorzien in de artikelen 64 en 65, onverminderd de taken van de nationale toezichthoudende autoriteiten;
b) het verstrekken van advies aan de Commissie over alle aspecten die verband houden met de bescherming van persoonsgegevens binnen de Unie, met inbegrip van eventuele voorstellen tot wijziging van deze verordening;
c) het verstrekken van advies aan de Commissie over het formaat en de procedures voor de uitwisseling van informatie tussen exploitanten, door exploitanten gemachtigde personen en toezichthoudende autoriteiten voor verplichte bedrijfsregels;
d) het uitbrengen van richtlijnen, aanbevelingen en beste praktijken met betrekking tot de procedures voor het verwijderen van links naar persoonsgegevens, hun kopieën of reproducties die beschikbaar zijn voor publiek toegankelijke communicatiediensten, zoals vermeld in artikel 17, lid (2);
e) het onderzoeken, op eigen initiatief, op verzoek van een van zijn leden of op verzoek van de Commissie, van alle kwesties die verband houden met de toepassing van deze verordening, en het uitbrengen van richtsnoeren, aanbevelingen en beste praktijken om de consistente toepassing van deze verordening te bevorderen deze regeling;
f) het uitvaardigen van richtlijnen, aanbevelingen en beste praktijken in overeenstemming met dit lid, letter (e), om de criteria en voorwaarden voor besluiten op basis van het aanmaken van profielen als bedoeld in artikel 22, lid (2), in detail te beschrijven;
g) het uitvaardigen van richtlijnen, aanbevelingen en beste praktijken in overeenstemming met letter (e) van dit lid voor het vaststellen van inbreuken op de beveiliging van persoonsgegevens en het vaststellen van ongerechtvaardigde vertragingen als bedoeld in artikel 33, leden 1 en 2, evenals wat betreft bijzondere omstandigheden waarin een exploitant of een door de exploitant gemachtigde persoon verplicht is de inbreuk op de beveiliging van persoonsgegevens te melden;
h) het uitvaardigen van richtlijnen, aanbevelingen en goede praktijken in overeenstemming met letter (e) van dit lid met betrekking tot de omstandigheden waarin een inbreuk op de beveiliging van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van natuurlijke personen, genoemd in artikel 34 lid (1);
i) het uitvaardigen van richtlijnen, aanbevelingen en beste praktijken in overeenstemming met letter (e) van deze paragraaf om de criteria en eisen die van toepassing zijn op de overdracht van persoonsgegevens te specificeren op basis van de verplichte bedrijfsregels die door exploitanten moeten worden gerespecteerd en die welke moeten worden nageleefd worden gerespecteerd door personen die daartoe door de exploitanten zijn gemachtigd, evenals met betrekking tot de aanvullende eisen die nodig zijn om de bescherming van de persoonsgegevens van de betrokkenen bedoeld in artikel 47 te waarborgen;
j) het uitvaardigen van richtlijnen, aanbevelingen en beste praktijken in overeenstemming met letter (e) van dit lid, om de criteria en vereisten voor de overdracht van persoonsgegevens als bedoeld in artikel 49, lid (1), in detail te beschrijven;
k) het ontwikkelen van richtlijnen voor de toezichthoudende autoriteiten met betrekking tot de toepassing van de maatregelen vermeld in artikel 58, paragrafen (1), (2) en (3), en het opleggen van administratieve boetes in overeenstemming met artikel 83;
l 22. van Correctie van
23 mei 2018 )
m) het uitvaardigen van richtlijnen, aanbevelingen en goede praktijken in overeenstemming met letter (e) van dit lid, om gemeenschappelijke meldingsprocedures door natuurlijke personen van schendingen van deze verordening in te stellen, in overeenstemming met artikel 54, lid (2);
n) het aanmoedigen van de ontwikkeling van gedragscodes en het opzetten van certificeringsmechanismen, evenals zegels en merken op het gebied van gegevensbescherming, in overeenstemming met de artikelen 40 en 42;
l) het beoordelen van de praktische toepassing van richtlijnen, aanbevelingen en goede praktijken; (op 23 mei 2018 art. 70, lid (1), letter L. van hoofdstuk VII, afdeling 3 gewijzigd bij punt
o) het goedkeuren van de certificeringscriteria overeenkomstig artikel 42, lid 5, en het bijhouden van een openbaar register daarvan
certificeringsmechanismen en gegevensbeschermingszegels en -merken, overeenkomstig artikel 42, lid 8, en gecertificeerde exploitanten of door exploitanten geautoriseerde personen
certificaten, gevestigd (gevestigd) in derde landen, overeenkomstig artikel 42 lid 7;
(op 23 mei 2018 art. 70, eerste lid, letter O. van hoofdstuk VII, afdeling 1 gerectificeerd door p
unctul 23. van Rectificatie van
23 mei 2018 )
p) het goedkeuren van de vereisten genoemd in artikel 43 lid (3), teneinde de instellingen van te accrediteren
certificering als bedoeld in artikel 43;
(vanaf 23 mei 2018, art. 70, lid 1, lit
ra P. uit hoofdstuk VII, paragraaf 3 gerectificeerd door punt 24. uit rectificatie uit
23 mei 2018 )
q) het uitbrengen van een advies aan de Commissie met betrekking tot de certificeringseisen bedoeld in artikel 43, lid 8; r) het uitbrengen van een advies aan de Commissie over de pictogrammen bedoeld in artikel 12, lid 7;
s) het bij de Commissie indienen van een advies ter beoordeling van de adequaatheid van het beschermingsniveau in een derde land of een internationale organisatie, inclusief om te bepalen of een derde land, een gebied of een of meer specifieke sectoren van dat derde land, of een internationale organisatie waarborgt niet langer een passend beschermingsniveau. Voor dit doel stelt de Commissie alles ter beschikking van de commissie
de noodzakelijke documentatie, met inbegrip van de correspondentie die wordt gevoerd met de overheidsinstanties van het derde land, met betrekking tot dat derde land, dat gebied of die sector, of met de internationale organisatie;
t) het uitbrengen van adviezen over de ontwerpbesluiten van de toezichthoudende autoriteiten in overeenstemming met het mechanisme ter waarborging van de consistentie bedoeld in artikel 64, lid (1), met betrekking tot aangelegenheden die worden gepresenteerd in overeenstemming met artikel 64, lid (2), en het uitvaardigen van bindende besluiten overeenkomstig artikel 65, inclusief in de gevallen genoemd in artikel 66;
u) het bevorderen van samenwerking en efficiënte bilaterale en multilaterale uitwisseling van informatie en beste praktijken tussen toezichthoudende autoriteiten;
v) het bevorderen van gezamenlijke opleidingsprogramma's en het faciliteren van personeelsuitwisselingen tussen toezichthoudende autoriteiten, en, in voorkomend geval, met toezichthoudende autoriteiten van derde landen of internationale organisaties;
w) het bevorderen van de uitwisseling van kennis en documenten met betrekking tot wetgeving en praktijken op het gebied van gegevensbescherming met toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd;
x) het uitbrengen van adviezen over de gedragscodes die op het niveau van de Unie zijn ontwikkeld overeenkomstig artikel 40, lid 9; En
y) het voor het publiek toegankelijk houden van een elektronisch register met de besluiten die zijn genomen door de toezichthoudende autoriteiten en de rechtbanken met betrekking tot de zaken die worden behandeld binnen het mechanisme ter waarborging van de samenhang.
(2) Als de Commissie het comité raadpleegt, kan zij een termijn vaststellen, rekening houdend met het urgente karakter van de zaak.
(3) Het comité zendt zijn adviezen, richtsnoeren, aanbevelingen en goede praktijken door aan de Commissie en het comité bedoeld in artikel 93 en maakt deze openbaar.
(4) Indien nodig raadpleegt de commissie de belanghebbenden en biedt hen de mogelijkheid om binnen een redelijke termijn opmerkingen te maken. Onverminderd het bepaalde in artikel 76 maakt de commissie de resultaten van de consultatieprocedure bekend.
Artikel 71: Rapporten
(1) Het Comité stelt een jaarverslag op over de bescherming van natuurlijke personen met betrekking tot verwerking in de Unie en, indien relevant, in derde landen en internationale organisaties. Het rapport wordt beschikbaar gesteld aan het publiek en verzonden naar het Europees Parlement, de Raad en de Commissie.
(2) Het jaarverslag omvat een overzicht van de praktische toepassing van de richtlijnen, aanbevelingen en goede praktijken bedoeld in artikel 70, lid 1, letter (l), evenals de verplichte besluiten bedoeld in artikel 65.
Artikel 72: Procedure
(1) Het Comité neemt besluiten bij gewone meerderheid van zijn leden, tenzij anders bepaald in deze verordening.
(2) De commissie stelt haar eigen reglement van orde vast met een tweederde meerderheid van haar leden en organiseert haar eigen werkingsmechanismen.
Artikel 73: De voorzitter
(1) De commissie kiest uit haar leden met gewone meerderheid een voorzitter en twee vice-voorzitters. (2) Het mandaat van de president en de vice-presidenten bedraagt vijf jaar en kan slechts één keer worden verlengd.
Artikel 74: Taken van de voorzitter
(1) De president heeft de volgende taken:
a) het bijeenroepen van commissievergaderingen en het vaststellen van de agenda;
b) het in kennis stellen van de besluiten die door het comité zijn genomen, in overeenstemming met artikel 65, aan de belangrijkste toezichthoudende autoriteiten en de betrokken toezichthoudende autoriteiten;
c) het verzekeren van de tijdige vervulling van de taken van de commissie, vooral met betrekking tot het mechanisme voor het verzekeren van de samenhang bedoeld in artikel 63.
(2) Het Comité legt in zijn reglement en procedure de taakverdeling tussen de president en de vice-presidenten vast.
Artikel 75: Het secretariaat
(1) De commissie beschikt over een secretariaat, dat wordt verzorgd door de Europese Autoriteit voor gegevensbescherming.
(2) Het secretariaat voert zijn taken uitsluitend uit op basis van de instructies van de voorzitter van de commissie.
(3) Het personeel van de Europese Gegevensbeschermingsautoriteit dat betrokken is bij de uitvoering van de taken die krachtens deze verordening aan de commissie zijn toegewezen, is het onderwerp van afzonderlijke rapportagelijnen met betrekking tot het personeel dat betrokken is bij de uitvoering van de taken die zijn toegewezen aan de Europese Gegevensbeschermingsautoriteit. Autoriteit. (4) Indien nodig stellen en publiceren de commissie en de Europese Gegevensbeschermingsautoriteit een memorandum van overeenstemming voor de implementatie van dit artikel, waarin de voorwaarden voor samenwerking worden vastgelegd en die van toepassing zijn op het personeel van de Europese Gegevensbeschermingsautoriteit dat betrokken is bij het vervullen van de taken die krachtens deze verordening aan de commissie zijn toegewezen. (5) Het secretariaat biedt analytische, administratieve en logistieke ondersteuning aan de commissie.
(6) Het secretariaat is in het bijzonder verantwoordelijk voor het volgende:
a) het huidige beheer van de activiteiten van het comité;
b) communicatie tussen de leden van het comité, zijn voorzitter en de Commissie;
c) communicatie met andere instellingen en het publiek;
d) het gebruik van elektronische middelen voor interne en externe communicatie;
e) vertaling van relevante informatie;
f) het voorbereiden en monitoren van de acties naar aanleiding van de commissievergaderingen;
g) het voorbereiden, opstellen en publiceren van adviezen, besluiten over de beslechting van geschillen tussen toezichthoudende autoriteiten en andere door de commissie aangenomen teksten.
Artikel 76: Vertrouwelijkheid
(1) Besprekingen binnen de commissie zijn vertrouwelijk als de commissie dit volgens het reglement of de procedure noodzakelijk acht.
(2) De toegang tot de documenten die worden voorgelegd aan commissieleden, deskundigen en vertegenwoordigers van derden wordt geregeld door Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (1).
(1) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 betreffende de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43).
HOOFDSTUK VIII: Rechtsmiddelen, aansprakelijkheid en sancties
Artikel 77: Het recht om een klacht in te dienen bij een toezichthoudende autoriteit
(1) Onverminderd andere administratieve of gerechtelijke rechtsmiddelen heeft elke betrokkene het recht om een klacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij zijn gewone verblijfplaats heeft en waar zijn vestigingsplaats is gevestigd. van het werk of waar de vermeende overtreding heeft plaatsgevonden, indien zij van oordeel is dat de verwerking van de haar betreffende persoonsgegevens in strijd is met deze verordening.
(2) De toezichthoudende autoriteit waarbij de klacht is ingediend, informeert de klager over de voortgang en het resultaat van de klacht, inclusief de mogelijkheid om gerechtelijk beroep in te stellen overeenkomstig artikel 78.
Art. 78: Het recht op een effectief rechtsmiddel tegen een toezichthoudende autoriteit
(1) Onverminderd andere administratieve of buitengerechtelijke rechtsmiddelen heeft iedere natuurlijke of rechtspersoon het recht om een effectief rechtsmiddel in te stellen tegen een juridisch bindend besluit van een toezichthoudende autoriteit dat hem aangaat.
(2) Onverminderd andere administratieve of buitengerechtelijke rechtsmiddelen heeft elke betrokkene het recht een effectief rechtsmiddel in te stellen indien de toezichthoudende autoriteit die bevoegd is op grond van de artikelen 55 en 56 een klacht niet in behandeling neemt of de bevoegde autoriteit niet op de hoogte stelt betrokkene binnen drie maanden over het verloop of de oplossing van de op grond van artikel 77 ingediende klacht.
(3) Vorderingen tegen een toezichthoudende autoriteit worden voorgelegd aan de rechtbanken van de lidstaat waar de toezichthoudende autoriteit is gevestigd.
(4) Als de vorderingen worden ingesteld tegen een besluit van een toezichthoudende autoriteit dat is voorafgegaan door een advies of een besluit van het comité in het kader van het mechanisme voor het waarborgen van de samenhang, zendt de toezichthoudende autoriteit het betreffende advies of besluit door aan de rechtbank.
Art. 79: Het recht op effectief gerechtelijk beroep tegen een exploitant of een door de exploitant gemachtigde persoon
(1) Onverminderd eventuele beschikbare administratieve of buitengerechtelijke rechtsmiddelen, met inbegrip van het recht om overeenkomstig artikel 77 een klacht in te dienen bij een toezichthoudende autoriteit, heeft elke betrokkene het recht om een effectief rechtsmiddel in te stellen als hij van mening is dat de rechten hij op grond van deze verordening profiteert, zijn geschonden als gevolg van de verwerking van zijn persoonsgegevens zonder dat deze verordening is nageleefd.
(2) Vorderingen tegen een exploitant of een door de exploitant gemachtigde persoon worden voorgelegd aan de rechtbanken van de lidstaat waar de exploitant of de door de exploitant gemachtigde persoon zijn hoofdkantoor heeft. Als alternatief kan een dergelijke vordering worden ingesteld bij de rechtbanken van de lidstaat waar de betrokkene zijn of haar gewone verblijfplaats heeft, tenzij de exploitant of de door de exploitant gemachtigde persoon een overheidsinstantie van een lidstaat is die handelt in de uitoefening van zijn of haar bevoegdheden. publieke bevoegdheden.
Artikel 80: Vertegenwoordiging van de betrokken personen
(1) De betrokkene heeft het recht om een non-profitorganisatie, -organisatie of -vereniging, die naar behoren is opgericht in overeenstemming met het nationale recht, waarvan de statutaire doelstellingen van openbaar belang zijn, een mandaat te geven, die actief is op het gebied van de bescherming van de rechten en vrijheden van de betrokkenen met betrekking tot de bescherming van hun persoonsgegevens, om namens hen de klacht in te dienen, om namens hen de rechten uit te oefenen vermeld in de artikelen 77, 78 en 79, evenals om het recht uit te oefenen op het ontvangen van een schadevergoeding vermeld in het artikel 82 op naam van de betrokkene, indien het nationale recht daarin voorziet.
(2) De lidstaten kunnen bepalen dat elk orgaan, organisatie of vereniging bedoeld in lid 1 van dit artikel, onafhankelijk van het mandaat van een betrokken persoon, het recht heeft om in de betreffende lidstaat een klacht in te dienen bij de toezichthoudende autoriteit. autoriteit die bevoegd is op grond van artikel 77 en om de rechten bedoeld in de artikelen 78 en 79 uit te oefenen, indien zij van mening is dat de rechten van een betrokkene op grond van deze regeling zijn geschonden als gevolg van de verwerking.
Artikel 81: Schorsing van de procedure
(1) Als een bevoegde rechtbank van een lidstaat informatie heeft dat bij een rechtbank uit een andere lidstaat een procedure met hetzelfde doel aanhangig is met betrekking tot de verwerkingsactiviteiten van dezelfde exploitant of van dezelfde door de exploitant geautoriseerde persoon, neemt de betreffende rechtbank contact op de rechtbank in de andere lidstaat om het bestaan van dergelijke acties te bevestigen.
(2) Wanneer een rechtbank uit een andere lidstaat een procedure met hetzelfde doel heeft met betrekking tot de verwerkingsactiviteiten van dezelfde exploitant of van dezelfde persoon die door de exploitant is gemachtigd, kan elke bevoegde rechtbank, anders dan de rechtbank die aanvankelijk in kennis is gesteld, de procedure opschorten in afwachting van haar.
(3) Indien een dergelijke vordering wordt behandeld bij de eerste rechtbank, kan elke later verwezen rechtbank zich ook, op verzoek van een van de partijen, van zijn onbevoegdheid afwijzen, op voorwaarde dat de genoemde vordering onder de jurisdictie van de eerst verwezen rechtbank valt en dat het daarop toepasselijke recht staat de samenhang van acties toe.
Art. 82: Recht op schadevergoeding en aansprakelijkheid
(1) Iedere persoon die materiële of morele schade heeft geleden als gevolg van een overtreding van deze verordening heeft het recht om van de exploitant of van de door de exploitant gemachtigde persoon schadevergoeding te verkrijgen voor de geleden schade.
(2) Elke exploitant die betrokken is bij de verwerkingsactiviteiten is verantwoordelijk voor de schade veroorzaakt door zijn verwerkingsactiviteiten die in strijd zijn met deze verordening. De door de exploitant gemachtigde persoon is alleen verantwoordelijk voor de schade veroorzaakt door de verwerking als hij de verplichtingen van deze verordening die specifiek toekomen aan de door de exploitant gemachtigde personen niet heeft nageleefd of heeft gehandeld buiten of in strijd met de wettelijke instructies van de exploitant. exploitant.
(3) De exploitant of de door de exploitant gemachtigde persoon wordt op grond van lid (2) ontheven van aansprakelijkheid als hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor de gebeurtenis die de schade heeft veroorzaakt.
(4) Indien meerdere exploitanten of meerdere door de exploitant geautoriseerde personen, of een exploitant en een door de exploitant geautoriseerde persoon betrokken (betrokken) zijn bij dezelfde verwerking en overeenkomstig de leden (2) en (3) antwoorden op eventuele schade veroorzaakt door de verwerking, is elke exploitant of door de exploitant gemachtigde persoon verantwoordelijk (verantwoordelijk) voor de volledige schade om de effectieve schadevergoeding van de betrokkene te garanderen.
(5) In het geval dat een exploitant of een door de exploitant gemachtigde persoon, in overeenstemming met paragraaf (4), de volledige vergoeding voor de veroorzaakte schade heeft betaald, heeft de betreffende exploitant of de desbetreffende door de exploitant gemachtigde persoon het recht van de andere exploitanten of van de andere door de exploitant gemachtigde personen die bij dezelfde verwerking betrokken zijn, te verzoeken om dat deel van de schadevergoeding terug te vorderen dat overeenkomt met hun deel van de verantwoordelijkheid voor de schade, in overeenstemming met de voorwaarden vastgelegd in lid (2).
(6) Vorderingen voor de uitoefening van het recht om de betaalde schadevergoedingen terug te vorderen, worden voorgelegd aan de bevoegde rechtbanken op basis van het recht van de lidstaat bedoeld in artikel 79, lid (2).
Artikel 83: Algemene voorwaarden voor het opleggen van bestuurlijke boetes
(1) Elke toezichthoudende autoriteit zorgt ervoor dat het opleggen van administratieve boetes in overeenstemming met dit artikel voor de overtredingen van deze verordening bedoeld in de paragrafen (4), (5) en (6) in elk geval effectief, evenredig en afschrikkend is .
(2) Afhankelijk van de omstandigheden van elk individueel geval worden administratieve boetes opgelegd naast of in plaats van de maatregelen genoemd in artikel 58 lid (2), letters (a)-(h) en (j). Bij de beslissing over het opleggen van een bestuurlijke boete en de beslissing over de hoogte van de bestuurlijke boete per individueel geval wordt de nodige aandacht besteed aan de volgende aspecten:
a) de aard, ernst en duur van de overtreding, rekening houdend met de aard, omvang of het doel van de verwerking in kwestie, evenals het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) als de overtreding opzettelijk of door nalatigheid is gepleegd;
c) eventuele acties ondernomen door de exploitant of de door de exploitant gemachtigde persoon om de door de betrokken persoon geleden schade te beperken;
d) de mate van verantwoordelijkheid van de exploitant of de door de exploitant gemachtigde persoon, rekening houdend met de technische en organisatorische maatregelen die hij heeft getroffen overeenkomstig de artikelen 25 en 32; e) eventuele eerdere relevante overtredingen begaan door de exploitant of de door de exploitant gemachtigde persoon;
f) de mate van samenwerking met de toezichthoudende autoriteit om de overtreding te verhelpen en de mogelijke negatieve gevolgen van de overtreding te verzachten;
g) de categorieën persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de overtreding onder de aandacht van de toezichthoudende autoriteit is gebracht, met name of en in hoeverre de exploitant of de door de exploitant gemachtigde persoon de overtreding heeft gemeld;
i) indien de maatregelen, bedoeld in artikel 58 lid 2, eerder zijn bevolen tegen de exploitant of de door de exploitant in de zaak gemachtigde persoon met betrekking tot hetzelfde voorwerp, de naleving van die maatregelen;
j) het naleven van goedgekeurde gedragscodes, in overeenstemming met artikel 40, of van goedgekeurde certificeringsmechanismen, in overeenstemming met artikel 42; En
k) elke andere verzwarende of verzachtende omstandigheid die van toepassing is op de omstandigheden van de zaak, zoals de verkregen financiële voordelen of vermeden verliezen, direct of indirect als gevolg van de overtreding.
(3) Indien een exploitant of een door de exploitant gemachtigde persoon opzettelijk of door nalatigheid voor dezelfde verwerking of voor verwante verwerkingen meerdere bepalingen van deze verordening overtreedt, kan het totale bedrag van de administratieve boete niet hoger zijn dan het bedrag dat is voorzien voor de meest ernstige overtreding.
(4) Voor overtredingen van de volgende bepalingen, in overeenstemming met paragraaf (2), kunnen administratieve boetes tot 10 euro of, in het geval van een onderneming, tot 000% van het bedrag van de
totale jaarlijkse wereldwijde omzet die overeenkomt met het voorgaande boekjaar, rekening houdend met de hoogste waarde:
a) de verplichtingen van de exploitant en de door de exploitant gemachtigde persoon overeenkomstig de artikelen 8, 11, 25-39, 42 en 43;
b) de verplichtingen van de certificatie-instelling overeenkomstig de artikelen 42 en 43;
c) de verplichtingen van het toezichthoudende orgaan overeenkomstig artikel 41, lid 4.
(5) Voor overtredingen van de volgende bepalingen, in overeenstemming met paragraaf (2), administratieve boetes tot 20 euro of, in het geval van een onderneming, tot 000% van de totale jaarlijkse wereldwijde omzet die overeenkomt met het voorgaande boekjaar worden toegepast, rekening houdend met de hoogste waarde:
a) de basisbeginselen voor de verwerking, inclusief de voorwaarden met betrekking tot toestemming, in overeenstemming met de artikelen 5, 6, 7 en 9;
b) de rechten van de betrokken personen overeenkomstig de artikelen 12-22;
c) overdracht van persoonsgegevens aan een ontvanger uit een derde land of een internationale organisatie, in overeenstemming met de artikelen 44-49;
d) eventuele verplichtingen uit hoofde van de nationale wetgeving die is aangenomen op grond van hoofdstuk IX;
e) het niet naleven van een bevel of een tijdelijke of definitieve beperking van de verwerking, of opschorting van gegevensstromen, uitgevaardigd door de toezichthoudende autoriteit overeenkomstig artikel 58, lid 2, of het niet verlenen van toegang, in strijd met artikel 58, lid ( 1).
(6) Administratieve boetes van maximaal 58 euro worden opgelegd in overeenstemming met lid (2) van dit artikel voor overtreding van een bevel uitgevaardigd door de toezichthoudende autoriteit in overeenstemming met artikel 2, lid (20), of, in het geval van een onderneming, tot 000% van de totale jaarlijkse wereldwijde omzet die overeenkomt met het voorgaande boekjaar, rekening houdend met de hoogste waarde. (000) Onverminderd de corrigerende bevoegdheden van de toezichthoudende autoriteiten bedoeld in artikel 4, lid (7), kan elke lidstaat regels vaststellen om vast te stellen of en in welke mate administratieve boetes kunnen worden opgelegd aan overheidsinstanties en openbare lichamen gevestigd in de desbetreffende lidstaat.
(8) De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden uit hoofde van dit artikel vindt plaats op voorwaarde van het bestaan van adequate procedurele waarborgen in overeenstemming met het recht van de Unie en het nationale recht, met inbegrip van effectieve rechterlijke beroepen en het recht op een eerlijk proces.
(9) Als het rechtssysteem van de lidstaat niet voorziet in administratieve boetes, kan dit artikel worden toegepast zodat de boete wordt geïnitieerd door de bevoegde toezichthoudende autoriteit en wordt opgelegd door de bevoegde nationale rechtbanken, waardoor tegelijkertijd de feit dat deze beroepen effectief zijn en een effect hebben dat gelijkwaardig is aan dat van de administratieve boetes opgelegd door de toezichthoudende autoriteiten. In ieder geval moeten de opgelegde boetes doeltreffend, evenredig en afschrikkend zijn. De respectieve lidstaten stellen de Commissie uiterlijk op 25 mei 2018 in kennis van de bepalingen van nationaal recht die zij op grond van dit lid aannemen, evenals, onverwijld, van elke wijziging van wetgevingshandeling of elke daaropvolgende wijziging daarvan.
Artikel 84: Sancties
(op 29 december 2017 had artikel 84 van hoofdstuk VIII betrekking op verordening 2226/30 november 2017)
(1) De lidstaten stellen de regels vast met betrekking tot andere sancties die van toepassing zijn in geval van overtreding van deze verordening, met name voor overtredingen waarop geen administratieve boetes uit hoofde van artikel 83 van toepassing zijn, en nemen alle nodige maatregelen om te garanderen dat deze worden uitgevoerd. De respectieve sancties zijn effectief, evenredig en afschrikkend.
(2) Elke lidstaat informeert de Commissie tot en met 1 mei 25 over de bepalingen van het nationale recht die hij op grond van lid 2018 aanneemt, evenals, onverwijld, over eventuele latere wijzigingen daarvan.
HOOFDSTUK IX: Bepalingen met betrekking tot specifieke verwerkingssituaties
Artikel 85: Verwerking en vrijheid van meningsuiting en informatie
(1) Via het interne recht zorgen de lidstaten voor een evenwicht tussen het recht op de bescherming van persoonsgegevens krachtens deze verordening en het recht op vrijheid van meningsuiting en
van informatie, inclusief verwerking voor journalistieke doeleinden of met het oog op academische, artistieke of literaire expressie.
(2) Voor de verwerking die wordt uitgevoerd voor journalistieke doeleinden of met het oog op academische, artistieke of literaire expressie voorzien de lidstaten in vrijstellingen of afwijkingen van de bepalingen van hoofdstuk II (beginselen), van hoofdstuk III (de rechten van de betrokkene ), van hoofdstuk IV (de exploitant en de door de exploitant gemachtigde persoon), van hoofdstuk V (doorgifte van persoonsgegevens aan derde landen of internationale organisaties), van hoofdstuk VI (onafhankelijke toezichthoudende autoriteiten), van hoofdstuk VII (samenwerking en samenhang) en van hoofdstuk IX (specifieke situaties van gegevensverwerking) indien deze noodzakelijk zijn om een evenwicht te garanderen tussen het recht op de bescherming van persoonsgegevens en de vrijheid van meningsuiting en informatie.
(3) Elke lidstaat informeert de Commissie over de bepalingen van het nationale recht die hij heeft aangenomen op grond van lid (2), evenals, onverwijld, over elke wetgevingshandeling die deze wijzigt of enige daaropvolgende wijziging daarvan.
Artikel 86: Verwerking en openbare toegang tot officiële documenten
Persoonsgegevens uit officiële documenten die in het bezit zijn van een overheidsinstantie of een publiek of privaat orgaan voor de uitvoering van een taak die het algemeen belang dient, kunnen door die autoriteit of dat orgaan openbaar worden gemaakt in overeenstemming met het recht van de Unie of met het interne recht op grond waarvan de autoriteit of dat orgaan de instantie, om een evenwicht tot stand te brengen tussen de toegang van het publiek tot officiële documenten en het recht op de bescherming van persoonsgegevens uit hoofde van deze verordening.
Art. 87: Verwerking van een nationaal identificatienummer
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of een ander identificatiemiddel met algemene toepasbaarheid nader specificeren. In dit geval wordt het nationale identificatienummer of een ander identificatienummer met algemene toepasbaarheid alleen gebruikt op basis van passende garanties voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.
rt. 88: Verwerking in het kader van dienstbetrekking
(1) Bij wet of via collectieve overeenkomsten kunnen de lidstaten gedetailleerdere regels vaststellen om de bescherming van de rechten en vrijheden te waarborgen met betrekking tot de verwerking van persoonsgegevens van werknemers in de context van tewerkstelling, vooral met het oog op aanwerving, van de vervulling van de clausules van de arbeidsovereenkomst, met inbegrip van de nakoming van de verplichtingen vastgelegd door de wet of door collectieve overeenkomsten, van het beheer, de planning en de organisatie van het werk, van gelijkheid en diversiteit op de werkplek, van het garanderen van de gezondheid en veiligheid op de werkplek, van het beschermen eigendom van de werkgever of van de cliënt, evenals met het oog op het uitoefenen en profiteren, individueel of collectief, van de rechten en voordelen die verband houden met het dienstverband, evenals voor de beëindiging van arbeidsrelaties.
(2) Deze regels omvatten passende en specifieke maatregelen om de menselijke waardigheid, legitieme belangen en fundamentele rechten van de betrokken personen te garanderen, vooral met betrekking tot de transparantie van de verwerking, de overdracht van persoonsgegevens binnen een groep bedrijven of een groep van ondernemingen die betrokken zijn bij een gemeenschappelijke economische activiteit en monitoringsystemen op de werkplek.
(3) Elke lidstaat informeert de Commissie tot en met 1 mei 25 over de bepalingen van het nationale recht die hij op grond van lid 2018 aanneemt, evenals, onverwijld, over eventuele latere wijzigingen daarvan.
Art. 89: Garanties en ontheffingen met betrekking tot verwerking voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden
(1) Verwerking voor archiveringsdoeleinden in het algemeen belang, voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden vindt plaats onder de voorwaarde van het bestaan van passende garanties, in overeenstemming met deze verordening, voor de rechten en vrijheden van de betrokken personen. De respectieve garanties zorgen ervoor dat de nodige technische en organisatorische maatregelen zijn getroffen om met name de naleving van het beginsel van dataminimalisatie te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, op voorwaarde dat op deze manier aan de respectieve doeleinden wordt voldaan. Wanneer de respectieve doeleinden kunnen worden verwezenlijkt door een daaropvolgende verwerking die de identificatie van de betrokken personen niet (meer) mogelijk maakt, worden de respectieve doeleinden op deze manier verwezenlijkt.
(2) In het geval dat persoonsgegevens worden verwerkt voor wetenschappelijke of historische onderzoeksdoeleinden of voor statistische doeleinden, kan het recht van de Unie of het nationale recht voorzien in vrijstellingen van de rechten genoemd in de artikelen 15, 16, 18 en 21, onder de voorwaarden en garanties voorzien in lid (1) van dit artikel, voor zover de respectieve rechten van dien aard zijn dat ze het bereiken van de specifieke doelen onmogelijk maken of ernstig beïnvloeden, en de respectieve afwijkingen noodzakelijk zijn voor de verwezenlijking van deze doelen.
(3) Als persoonsgegevens worden verwerkt voor archiveringsdoeleinden in het algemeen belang, kan het recht van de Unie of het nationale recht voorzien in vrijstellingen van de rechten genoemd in de artikelen 15, 16, 18, 19, 20 en 21, met inachtneming van de voorwaarden en garanties die worden geboden. in lid (1) van dit artikel, voor zover de respectieve rechten van dien aard zijn dat ze het bereiken van de specifieke doelen onmogelijk maken of ernstig beïnvloeden, en de respectieve afwijkingen noodzakelijk zijn voor de verwezenlijking van deze doelen.
(4) Indien de in de paragrafen (2) en (3) genoemde verwerking tegelijkertijd een ander doel dient, zijn de afwijkingen alleen van toepassing op de verwerking voor de in de betreffende paragrafen genoemde doeleinden.
Art. 90: Verplichtingen inzake vertrouwelijkheid
(1) De lidstaten kunnen specifieke regels vaststellen om de bevoegdheden van de toezichthoudende autoriteiten vast te stellen, bedoeld in artikel 58, lid 1, letters e) en f), met betrekking tot exploitanten of personen die door exploitanten zijn gemachtigd en die op grond van het recht van de Unie of van het nationale recht of op grond van de door de bevoegde nationale instanties vastgestelde regels, zijn verplicht het beroepsgeheim of andere gelijkwaardige geheimhoudingsverplichtingen te handhaven, indien dit noodzakelijk en evenredig is om een evenwicht tot stand te brengen tussen het recht op de bescherming van persoonsgegevens en de verplichting tot geheimhouding. De respectievelijke regels zijn enkel van toepassing met betrekking tot de persoonsgegevens die de exploitant of de door de exploitant gemachtigde persoon heeft ontvangen als gevolg van of in het kader van een activiteit die onder deze geheimhoudingsplicht valt. (2) Elke lidstaat stelt de Commissie uiterlijk op 1 mei 25 in kennis van de krachtens lid 2018 vastgestelde regels, evenals, onverwijld, van eventuele latere wijzigingen daarvan.
Art. 91: Bestaande normen op het gebied van gegevensbescherming voor kerken en religieuze verenigingen
(1) Indien kerken en religieuze verenigingen of gemeenschappen in een lidstaat op de datum van inwerkingtreding van deze verordening een alomvattend geheel van regels hanteren voor de bescherming van natuurlijke personen met betrekking tot verwerking, kunnen deze regels van kracht blijven. zijn van toepassing, op voorwaarde dat zij in overeenstemming zijn met deze verordening.
(2) Kerken en religieuze verenigingen die een uitgebreide reeks regels toepassen in overeenstemming met lid (1) van dit artikel zijn onderworpen aan het toezicht van een onafhankelijke toezichthoudende autoriteit die kan worden gespecificeerd, op voorwaarde dat zij voldoen aan de voorwaarden vastgelegd in Hoofdstuk VI van dit artikel. deze regeling.
HOOFDSTUK X: Gedelegeerde handelingen en uitvoeringshandelingen
Art. 92: Uitoefening van delegatie
(1) De bevoegdheid om gedelegeerde handelingen vast te stellen wordt aan de Commissie toegekend onder de voorwaarden van dit artikel.
(2) De delegatie van bevoegdheden bedoeld in artikel 12, lid 8, en artikel 43, lid 8, wordt aan de Commissie verleend voor onbepaalde tijd vanaf 24 mei 2016.
(3) De delegatie van bevoegdheden bedoeld in artikel 12, lid 8, en artikel 43, lid 8, kan te allen tijde door het Europees Parlement of de Raad worden ingetrokken. Een intrekkingsbesluit maakt een einde aan de delegatie van bevoegdheden die in het betreffende besluit zijn gespecificeerd. Het besluit treedt in werking vanaf de dag na de bekendmaking ervan in het Publicatieblad van de Europese Unie of vanaf een latere datum die in het besluit wordt vermeld. Het besluit heeft geen invloed op de geldigheid van de gedelegeerde handelingen die al van kracht zijn.
(4) Zodra zij een gedelegeerde handeling vaststelt, stelt de Commissie het Europees Parlement en de Raad daarvan gelijktijdig in kennis.
(5) Een overeenkomstig artikel 12, lid 8, en artikel 43, lid 8, vastgestelde gedelegeerde handeling treedt alleen in werking als noch het Europees Parlement, noch de Raad binnen drie maanden na de kennisgeving ervan aan het Europees Parlement en de Raad bezwaar heeft gemaakt. Raad, of in
indien het Europees Parlement en de Raad vóór het verstrijken van de respectieve termijn de Commissie hebben meegedeeld dat zij geen bezwaar zullen maken. Op initiatief van het Europees Parlement of de Raad wordt de respectieve termijn met drie maanden verlengd.
Artikel 93: Comitéprocedure
(1) De commissie wordt bijgestaan door een commissie. Het desbetreffende comité is een comité in de zin van Verordening (EU) nr. 182/2011.
(2) Indien naar dit lid wordt verwezen, geldt artikel 5 van Verordening (EU) nr. 182/2011.
(3) Indien naar dit lid wordt verwezen, geldt artikel 8 van Verordening (EU) nr. 182/2011 in samenhang met artikel 5 van die verordening.
HOOFDSTUK XI: Slotbepalingen
Artikel 94: Intrekking van Richtlijn 95/46/EG
(1) Beschikking 95/46/EG wordt ingetrokken met ingang van 25 mei 2018.
(2) Verwijzingen naar de ingetrokken richtlijn worden geïnterpreteerd als verwijzingen naar deze verordening. Verwijzingen naar de Werkgroep voor de bescherming van personen met betrekking tot de verwerking van persoonsgegevens, opgericht in artikel 29 van Richtlijn 95/46/EG, worden geïnterpreteerd als verwijzingen naar het Europees Comité voor gegevensbescherming, opgericht door deze verordening.
Artikel 95: Relatie met Richtlijn 2002/58/EG
Deze verordening legt geen aanvullende verplichtingen op aan natuurlijke of rechtspersonen met betrekking tot verwerking in verband met het aanbieden van elektronische-communicatiediensten bestemd voor het publiek in openbare communicatienetwerken in de Unie, met betrekking tot de aspecten waarvoor zij specifieke verplichtingen hebben met hetzelfde doel voorzien in Richtlijn 2002/58/EG.
Art. 96: Verhouding tot eerder gesloten overeenkomsten
Internationale overeenkomsten betreffende de overdracht van persoonsgegevens aan derde landen of internationale organisaties, die vóór 24 mei 2016 door de lidstaten zijn gesloten en die in overeenstemming zijn met het recht van de Unie dat vóór die datum van toepassing was, blijven van kracht totdat ze worden gewijzigd, vervangen of ingetrokken.
Artikel 97: verslagen van de Commissie
(1) Tot 25 mei 2020 en daarna om de vier jaar dient de Commissie bij het Europees Parlement en de Raad een rapport in over de evaluatie en herziening van deze verordening. De rapporten worden openbaar gemaakt.
(2) In de context van de in lid 1 bedoelde evaluaties en herzieningen onderzoekt de Commissie met name de toepassing en werking van:
a) hoofdstuk V met betrekking tot de overdracht van persoonsgegevens aan derde landen of internationale organisaties, waarbij in het bijzonder rekening wordt gehouden met de besluiten die zijn genomen op grond van artikel 45, lid 3, van deze verordening en de besluiten die zijn genomen op grond van artikel 25, lid 6, van de Richtlijn 95/46/CE;
b) hoofdstuk VII over samenwerking en coherentie.
(3) Voor de toepassing van lid 1 kan de Commissie informatie opvragen bij de lidstaten en bij de toezichthoudende autoriteiten.
(4) Bij het uitvoeren van de in de leden 1 en 2 bedoelde evaluaties en herzieningen houdt de Commissie rekening met de standpunten en bevindingen van het Europees Parlement, de Raad en andere relevante instanties of bronnen.
(5) De commissie dient indien nodig passende voorstellen in om deze verordening te wijzigen, waarbij vooral rekening wordt gehouden met de ontwikkelingen op het gebied van de informatietechnologie en met de vooruitgang van de informatiemaatschappij.
Art. 98: Herziening van andere rechtshandelingen van de Unie op het gebied van gegevensbescherming
Indien nodig presenteert de Commissie wetgevingsvoorstellen om andere rechtshandelingen van de Unie met betrekking tot de bescherming van persoonsgegevens te wijzigen, om een uniforme en consistente bescherming van natuurlijke personen op het gebied van de verwerking te garanderen. Dit betreft met name de regels met betrekking tot de bescherming van natuurlijke personen in het kader van de verwerking door de instellingen, organen en instanties van de Unie, evenals de regels met betrekking tot het vrije verkeer van deze gegevens.
Art. 99: Inwerkingtreding en toepassing
(1) Deze verordening treedt in werking op de twintigste dag na de datum van publicatie in het Publicatieblad van de Europese Unie.
(2) Deze regeling is van toepassing vanaf 25 mei 2018.
Deze verordening is verplicht in al haar onderdelen en is rechtstreeks van toepassing in alle lidstaten.
- **** -
Gedaan te Brussel, 27 april 2016.
JA HENNIS-PLASSCHAERT
Gepubliceerd in het Publicatieblad nummer 119L van 4 mei 2016
Voor het Europees Parlement de voorzitter
M SCHULZ
Voor de Raad de voorzitter
