Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad
Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Comité van de Regio's(1),
Handelend volgens de gewone wetgevingsprocedure(2),
Overwegende hetgeen volgt:
De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie („het Handvest”) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van de hem betreffende persoonsgegevens.
De beginselen en regels betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht hun nationaliteit of verblijfplaats, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, met name met hun recht op bescherming van persoonsgegevens. Deze richtlijn is bedoeld om bij te dragen aan de totstandkoming van een ruimte van vrijheid, veiligheid en recht.
Snelle technologische ontwikkelingen en de mondialisering brachten nieuwe uitdagingen voor de bescherming van persoonsgegevens. De mate waarin persoonsgegevens worden verzameld en gedeeld, is aanzienlijk gestegen. Dankzij de technologie kunnen bij activiteiten zoals de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen meer dan ooit tevoren persoonsgegevens worden verwerkt.
Het vrije verkeer van persoonsgegevens tussen bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid binnen de Unie en de doorgifte van dergelijke persoonsgegevens aan derde landen en internationale organisaties, moet worden vergemakkelijkt, en tegelijk moet een hoge mate van bescherming van persoonsgegevens worden gewaarborgd. Die ontwikkelingen vereisen dat een solide en coherenter kader voor de bescherming van persoonsgegevens in de Unie wordt ontwikkeld, gestoeld op een strakke handhaving.
Richtlijn 95/46/EG van het Europees Parlement en de Raad(3) is van toepassing op elke verwerking van persoonsgegevens in de lidstaten, zowel in de publieke als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.
Kaderbesluit 2008/977/JBZ van de Raad(4) is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten.
Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequente en hoge mate van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd, én dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardige mate van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en van de verplichtingen van degenen die persoonsgegevens verwerken, alsmede gelijkwaardige bevoegdheden om de regelgeving inzake de bescherming van persoonsgegevens in de lidstaten te handhaven en toe te zien op naleving daarvan.
Overeenkomstig artikel 16, lid 2, VWEU dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens.
Op die basis worden bij Verordening (EU) 2016/679 van het Europees Parlement en de Raad(5) algemene regels vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.
In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken.
Derhalve is het aangewezen dat die gebieden worden behandeld in een richtlijn waarin specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, daarbij rekening houdend met de specifieke aard van die activiteiten. Die bevoegde autoriteiten kunnen niet alleen overheidsinstanties zoals de rechterlijke autoriteiten, de politie of andere rechtshandhavingsautoriteiten omvatten, maar ook ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen voor de doeleinden van deze richtlijn. Wanneer dat orgaan of die entiteit persoonsgegevens verwerkt voor andere doeleinden dan die van deze richtlijn, is Verordening (EU) 2016/679 van toepassing. Verordening (EU) 2016/679 is dan ook van toepassing in gevallen waarin een orgaan of entiteit persoonsgegevens verzamelt voor andere doeleinden en die persoonsgegevens verder verwerkt met het oog op nakoming van een wettelijke verplichting waaraan het orgaan of de entiteit is onderworpen. Zo bewaren financiële instellingen met het oog op onderzoek, opsporing of vervolging van strafbare feiten bepaalde persoonsgegevens die door hen worden verwerkt, en verstrekken zij die persoonsgegevens uitsluitend in specifieke gevallen en overeenkomstig het lidstatelijke recht aan de bevoegde nationale autoriteiten. Een orgaan dat of entiteit die namens die autoriteiten persoonsgegevens verwerkt binnen het toepassingsgebied van deze richtlijn, dient gebonden te zijn door een overeenkomst of een andere rechtshandeling en door de ingevolge deze richtlijn op verwerkers toepasselijke bepalingen, terwijl Verordening (EU) 2016/679 onverminderd van toepassing blijft op de verwerking van persoonsgegevens door de verwerker die buiten het toepassingsgebied van deze richtlijn valt.
De door de politie of andere rechtshandhavingsautoriteiten verrichte activiteiten zijn hoofdzakelijk gericht op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, met inbegrip van politieactiviteiten waarbij vooraf niet bekend is of een voorval al dan niet een strafbaar feit is. Tot die activiteiten behoren ook de uitoefening van gezag door het nemen van dwangmaatregelen zoals politieactiviteiten bij demonstraties, belangrijke sportevenementen en rellen. Zij omvatten ook de rechts- en ordehandhaving als een, zo nodig, aan de politie of andere rechtshandhavingsautoriteiten toevertrouwde taak ter bescherming tegen en voorkoming van gevaren voor de openbare veiligheid en voor bij wet beschermde fundamentele belangen van de samenleving, die tot strafbare feiten kunnen leiden. De lidstaten kunnen de bevoegde autoriteiten belasten met andere taken die niet noodzakelijkerwijs worden verricht met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, zodat de verwerking van persoonsgegevens voor die andere doeleinden, voor zover zij binnen het toepassingsgebied van het Unierecht valt, binnen het toepassingsgebied van Verordening (EU) 2016/679 valt.
Een strafbaar feit in de zin van deze richtlijn moet een autonoom Unierechtelijk begrip zijn zoals uitgelegd door het Hof van Justitie van de Europese Unie (het „Hof van Justitie”).
Aangezien deze richtlijn niet mag gelden voor de verwerking van persoonsgegevens in de loop van een activiteit die buiten het toepassingsgebied van het Unierecht valt, mogen activiteiten die de nationale veiligheid betreffen, activiteiten van agentschappen of eenheden die zich met nationale veiligheidsvraagstukken bezighouden en de verwerking van persoonsgegevens door de lidstaten in het kader van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen, niet als binnen het toepassingsgebied van deze richtlijn vallende activiteiten worden beschouwd.
Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van in rechte afdwingbare rechten en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, moet deze richtlijn voorzien in geharmoniseerde regels betreffende de bescherming en het vrije verkeer van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. De onderlinge afstemming van de rechtsstelsels van de lidstaten mag niet tot verminderde bescherming van persoonsgegevens leiden, maar moet juist zorgen voor een hoog beschermingsniveau in de Unie. De lidstaten mag niet worden belet met betrekking tot de bescherming van de rechten en vrijheden van de betrokkene inzake de verwerking van persoonsgegevens door bevoegde autoriteiten uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet.
Deze richtlijn laat het beginsel van recht van toegang van het publiek tot officiële documenten onverlet. Uit hoofde van Verordening (EU) 2016/679 mogen persoonsgegevens in officiële documenten die door een overheidsinstantie of een publiek of particulier orgaan voor de uitvoering van een taak van algemeen belang worden bijgehouden, door die instantie of dat orgaan worden bekendgemaakt in overeenstemming met het Unierecht of het lidstatelijke recht waaraan de overheidsinstantie of het orgaan is onderworpen, teneinde de openbare toegang tot officiële documenten in overeenstemming te brengen met het recht op bescherming van persoonsgegevens.
De door deze richtlijn geboden bescherming dient van toepassing te zijn op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.
Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technieken. De bescherming van natuurlijke personen dient te gelden bij zowel geautomatiseerde verwerking van persoonsgegevens als handmatige verwerking daarvan indien de persoonsgegevens zijn opgeslagen of bedoeld zijn om te worden opgeslagen in een bestand. Dossiers of een verzameling dossiers en de omslagen ervan, die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze richtlijn te vallen.
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad(6) is van toepassing op de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie. Verordening (EG) nr. 45/2001 en andere rechtshandelingen van de Unie die van toepassing zijn op zulke verwerking van persoonsgegevens moeten worden aangepast aan de beginselen en regels van Verordening (EU) 2016/679.
Deze richtlijn belet niet dat de lidstaten in nationale regels over strafrechtelijke procedures met betrekking tot de verwerking van persoonsgegevens door gerechten en andere rechterlijke autoriteiten een nadere omschrijving geven van verwerkingsactiviteiten en verwerkingsprocedures, met name wat betreft persoonsgegevens die zijn vervat in een rechterlijke beslissing of in registers betreffende strafrechtelijke procedures.
De beginselen van gegevensbescherming moeten voor alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen mogen derhalve niet van toepassing zijn op anonieme gegevens, met name gegevens die geen verband houden met een geïdentificeerde of identificeerbare natuurlijke persoon of met persoonsgegevens die zodanig geanonimiseerd zijn dat de betrokkene niet langer identificeerbaar is.
Overheidsinstanties waaraan ingevolge een wettelijke verplichting persoonsgegevens worden bekendgemaakt voor het vervullen van een officiële taak, zoals belasting- of douaneautoriteiten, financiële onderzoeksdiensten, onafhankelijke bestuurlijke autoriteiten of financiëlemarktautoriteiten die belast zijn met de regulering van en het toezicht op de effectenmarkten, mogen niet als ontvangers worden beschouwd indien zij persoonsgegevens ontvangen die noodzakelijk zijn voor de uitvoering van een bepaald onderzoek in het algemeen belang, overeenkomstig het Unierecht of het recht van de lidstaten. Verzoeken om bekendmaking vanwege overheidsinstanties dienen in ieder geval schriftelijk te worden ingediend, gemotiveerd te worden en incidenteel te zijn, en mogen geen volledig bestand betreffen of resulteren in de koppeling van bestanden. De verwerking van persoonsgegevens door die overheidsinstanties moet stroken met de voor het doel van de verwerking toepasselijke gegevensbeschermingsregels.
Genetische gegevens moeten worden gedefinieerd als persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie geven over de fysiologie of de gezondheid van die natuurlijke persoon, die voortkomen uit een analyse van een biologisch monster van de betrokken persoon, met name een chromosoomanalyse, een analyse van desoxyribonucleïnezuur (DNA) of van ribonucleïnezuur (RNA) of een analyse van een ander element waarmee soortgelijke informatie kan worden verkregen. Gezien de complexe en gevoelige aard van genetische informatie bestaat een groot risico op misbruik en hergebruik voor uiteenlopende doeleinden door de verwerkingsverantwoordelijke. Discriminatie op grond van genetische kenmerken moet in beginsel worden verboden.
Als persoonsgegevens over gezondheid moeten worden beschouwd alle gegevens die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Zij omvatten informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten aan die natuurlijke persoon als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad(7), alsmede een aan een natuurlijke persoon toegekend nummer, symbool of kenmerk dat uitsluitend als identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden, de informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters, en alle informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, bijvoorbeeld een arts of andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitro diagnostische test.
Alle lidstaten zijn aangesloten bij de Internationale Criminele Politieorganisatie (Interpol). Om haar taak te kunnen uitvoeren, zorgt Interpol voor het ontvangen, opslaan en verspreiden van persoonsgegevens om bevoegde autoriteiten bij te staan in het voorkomen en bestrijden van internationale criminaliteit. Daarom is het passend de samenwerking tussen de Unie en Interpol te versterken door een efficiënte uitwisseling van persoonsgegevens te bevorderen, zulks met eerbiediging van de grondrechten en fundamentele vrijheden met betrekking tot de automatische verwerking van persoonsgegevens. Wanneer persoonsgegevens worden doorgegeven van de Unie aan Interpol, en aan landen die vertegenwoordigers naar Interpol hebben afgevaardigd, dient deze richtlijn, met name de bepalingen inzake internationale doorgiften, van toepassing te zijn. Deze richtlijn mag geen afbreuk doen aan de specifieke regels van Gemeenschappelijk Standpunt 2005/69/JBZ van de Raad(8) en van Besluit 2007/533/JBZ van de Raad(9).
Iedere verwerking van persoonsgegevens dient ten aanzien van de natuurlijke personen in kwestie rechtmatig, behoorlijk en transparant te zijn en uitsluitend te geschieden met het oog op specifieke, bij wet vastgestelde doeleinden. Dit belet als zodanig niet dat de rechtshandhavingsinstanties activiteiten verrichten zoals infiltratieoperaties of videobewaking. Die activiteiten kunnen worden verricht met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, voor zover de activiteiten bij wet zijn vastgelegd en in een democratische samenleving, met inachtneming van de legitieme belangen van de betrokken natuurlijke persoon, een noodzakelijke en evenredige maatregel vormen. Het gegevensbeschermingsbeginsel van behoorlijke verwerking is een ander begrip dan het recht op een onpartijdig gerecht zoals omschreven in artikel 47 van het Handvest en artikel 6 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van hun persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot de verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens moeten toereikend en ter zake dienend zijn voor de doeleinden waarvoor zij worden verwerkt. Meer bepaald moet ervoor worden gezorgd dat niet bovenmatig veel gegevens worden verzameld en dat zij niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere manier kan worden verwezenlijkt. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. De lidstaten moeten voorzien in passende waarborgen voor persoonsgegevens die langer worden bewaard voor archivering in het algemeen belang of voor wetenschappelijk of historisch onderzoek of statistische doeleinden.
Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat bevoegde autoriteiten de persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing en de vervolging van bepaalde strafbare feiten hebben verzameld, ook buiten dat kader verwerken, teneinde inzicht te verwerven in criminele activiteiten en verbanden te leggen tussen verschillende opgespoorde strafbare feiten.
Om de veiligheid in verband met de verwerking te handhaven en te voorkomen dat met een verwerking inbreuk wordt gemaakt op deze richtlijn, dienen persoonsgegevens te worden verwerkt met inachtneming van een passend niveau van beveiliging en vertrouwelijkheid, wat onder meer inhoudt dat ongeoorloofde toegang tot of het gebruik van persoonsgegevens en de voor de verwerking gebruikte apparatuur wordt voorkomen, en met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met de risico's en de aard van de te beschermen persoonsgegevens.
Persoonsgegevens dienen te worden verzameld voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden binnen het toepassingsgebied van deze richtlijn, en mogen niet worden verwerkt voor doeleinden die onverenigbaar zijn met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Indien persoonsgegevens door dezelfde of een andere verwerkingsverantwoordelijke worden verwerkt voor een doelstelling die binnen het toepassingsgebied van deze richtlijn valt, niet zijnde die waarvoor zij zijn verzameld, moet deze verwerking worden toegestaan, op voorwaarde dat zij is toegestaan op grond van toepasselijke wettelijke bepalingen, noodzakelijk is en in verhouding staat tot die doestelling.
Het beginsel van juistheid van gegevens moet worden toegepast met inachtneming van de aard en het doel van de verwerking in kwestie. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van natuurlijke personen en niet altijd te controleren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.
Het is inherent aan de verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking dat persoonsgegevens betreffende verschillende categorieën van betrokkenen worden verwerkt. Daarom moet in voorkomend geval en zoveel mogelijk een onderscheid worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën van betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers. Dit mag geen afbreuk doen aan de toepassing van het recht op het vermoeden van onschuld zoals gewaarborgd bij het Handvest en het EVRM, zoals uitgelegd in de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens.
De bevoegde autoriteiten moeten ervoor zorgen dat persoonsgegevens die onjuist, onvolledig of niet langer actueel zijn, niet worden doorgezonden of beschikbaar gesteld. Om de bescherming van natuurlijke personen en de juistheid, de volledigheid of mate waarin de persoonsgegevens actueel zijn en de betrouwbaarheid van de doorgezonden of beschikbaar gestelde persoonsgegevens te waarborgen, dienen de bevoegde autoriteiten voor zover mogelijk bij elke doorzending van persoonsgegevens de noodzakelijk informatie toe te voegen.
Wanneer in deze richtlijn wordt verwezen naar het lidstatelijke recht, een rechtsgrond of een wetgevingsmaatregel, betekent dit niet noodzakelijk dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de constitutionele vereisten van de betrokken lidstaat. Dit lidstatelijke recht, die rechtsgrond of die wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie en het Europees Hof voor de Rechten van de Mens. In het lidstatelijke recht dat de verwerking van persoonsgegevens binnen het toepassingsgebied van deze richtlijn regelt, dienen ten minste de doeleinden, de te verwerken persoonsgegevens en de doeleinden van de verwerking te worden gespecificeerd, alsmede de procedures voor het vrijwaren van de integriteit en de vertrouwelijkheid van persoonsgegevens en de procedures voor de vernietiging ervan, zodat voldoende garanties worden geboden tegen het risico op misbruik en willekeur.
De verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid moet betrekking hebben op een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens voor die doeleinden, al dan niet uitgevoerd met behulp van geautomatiseerde procedés of anderszins, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, aligneren, combineren, aan verwerkingsbeperkingen onderwerpen, wissen of vernietigen van gegevens. Meer bepaald dienen de bepalingen van deze richtlijn van toepassing te zijn op de doorzending van persoonsgegevens met het oog op de doelstellingen van deze richtlijn aan een ontvanger die niet onder deze richtlijn valt. Onder ontvanger dient te worden verstaan, een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of enig ander orgaan aan wie of waaraan de persoonsgegevens rechtmatig door de bevoegde autoriteit worden bekendgemaakt. Wanneer de persoonsgegevens in eerste instantie zijn verzameld door een bevoegde autoriteit voor een van de doeleinden van deze richtlijn, moet Verordening (EU) 2016/679 van toepassing zijn op de doorzending van die gegevens voor andere doeleinden dan die van deze richtlijn, indien deze verwerking is toegestaan bij het Unierecht of het lidstatelijke recht. Meer bepaald dienen de bepalingen van Verordening (EU) 2016/679 van toepassing te zijn op de doorgifte van persoonsgegevens voor doeleinden die niet onder deze richtlijn vallen. Verordening (EU) 2016/679 dient van toepassing te zijn op de verwerking van persoonsgegevens door een ontvanger die niet de bevoegde autoriteit is of die niet optreedt als bevoegde autoriteit in de zin van deze richtlijn en aan wie de persoonsgegevens rechtmatig zijn bekendgemaakt door een bevoegde autoriteit. Bij de uitvoering van deze richtlijn moeten de lidstaten ook de toepassing van de regels van Verordening (EU) 2016/679 nader kunnen bepalen, mits wordt voldaan aan de daarin gestelde voorwaarden.
Een verwerking van persoonsgegevens op grond van deze richtlijn geldt slechts als rechtmatig indien zij noodzakelijk is om een bevoegde autoriteit in staat te stellen op grond van het Unierecht of het lidstatelijke recht een taak in het algemeen belang uit te voeren met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Die activiteiten dienen de bescherming van vitale belangen van de betrokkene te omvatten. Het uitvoeren van de bij wet aan de bevoegde autoriteiten toegewezen taken in verband met de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, stelt hen in staat van natuurlijke personen te verlangen of te eisen dat zij aan de gedane verzoeken gevolg geven. In dit geval mag de toestemming van de betrokkene als omschreven in Verordening (EU) 2016/679 geen rechtsgrond vormen voor de verwerking van persoonsgegevens door bevoegde autoriteiten. Wanneer van de betrokkene wordt verlangd dat hij aan een wettelijke verplichting voldoet, heeft hij geen echte, vrije keuze, en kan zijn reactie derhalve niet als een spontane blijk van zijn wil worden uitgelegd. Dit mag de lidstaten niet beletten om in hun wetgeving te bepalen dat de betrokkene kan instemmen met de verwerking van zijn persoonsgegevens voor de doeleinden van deze richtlijn, zoals DNA-tests in strafrechtelijke onderzoeken of het toezicht, met behulp van elektronische enkelbanden, op de locatie waar de betrokkene zich bevindt met het oog op de tenuitvoerlegging van straffen.
De lidstaten moeten bepalen dat de doorzendende bevoegde autoriteit, wanneer het op die autoriteit toepasselijke Unierecht of lidstatelijke recht voorziet in specifieke voorwaarden die in specifieke omstandigheden op de verwerking van persoonsgegevens van toepassing zijn, zoals het gebruik van behandelingscodes, de ontvanger van die persoonsgegevens van die voorwaarden en van de noodzaak tot eerbiediging ervan in kennis dient te stellen. Die voorwaarden kunnen bijvoorbeeld voorzien in een verbod om de persoonsgegevens aan anderen door te zenden, of deze voor andere doeleinden te gebruiken dan deze waarvoor zij aan de ontvanger werden doorgezonden, of de betrokkene niet in kennis te stellen in geval van een beperking van het recht op informatie zonder de voorafgaande toestemming van de doorzendende bevoegde autoriteit. Die verplichtingen dienen ook te gelden voor doorgiften van de doorzendende bevoegde autoriteit aan ontvangers in derde landen of internationale organisaties. De lidstaten moeten ervoor zorgen dat de doorzendende bevoegde autoriteit geen andere voorwaarden toepast op ontvangers in andere lidstaten of op agentschappen, organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V VWEU, dan die welke van toepassing zijn op vergelijkbare doorzending van gegevens binnen de lidstaat van die bevoegde autoriteit.
Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico's voor de grondrechten en fundamentele vrijheden kan meebrengen. Die persoonsgegevens dienen de persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term „ras” in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. Dergelijke persoonsgegevens mogen slechts worden verwerkt indien bij de verwerking passende bij wet vastgelegde waarborgen gelden wat de rechten en vrijheden van de betrokkene betreft en zij is toegelaten in bij wet bepaalde gevallen; bij ontstentenis van zulke wet, indien de verwerking noodzakelijk is om de vitale belangen van de betrokkene of een andere persoon te beschermen; of indien de verwerking betrekking heeft op gegevens die de betrokkene zelf kennelijk openbaar heeft gemaakt. Passende waarborgen voor de rechten en vrijheden van de betrokkene kunnen bijvoorbeeld inhouden dat die gegevens enkel mogen worden verzameld in samenhang met andere gegevens over de natuurlijke persoon in kwestie, dat de verzamelde gegevens afdoende kunnen worden beveiligd, dat strengere regels gelden voor de toegang van het personeel van de bevoegde autoriteit tot de gegevens, en dat de doorzending van die gegevens wordt verboden. De verwerking van die gegevens dient ook bij wet toegelaten te zijn wanneer de betrokkene uitdrukkelijk heeft toegestemd met de verwerking die een ingrijpende inbreuk vormt op zijn privacy. De toestemming van de betrokkene op zich mag evenwel geen rechtsgrond vormen voor de verwerking van die gevoelige persoonsgegevens door bevoegde autoriteiten.
De betrokkene dient het recht te hebben niet te worden onderworpen aan een besluit waaraan voor hem negatieve rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking die bedoeld is om een beeld te krijgen van bepaalde van zijn persoonlijke aspecten. Voor die verwerking moeten in ieder geval passende waarborgen worden geboden, waaronder specifieke voorlichting van de betrokkene en het recht op menselijke tussenkomst, met name om zijn standpunt kenbaar te maken, om uitleg over het na een dergelijke beoordeling genomen besluit te krijgen en om op te komen tegen het besluit. Profilering die leidt tot discriminatie van natuurlijke personen op grond van persoonsgegevens die door de aard ervan bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden, dient verboden te worden overeenkomstig de bepalingen van de artikelen 21 en 52 van het Handvest.
Informatie die aan de betrokkene wordt verstrekt, dient eenvoudig toegankelijk, onder meer op de website van de verwerkingsverantwoordelijke, en begrijpelijk te zijn, en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten uit te oefenen. Die informatie dient aangepast te zijn aan de behoeften van kwetsbare personen, zoals kinderen.
Er moet worden voorzien in regelingen om de betrokkene beter in staat te stellen zijn rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen uit te oefenen, waaronder regelingen voor het verzoeken om, en in voorkomend geval kosteloos verkrijgen van, inzage in, en rectificatie of wissing van persoonsgegevens en verwerkingsbeperking. De verwerkingsverantwoordelijke dient te worden verplicht zonder onnodige vertraging op verzoeken van betrokkenen te reageren, tenzij de verwerkingsverantwoordelijke beperkingen toepast op de rechten van betrokkenen overeenkomstig de regels van deze richtlijn. De verwerkingsverantwoordelijke moet bovendien een redelijke vergoeding kunnen aanrekenen of kunnen weigeren aan het verzoek gevolg te geven wanneer verzoeken kennelijk ongegrond of buitensporig zijn, zoals wanneer de betrokkene zonder goede reden en herhaaldelijk om informatie verzoekt, of wanneer de betrokkene zijn recht om informatie te verkrijgen misbruikt, bijvoorbeeld door bij het verzoek valse of misleidende informatie te verstrekken.
Wanneer de verwerkingsverantwoordelijke om aanvullende informatie verzoekt die noodzakelijk is ter bevestiging van de identiteit van de betrokkene, dient die informatie uitsluitend voor dat specifieke doel te worden verwerkt en mag die informatie niet langer worden opgeslagen dan voor dat doel noodzakelijk is.
Ten minste de volgende informatie moet ter beschikking van de betrokkene worden gesteld: de identiteit van de verwerkingsverantwoordelijke, het bestaan van de verwerking, de doeleinden van de verwerking, het recht klacht in te dienen en het bestaan van het recht om van de verwerkingsverantwoordelijke toegang tot en rectificatie of wissing van persoonsgegevens of verwerkingsbeperking te verlangen. Dit kan worden gedaan op de website van de bevoegde autoriteit. Daarnaast dient de betrokkene, in specifieke gevallen en om hem in staat te stellen zijn rechten uit te oefenen, te worden ingelicht over de rechtsgrond voor de verwerking en over hoe lang de gegevens zullen worden opgeslagen, voor zover die nadere informatie noodzakelijk is om, met inachtneming van de specifieke omstandigheden waarin de persoonsgegevens worden verwerkt, met betrekking tot de betrokkene een behoorlijke verwerking te waarborgen.
Een natuurlijke persoon moet beschikken over het recht op inzage van de gegevens die over hem zijn verzameld, en moet dit recht gemakkelijk en met redelijke tussenpozen kunnen uitoefenen, zodat hij kennis kan nemen van de verwerking en de rechtmatigheid daarvan kan nagaan. Iedere betrokkene moet dan ook het recht hebben om op de hoogte te zijn van, en mededelingen te verkrijgen over, de doeleinden waarvoor de gegevens worden verwerkt, de periode waarin deze gegevens worden verwerkt, en de ontvangers van de gegevens, ook in derde landen. Wanneer die mededelingen informatie behelzen over de oorsprong van de persoonsgegevens, mag die informatie de identiteit van natuurlijke personen, met name van vertrouwelijke bronnen, niet onthullen. Om aan dit recht te voldoen, volstaat het dat aan de betrokkene in een begrijpelijke vorm een volledig overzicht van die gegevens wordt verstrekt, dat wil zeggen in een vorm die de betrokkene in staat stelt kennis te nemen van deze gegevens en na te gaan of deze juist zijn en overeenkomstig deze richtlijn zijn verwerkt, zodat hij in voorkomend geval de hem uit hoofde van deze richtlijn toegekende rechten kan uitoefenen. Dat overzicht kan worden verstrekt in de vorm van een kopie van de persoonsgegevens die worden verwerkt.
De lidstaten dienen de mogelijkheid te hebben wetgevingsmaatregelen te treffen om de informatieverstrekking aan de betrokkenen uit te stellen, te beperken of achterwege te laten, of de inzage in hun persoonsgegevens volledig of gedeeltelijk te beperken, voor zover en zolang die maatregel in een democratische samenleving, met inachtneming van de grondrechten en van de legitieme belangen van de natuurlijke persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om ervoor te zorgen dat de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen niet in het gedrang komt, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de rechten en vrijheden van anderen te beschermen. De verwerkingsverantwoordelijke dient door middel van een concreet en individueel onderzoek van elk geval te beoordelen of het inzagerecht gedeeltelijk dan wel volledig moet worden beperkt.
Elke weigering of beperking van de inzage dient in principe schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen.
Elke beperking van de rechten van de betrokkene dient in overeenstemming te zijn met het Handvest en met het EVRM, zoals uitgelegd in de rechtspraak van respectievelijk het Hof van Justitie en het Europees Hof voor de Rechten van de Mens, en met name de wezenlijke inhoud van die rechten en vrijheden te eerbiedigen.
Een natuurlijke persoon dient het recht te hebben onjuiste hem betreffende persoonsgegevens te laten rectificeren, vooral wanneer het gaat om feiten, en deze te laten wissen indien de verwerking van die gegevens inbreuk maakt op deze richtlijn. Het recht op rectificatie mag echter geen invloed hebben op, bijvoorbeeld, de inhoud van een getuigenverklaring. Een natuurlijke persoon dient tevens recht te hebben op verwerkingsbeperking wanneer hij de juistheid van persoonsgegevens betwist en de juistheid of onjuistheid niet kan worden vastgesteld, of wanneer de persoonsgegevens moeten worden bewaard als bewijsmateriaal. Meer bepaald moeten persoonsgegevens niet worden gewist maar moet de verwerking worden beperkt indien in een specifiek geval redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de legitieme belangen van de betrokkene zou kunnen schaden. In een dergelijk geval moeten de aan beperkingen onderworpen gegevens alleen worden verwerkt voor het doel dat aan het wissen in de weg staat. De verwerking van persoonsgegevens zou onder meer kunnen worden beperkt door het overbrengen van de geselecteerde gegevens naar een ander verwerkingssysteem, bijvoorbeeld voor archivering, of door het niet-beschikbaar maken van de geselecteerde gegevens. In geautomatiseerde bestanden moet de verwerking in beginsel met technische middelen worden beperkt. Het feit dat de verwerking van persoonsgegevens wordt beperkt, dient in het bestand duidelijk te worden aangegeven. Die rectificatie of wissing van persoonsgegevens of die verwerkingsbeperking moet worden meegedeeld aan de ontvangers aan wie de gegevens zijn bekendgemaakt en aan de bevoegde autoriteiten van wie de onjuiste data afkomstig waren. De verwerkingsverantwoordelijke dient er tevens voor te zorgen dat verdere verspreiding van die gegevens achterwege blijft.
Indien de verwerkingsverantwoordelijke een betrokkene zijn recht op informatie, inzage, rectificatie of wissing van persoonsgegevens of verwerkingsbeperking ontzegt, moet de betrokkene het recht hebben de nationale toezichthoudende autoriteit te verzoeken om de rechtmatigheid van de verwerking te controleren. De betrokkene dient over dat recht te worden ingelicht. Wanneer de toezichthoudende autoriteit namens de betrokkene optreedt, dient zij de betrokkene er ten minste van in kennis te stellen dat zij alle noodzakelijke controles of toetsingen heeft verricht. De toezichthoudende autoriteit dient de betrokkene tevens te informeren over zijn recht om een voorziening in rechte in te stellen.
Indien de persoonsgegevens in het kader van een strafrechtelijk onderzoek en een strafrechtelijke procedure worden verwerkt, moeten de lidstaten erin kunnen voorzien dat het recht op informatie, inzage en op rectificatie of wissing van persoonsgegevens en op verwerkingsbeperking overeenkomstig het nationaal procesrecht wordt uitgeoefend.
De verantwoordelijkheid en aansprakelijkheid van de verwerkingsverantwoordelijke met betrekking tot elke verwerking van persoonsgegevens die door of namens hem wordt uitgevoerd, dienen te worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen te implementeren, en dient hij te kunnen aantonen dat de verwerkingsactiviteiten stroken met deze richtlijn. Bij die maatregelen moet rekening worden gehouden met de aard, de reikwijdte, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen. De door de verwerkingsverantwoordelijke genomen maatregelen dienen onder meer te bestaan in het opstellen en implementeren van specifieke waarborgen inzake de behandeling van persoonsgegevens van kwetsbare natuurlijke personen, zoals kinderen.
Gegevensverwerking kan voor de rechten en vrijheden van natuurlijke personen qua waarschijnlijkheid en ernst uiteenlopende risico's inhouden die tot lichamelijke, materiële of immateriële schade kunnen leiden, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde gegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden of de controle over hun persoonsgegevens dreigen te verliezen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt; wanneer genetische gegevens of biometrische gegevens worden verwerkt met het oog op de unieke identificatie van een persoon of wanneer gegevens over gezondheid of gegevens over seksueel gedrag en seksuele gerichtheid of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen worden verwerkt; wanneer persoonlijke aspecten worden geëvalueerd, om met name aspecten van beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of belangstellingssferen, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens en een groot aantal betrokkenen betreft.
De waarschijnlijkheid en ernst van het risico moet worden bepaald op basis van de aard, de reikwijdte, de context en de doeleinden van de gegevensverwerking. Het risico moet worden beoordeeld op basis van een objectieve evaluatie, aan de hand waarvan wordt bepaald of de gegevensverwerking een hoog risico inhoudt. Een hoog risico is een bijzonder risico op aantasting van de rechten en vrijheden van betrokkenen.
De bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de voorschriften van deze richtlijn wordt voldaan. De tenuitvoerlegging van die maatregelen mag niet alleen van economische overwegingen afhangen. Om de naleving van deze richtlijn te kunnen aantonen, dient de verwerkingsverantwoordelijke intern beleid vast te stellen en maatregelen te implementeren die in het bijzonder voldoen aan de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Wanneer de verwerkingsverantwoordelijke ingevolge deze richtlijn een gegevensbeschermingseffectbeoordeling heeft uitgevoerd, dienen de resultaten daarvan in acht te worden genomen bij de ontwikkeling van die maatregelen en procedures. Die maatregelen kunnen onder meer inhouden dat zo spoedig mogelijk wordt overgegaan tot pseudonimisering. Het gebruik van pseudonimisering voor de toepassing van deze richtlijn kan dienst doen als instrument om het vrije verkeer van persoonsgegevens binnen de ruimte van vrijheid, veiligheid en recht te vergemakkelijken.
Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers, onder meer wat de monitoring door en de maatregelen van toezichthoudende autoriteiten betreft, is het noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, onder meer voor het geval waarin een verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking namens een verwerkingsverantwoordelijke wordt uitgevoerd.
De uitvoering van een verwerking door een verwerker dient te worden geregeld door een rechtshandeling, met inbegrip van een overeenkomst die de verwerker bindt aan de verwerkingsverantwoordelijke, en waarin met name is bepaald dat de verwerker uitsluitend op instructie van de verwerkingsverantwoordelijke dient te handelen. De verwerker dient de beginselen van gegevensbescherming door ontwerp en van gegevensbescherming door standaardinstellingen in acht te nemen.
Om de naleving van deze richtlijn aan te tonen, dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van alle categorieën van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Iedere verwerkingsverantwoordelijke en verwerker dient ertoe te worden verplicht met de toezichthoudende autoriteit samen te werken en haar desgevraagd dat register te verstrekken zodat zij die kan gebruiken om op die verwerkingen toe te zien. De verwerkingsverantwoordelijke of de verwerker die persoonsgegevens verwerkt in systemen voor niet-geautomatiseerde verwerking dient te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de verwerking aan te tonen, om interne controle mogelijk te maken en om de integriteit en de beveiliging van gegevens te waarborgen.
Er dienen logbestanden te worden bijgehouden van ten minste de volgende activiteiten in systemen voor geautomatiseerde verwerking: verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van doorgiften, samenvoeging en wissing. De identificatie van de persoon die persoonsgegevens heeft geraadpleegd of bekendgemaakt, dient te worden geregistreerd en op basis daarvan moeten de redenen voor de verwerkingsactiviteiten kunnen worden vastgesteld. De logbestanden dienen uitsluitend te worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen, om de integriteit en de beveiliging van de gegevens te garanderen en om strafrechtelijke procedures te waarborgen. Interne controle dient interne tuchtprocedures van bevoegde autoriteiten te omvatten.
Indien verwerkingsactiviteiten op grond van hun aard, reikwijdte of doel waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen met zich brengen, dient de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de voorgenomen maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan. Effectbeoordelingen dienen relevante systemen en procedures van verwerkingsactiviteiten te bestrijken, maar geen individuele gevallen.
Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen dient de verwerkingsverantwoordelijke of de verwerker in bepaalde gevallen de toezichthoudende autoriteit voorafgaand aan de verwerking te raadplegen.
Teneinde de veiligheid te handhaven en te voorkomen dat met een verwerking inbreuk op deze richtlijn wordt gemaakt, dient de verwerkingsverantwoordelijke of de verwerker de risico's die de verwerking met zich brengt te beoordelen en maatregelen te treffen om deze risico's te beperken, zoals versleuteling. Die maatregelen dienen een passend niveau van veiligheid, met inbegrip van vertrouwelijkheid, te waarborgen, met inachtneming van de stand van de techniek, de uitvoeringskosten in verband met het risico en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van gegevensbeveiligingsrisico's dient aandacht te worden besteed aan de risico's die zich voordoen bij gegevensverwerking, zoals de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij per ongeluk hetzij onrechtmatig, hetgeen met name tot lichamelijke, materiële of immateriële schade kan leiden. De verwerkingsverantwoordelijke en de verwerker dienen ervoor te zorgen dat de verwerking van persoonsgegevens niet door onbevoegde personen wordt verricht.
Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en adequaat wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen, zoals verlies van controle over hun persoonsgegevens of beperking van hun rechten, discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, ongeoorloofde ongedaanmaking van pseudonimisering, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de natuurlijke persoon in kwestie. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de toezichthoudende autoriteit zonder onnodige vertraging en waar mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich brengt. Wanneer ze niet binnen 72 uur kan plaatsvinden, dient de kennisgeving vergezeld te gaan van een toelichting bij de vertraging en kan informatie zonder verdere onnodige vertraging in fasen worden verstrekt.
Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich brengt, dienen de natuurlijke personen daarvan zonder onnodige vertraging in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. De kennisgeving moet melding maken van de aard van de inbreuk in verband met persoonsgegevens en aanbevelingen bevatten over hoe de persoon in kwestie mogelijke negatieve gevolgen kan beperken. Betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door deze laatste of andere relevante autoriteiten aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen onverwijld in kennis moeten worden gesteld wanneer een onmiddellijk risico op schade moet worden beperkt, terwijl een langere termijn gerechtvaardigd kan zijn wanneer passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken in verband met persoonsgegevens. Wanneer door het uitstellen of beperken van de kennisgeving inzake een inbreuk in verband met persoonsgegevens aan de natuurlijk persoon in kwestie niet kan worden belet dat officiële of gerechtelijke onderzoeken of procedures worden belemmerd, dat de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten in het gedrang komen, dat straffen niet ten uitvoer worden gelegd, dat de openbare veiligheid, de nationale veiligheid of de rechten en vrijheden van anderen niet worden beschermd, zou die kennisgeving in uitzonderlijke omstandigheden achterwege kunnen worden gelaten.
De verwerkingsverantwoordelijke dient een persoon aan te wijzen die de verwerkingsverantwoordelijke bijstaat bij het toezicht op de interne naleving van de krachtens deze richtlijn vastgestelde bepalingen, behalve wanneer een lidstaat beslist om gerechten en andere onafhankelijke rechterlijke autoriteiten daarvan vrij te stellen in het kader van hun gerechtelijke taken. Die persoon kan een lid van het bestaande personeel van de verwerkingsverantwoordelijke zijn die een speciale opleiding inzake gegevensbeschermingswetgeving en -praktijk heeft genoten om deskundigheid op dat gebied te verwerven. Het vereiste expertiseniveau dient met name te worden bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de verwerkingsverantwoordelijke verwerkte persoonsgegevens wordt vereist. De aangewezen persoon kan zijn taken op deeltijdse of voltijdse basis uitvoeren. Verschillende verwerkingsverantwoordelijken kunnen, rekening houdend met hun organisatiestructuur en omvang, samen een functionaris voor gegevensbescherming benoemen, bijvoorbeeld in het geval van gezamenlijke middelen in centrale eenheden. Binnen de structuur van de verwerkingsverantwoordelijken in kwestie kunnen aan deze persoon ook verschillende functies worden toegewezen. Die persoon dient de verwerkingsverantwoordelijke en de werknemers die persoonsgegevens verwerken bij te staan door hen te informeren en te adviseren over de nakoming van hun relevante verplichtingen inzake gegevensbescherming. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk in overeenstemming met het lidstatelijke recht uit te voeren.
De lidstaten dienen ervoor te zorgen dat doorgifte aan een derde land of aan een internationale organisatie enkel plaatsvindt indien die specifieke doorgifte noodzakelijk is met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, of de tenuitvoerlegging van straffen, waaronder de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, en dat de verwerkingsverantwoordelijke in het derde land of de internationale organisatie een bevoegde autoriteit is in de zin van deze richtlijn. Doorgifte mag enkel worden verricht door bevoegde autoriteiten die als verwerkingsverantwoordelijken optreden, behalve wanneer verwerkers expliciet wordt opgedragen om namens verwerkingsverantwoordelijken gegevens door te geven. Een dergelijke doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het derde land of de internationale organisatie in kwestie een adequaat beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden of waarin afwijkingen voor specifieke situaties van toepassing zijn. Wanneer persoonsgegevens van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of internationale organisaties worden doorgegeven, mag dit niet ten koste gaan van het beschermingsniveau waarin voor natuurlijke personen in de Unie door deze richtlijn wordt voorzien, ook in gevallen van verdere doorgiften van persoonsgegevens door het derde land of de internationale organisatie aan verwerkingsverantwoordelijken of verwerkers in hetzelfde of een ander derde land dan wel in dezelfde of een andere internationale organisatie.
Doorgifte van persoonsgegevens vanuit een lidstaat aan derde landen of internationale organisaties is in beginsel enkel toegestaan nadat de lidstaat waarvan de gegevens zijn verkregen daarin heeft toegestemd. Wanneer de bedreiging van de openbare veiligheid van een lidstaat of derde land of voor de fundamentele belangen van een lidstaat zo onmiddellijk is dat de voorafgaande toestemming niet tijdig kan worden verkregen, dient de bevoegde autoriteit met het oog op een doeltreffende samenwerking op het gebied van rechtshandhaving de mogelijkheid te hebben de desbetreffende persoonsgegevens zonder voorafgaande toestemming aan het derde land of de internationale organisatie in kwestie door te geven. De lidstaten dienen te bepalen dat eventuele specifieke voorwaarden met betrekking tot de doorgifte moeten worden meegedeeld aan derde landen of internationale organisaties. Aan verdere doorgiften van persoonsgegevens dient de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht voorafgaand haar toestemming te verlenen. Wanneer de bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, beslist over een verzoek om toestemming voor een verdere doorgifte, dient deze naar behoren rekening te houden met alle relevante factoren, waaronder de ernst van het strafbare feit, de specifieke voorwaarden voor en het doel van de oorspronkelijke gegevensdoorgifte, de aard en de modaliteiten van de uitvoering van de strafrechtelijke sanctie, en het beschermingsniveau van de persoonsgegevens in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven. De bevoegde autoriteit die de oorspronkelijke doorgifte heeft verricht, moet ook specifieke voorwaarden kunnen stellen aan de verdere doorgifte. Dergelijke specifieke voorwaarden kunnen worden beschreven in, bijvoorbeeld, behandelingscodes.
De Commissie moet kunnen besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, een gebied of één of meerdere nader bepaalde sectoren in een derde land, of een internationale organisatie een adequaat niveau van persoonsgegevensbescherming bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die worden geacht een dergelijk beschermingsniveau te bieden. In die gevallen moeten doorgiften van persoonsgegevens aan die landen zonder specifieke toestemming kunnen plaatsvinden, behalve wanneer een andere lidstaat waarvan de gegevens zijn verkregen zijn toestemming aan de doorgifte moet verlenen.
Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van een derde land of van een gebied of een nader bepaalde sector in een derde land, in aanmerking te nemen in hoeverre de rechtsstatelijkheid, de toegang tot de rechter en de internationale mensenrechtennormen en -regels in het specifieke derde land worden geëerbiedigd, en dient zij rekening te houden met het algemene en sectorale recht, waaronder de wetgeving betreffende openbare veiligheid, defensie en nationale veiligheid en openbare orde en strafrecht, van het land. Voor de vaststelling van een adequaatheidsbesluit met betrekking tot een gebied of een nader bepaalde sector in een derde land dienen duidelijke en objectieve criteria te worden vastgesteld, zoals specifieke verwerkingsactiviteiten en het toepassingsgebied van de toepasselijke wettelijke normen en geldende wetgeving in het derde land. Het derde land dient waarborgen te bieden voor een adequaat beschermingsniveau dat in wezen overeenkomt met het beschermingsniveau in de Unie, vooral wanneer gegevens in één of meerdere specifieke sectoren worden verwerkt. Meer bepaald moet het derde land zorgen voor doeltreffend onafhankelijk gegevensbeschermingstoezicht en voor mechanismen van samenwerking met de gegevensbeschermingsautoriteiten van de lidstaten en moeten de betrokkenen beschikken over daadwerkelijke en afdwingbare rechten en dienen zij effectief administratief beroep en beroep in rechte te kunnen instellen.
Afgezien van de internationale verplichtingen die het derde land of de internationale organisatie is aangegaan, dient de Commissie ook rekening te houden met de verplichtingen die voortvloeien uit de deelname van het derde land of de internationale organisatie aan multilaterale of regionale regelingen, in het bijzonder wat de bescherming van persoonsgegevens betreft, alsook met de nakoming van die verplichtingen. Meer bepaald moet rekening worden gehouden met de toetreding van het derde land tot het Verdrag van de Raad van Europa van 28 januari 1981 tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens en het bijbehorende Aanvullend Protocol. Bij de beoordeling van het beschermingsniveau in derde landen of internationale organisaties dient de Commissie overleg te plegen met het bij Verordening (EU) 2016/679 ingestelde Europees Comité voor gegevensbescherming (het „Comité”). De Commissie dient tevens rekening te houden met de relevante adequaatheidsbesluiten die zij overeenkomstig artikel 45 van Verordening (EU) 2016/679 heeft vastgesteld.
De Commissie dient toe te zien op de werking van besluiten over het beschermingsniveau in een derde land, een gebied of nader bepaalde sector in een derde land, of in een internationale organisatie. Bij haar adequaatheidsbesluiten dient de Commissie te voorzien in een mechanisme voor de periodieke evaluatie van de werking ervan. Die periodieke evaluatie dient in overleg met het derde land of de internationale organisatie in kwestie en met inachtneming van alle relevante ontwikkelingen in het derde land of de internationale organisatie te geschieden.
De Commissie dient tevens te kunnen erkennen dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie niet langer een adequaat gegevensbeschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens aan dat derde land of die internationale organisatie te worden verboden, tenzij aan de voorschriften van deze richtlijn met betrekking tot doorgiften is voldaan en met inachtneming van passende waarborgen en afwijkingen voor specifieke gevallen. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de derde landen of internationale organisaties in kwestie. De Commissie dient het derde land of de internationale organisatie tijdig op de hoogte te brengen van haar motivering en met de andere partij in overleg treden om de situatie te verhelpen.
Doorgiften die niet plaatsvinden op grond van een adequaatheidsbesluit mogen enkel worden toegestaan indien in een juridisch bindend instrument passende waarborgen voor de persoonsgegevensbescherming worden geboden, of indien de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende waarborgen voor de bescherming van persoonsgegevens worden geboden. Dergelijke juridisch bindende instrumenten zouden bijvoorbeeld juridisch bindende bilaterale overeenkomsten kunnen zijn die door de lidstaten zijn gesloten en in hun rechtsorde zijn geïmplementeerd en waarop de betrokkenen van die lidstaten zich zouden kunnen beroepen, en die de naleving van gegevensbeschermingsvoorschriften en de rechten van de betrokkenen waarborgen, waaronder het recht om administratief beroep of beroep in rechte in te stellen. De verwerkingsverantwoordelijke moet rekening kunnen houden met tussen Europol of Eurojust en derde landen gesloten samenwerkingsovereenkomsten die de uitwisseling van persoonsgegevens mogelijk maken wanneer de beoordeling van alle omstandigheden omtrent de gegevensdoorgifte wordt verricht. De verwerkingsverantwoordelijke moet er ook rekening mee kunnen houden dat de doorgifte van persoonsgegevens zal worden onderworpen aan verplichtingen inzake vertrouwelijkheid en aan het beginsel van specificiteit, om ervoor te zorgen dat de gegevens niet worden verwerkt voor andere doeleinden dan die waarvoor zij worden doorgegeven. Verder dient de verwerkingsverantwoordelijke in acht te nemen dat de persoonsgegevens niet zullen worden gebruikt om de doodstraf of enige vorm van wrede of onmenselijke behandeling te vorderen, uit te spreken of uit te voeren. Hoewel die voorwaarden kunnen worden bezien als passende waarborgen voor de overdracht van gegevens, moet de verwerkingsverantwoordelijke bijkomende waarborgen kunnen eisen.
Wanneer er geen adequaatheidsbesluit voorhanden is en geen passende waarborgen worden geboden, zou een doorgifte of een categorie van doorgiften slechts in specifieke situaties kunnen plaatsvinden, indien zulks noodzakelijk is: om de vitale belangen van de betrokkene of een andere persoon te beschermen of om legitieme belangen van de betrokkene te waarborgen indien het recht van de lidstaat die de persoonsgegevens doorgeeft aldus bepaalt; om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen; in een afzonderlijk geval, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten, de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of, in een afzonderlijk geval, met het oog op de vaststelling, de uitoefening of de onderbouwing van rechtsvorderingen. Die afwijkingen dienen beperkend te worden opgevat en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar dienen tot de strikt noodzakelijke gegevens te worden beperkt. Dergelijke doorgiften dienen te worden gedocumenteerd en op verzoek ter beschikking van de toezichthoudende autoriteit te worden gesteld zodat deze de rechtmatigheid van de doorgifte kan controleren.
De bevoegde autoriteiten van de lidstaten passen de vigerende bilaterale of multilaterale internationale overeenkomsten met derde landen op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking toe met het oog op de uitwisseling van relevante informatie voor het uitvoeren van de hun bij wet opgedragen taken. Deze uitwisseling vindt in beginsel plaats door samenwerking met, of ten minste met de medewerking van, de autoriteiten die in de betrokken derde landen bevoegd zijn voor de toepassing van deze richtlijn, soms zelfs zonder bilaterale of multilaterale internationale overeenkomst. In specifieke individuele gevallen kunnen de normale procedures die het contacteren van die autoriteit in het derde land voorschrijven, echter inefficiënt of ongepast zijn, met name omdat de doorgifte niet tijdig kon worden verricht of omdat de autoriteit in het derde land de rechtsstatelijkheid of de internationale mensenrechtennormen en -regels niet eerbiedigt, zodat de bevoegde autoriteiten van de lidstaten zouden kunnen beslissen de persoonsgegevens rechtstreeks aan in die derde landen gevestigde ontvangers door te geven. Dit kan het geval zijn wanneer doorgifte van persoonsgegevens dringend noodzakelijk is om het leven van een persoon die het slachtoffer van een strafbaar feit dreigt te worden, te redden of om een op handen zijnd misdrijf, waaronder terrorisme, te voorkomen. Niettegenstaande dat een dergelijke vorm van doorgifte tussen bevoegde autoriteiten en in derde landen gevestigde ontvangers voorbehouden moet blijven voor specifieke individuele gevallen, dient deze richtlijn te voorzien in voorwaarden om dergelijke gevallen te regelen. Die bepalingen mogen niet worden beschouwd als afwijkingen van bestaande bilaterale of multilaterale internationale overeenkomsten op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking. Die regels dienen te gelden naast de overige bepalingen van deze richtlijn, met name de bepalingen betreffende de rechtmatigheid van de verwerking en de bepalingen van hoofdstuk V.
Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor natuurlijke personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige bekendmaking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden klachten te behandelen of onderzoek te verrichten in verband met activiteiten in het buitenland. Daarnaast kunnen hun inspanningen met het oog op grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden en inconsistente rechtskaders. Daarom dient nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland.
Voor de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens is het van wezenlijk belang dat in de lidstaten toezichthoudende autoriteiten worden ingesteld die hun taken volstrekt onafhankelijk uitvoeren. De toezichthoudende autoriteiten dienen toe te zien op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en moeten bijdragen aan de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen op het vlak van verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.
De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) 2016/679 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren.
De lidstaten moeten de mogelijkheid hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over de financiële en personele middelen, dienstruimten en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. Iedere toezichthoudende autoriteit dient over een afzonderlijke openbare jaarbegroting te beschikken, die deel kan uitmaken van de algemene staats- of nationale begroting.
De toezichthoudende autoriteiten dienen te worden onderworpen aan onafhankelijke controle- of monitoringmechanismen betreffende hun financiële uitgaven, op voorwaarde dat die financiële controle geen afbreuk doet aan hun onafhankelijkheid.
De algemene voorwaarden voor het lid of de leden van de toezichthoudende autoriteit dienen in het lidstatelijke recht te worden vastgesteld en dienen met name te bepalen dat de leden moeten worden benoemd door het parlement dan wel de regering of het staatshoofd van de lidstaat op voordracht van de regering, een lid van de regering, het parlement of haar kamer, hetzij door een onafhankelijke instantie die krachtens het lidstatelijke recht middels een transparante procedure met de benoeming is belast. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het lid of dienen de leden van de toezichthoudende autoriteit integer te handelen, zich te onthouden van alle handelingen die onverenigbaar zijn met zijn of hun taken en gedurende zijn of hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden te verrichten die onverenigbaar zijn met zijn of hun taken. Om de onafhankelijkheid van de toezichthoudende autoriteit te waarborgen, dient het personeel door de toezichthoudende autoriteit te worden gekozen, met eventueel een interventie van een onafhankelijk instantie die krachtens het lidstatelijke recht met die taak is belast.
Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechten en andere rechterlijke autoriteiten, dient de competentie van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun taken, teneinde de onafhankelijkheid van rechters bij de uitvoering van hun gerechtelijke taken te vrijwaren. Die vrijstelling dient beperkt te blijven tot gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het lidstatelijke recht verrichten. De lidstaten moeten ook kunnen bepalen dat de bevoegdheid van de toezichthoudende autoriteit zich niet uitstrekt tot de verwerking van persoonsgegevens door andere onafhankelijke rechterlijke autoriteiten in het kader van hun gerechtelijke taken, bijvoorbeeld het openbaar ministerie. De naleving van de regels van deze richtlijn door gerechten en andere onafhankelijke rechterlijke autoriteiten is in elk geval altijd onderworpen aan onafhankelijk toezicht in overeenstemming met artikel 8, lid 3, van het Handvest.
Elke toezichthoudende autoriteit dient klachten die door een betrokkene zijn ingediend, in behandeling te nemen en dient de zaak te onderzoeken of deze door te zenden naar de bevoegde toezichthoudende autoriteit. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt.
Met het oog op efficiënte, betrouwbare en consequente monitoring van de naleving en handhaving van deze richtlijn in de gehele Unie krachtens het VWEU zoals uitgelegd door het Hof van Justitie, dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en feitelijke bevoegdheden te hebben, waaronder onderzoeksbevoegdheden, bevoegdheden tot het nemen van corrigerende maatregelen en adviesbevoegdheden die noodzakelijk zijn voor de uitvoering van hun taken. Hun bevoegdheden mogen echter geen afbreuk doen aan de specifieke regels voor strafrechtelijke procedures, met inbegrip van het onderzoek en de vervolging van strafbare feiten, of aan de onafhankelijkheid van de rechterlijke macht. Onverminderd de bevoegdheden die krachtens het lidstatelijke recht aan de met vervolging belaste autoriteiten zijn toegekend, dienen de toezichthoudende autoriteiten tevens de bevoegdheid te hebben inbreuken op deze richtlijn ter kennis van de rechterlijke autoriteiten te brengen of gerechtelijke procedures te voeren. De bevoegdheden van de toezichthoudende autoriteiten dienen in overeenstemming met passende in het Unierecht of het lidstatelijke recht vastgestelde procedurele waarborgen, op onpartijdige en eerlijke wijze en binnen een redelijke termijn te worden uitgeoefend. In het bijzonder dient elke maatregel passend, noodzakelijk en proportioneel te zijn met het oog op naleving van deze richtlijn en, rekening houdend met de omstandigheden van elk afzonderlijk geval, het recht te eerbiedigen van eenieder om te worden gehoord voordat een individuele maatregel wordt genomen die voor hem nadelige gevolgen zou hebben; verder dienen overbodige kosten en buitensporige ongemakken voor de persoon in kwestie te worden vermeden. Onderzoeksbevoegdheden betreffende toegang tot dienstruimten dienen overeenkomstig de specifieke voorschriften van het lidstatelijke recht, zoals een verplichte voorafgaande toestemming van een rechterlijke instantie, te worden uitgeoefend. De vaststelling van een juridisch bindend besluit dient te worden onderworpen aan rechterlijke toetsing in de lidstaat van de toezichthoudende autoriteit die het besluit heeft vastgesteld.
De toezichthoudende autoriteiten dienen elkaar te helpen bij de uitvoering van hun taken en wederzijdse bijstand te verlenen met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen.
Het Comité dient bij te dragen tot de consequente toepassing van deze richtlijn in de gehele Unie, onder meer door de Commissie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen.
Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij één toezichthoudende autoriteit en om overeenkomstig artikel 47 van het Handvest een doeltreffende voorziening in rechte in te stellen indien de betrokkene meent dat inbreuk is gemaakt op zijn rechten krachtens uit hoofde van deze richtlijn vastgestelde bepalingen, of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel afwijst, of niet optreedt wanneer zulk optreden voor de bescherming van de rechten van de betrokkene noodzakelijk is. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, strekt zich uit tot wat in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De bevoegde toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient aan de betrokkene tussentijdse informatie te worden verstrekt. Elke toezichthoudende autoriteit dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan ook worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.
Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om voor de bevoegde nationale rechterlijke instantie een doeltreffende voorziening in rechte in te stellen tegen een besluit van een toezichthoudende autoriteit dat ten aanzien van die persoon rechtsgevolgen heeft. Een dergelijk besluit heeft meer bepaald betrekking op de uitoefening door de toezichthoudende autoriteit van bevoegdheden in verband met onderzoek, corrigerende maatregelen en toestemming, of op de afwijzing van klachten. Dat recht geldt echter niet voor andere maatregelen van de toezichthoudende autoriteiten die niet juridisch bindend zijn, zoals standpunten en adviezen. Een vordering tegen een toezichthoudende autoriteit dient te worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit is gevestigd, en moet stroken met het recht van die lidstaat. Die gerechten dienen volledige rechtsmacht uit te oefenen, waaronder rechtsmacht om alle feitelijke en juridische vraagstukken in verband met het aanhangige geschil te onderzoeken.
Wanneer een betrokkene van oordeel is dat zijn rechten uit hoofde van deze richtlijn zijn geschonden, dient hij het recht te hebben een instantie die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel heeft en die volgens het recht van een lidstaat is opgericht, te machtigen om namens hem klacht in te dienen bij een toezichthoudende autoriteit en het recht op een voorziening in rechte uit te oefenen. Het recht van vertegenwoordiging van de betrokkenen mag geen afbreuk doen aan het lidstatelijke procesrecht op grond waarvan een verplichte vertegenwoordiging van de betrokkenen door een advocaat, zoals omschreven in Richtlijn 77/249/EEG van de Raad(10), voor de nationale rechter vereist kan zijn.
Alle schade die iemand kan lijden ten gevolge van een verwerking die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, moet worden vergoed door de verwerkingsverantwoordelijke of door een naar lidstatelijk recht bevoegde instantie. Het begrip „schade” moet ruim worden opgevat in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doeleinden van deze richtlijn. Dit laat eventuele vorderingen tot schadevergoeding wegens inbreuken op andere regels van het Unierecht of het lidstatelijke recht onverlet. Wanneer sprake is van een verwerking die onrechtmatig is of die inbreuk maakt op uit hoofde van deze richtlijn vastgestelde bepalingen, worden daarmee ook verwerkingen bedoeld die inbreuk maken op overeenkomstig deze richtlijn vastgestelde uitvoeringshandelingen. De betrokkenen dienen volledige en daadwerkelijke vergoeding van de door hen geleden schade te ontvangen.
Er dienen sancties te worden opgelegd aan de natuurlijke personen of rechtspersonen, ongeacht of deze personen onder het publiekrecht dan wel onder het privaatrecht vallen, die inbreuk maken op deze richtlijn. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en dienen alle maatregelen te nemen om de sancties ten uitvoer te leggen.
Met het oog op uniforme voorwaarden voor de uitvoering van deze richtlijn dienen aan de Commissie uitvoeringsbevoegdheden te worden verleend met betrekking tot het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie en het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité. Die bevoegdheden dienen te worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad(11).
De onderzoeksprocedure dient te worden toegepast voor de vaststelling van uitvoeringshandelingen inzake het adequate beschermingsniveau dat wordt geboden door een derde land, een gebied of nader bepaalde sector in een derde land, of door een internationale organisatie, en inzake het model en de procedures voor de wederzijdse bijstand en de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen de toezichthoudende autoriteiten en het Comité, aangezien dit handelingen van algemene strekking zijn.
Wanneer een derde land, een gebied of nader bepaalde sector in een derde land, dan wel een internationale organisatie niet langer een adequaat beschermingsniveau waarborgt, dient de Commissie in naar behoren gerechtvaardigde gevallen onmiddellijk toepasselijke uitvoeringshandelingen vast te stellen indien dit om dwingende redenen van urgentie is vereist.
Aangezien de doeleinden van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder het recht op de bescherming van hun persoonsgegevens, en het waarborgen van de vrije uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten alleen kunnen worden verwezenlijkt en, gezien de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie worden gerealiseerd, kan de Unie, overeenkomstig het in artikel 5 VEU neergelegde subsidiariteitsbeginsel, maatregelen treffen. Overeenkomstig het in datzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan nodig is om die doeleinden te verwezenlijken.
Specifieke bepalingen van handelingen van de Unie op het gebied van justitiële samenwerking in strafzaken of politiële samenwerking die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven, zoals de specifieke bepalingen inzake de bescherming van persoonsgegevens die worden toegepast uit hoofde van Besluit 2008/615/JBZ van de Raad(12), of artikel 23 van de Overeenkomst betreffende de wederzijdse rechtshulp in strafzaken tussen de lidstaten van de Europese Unie.(13) Aangezien artikel 8 van het Handvest en artikel 16 VWEU voorschrijven dat het grondrecht op bescherming van persoonsgegevens op een consequente manier in de Unie wordt gewaarborgd, dient de Commissie na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling of de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen. In voorkomend geval dient de Commissie voorstellen te doen om consistente rechtsregels met betrekking tot de verwerking van persoonsgegevens te waarborgen.
Teneinde een alomvattende en consequente bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de lidstaten vóór de datum van inwerkingtreding van deze richtlijn hebben gesloten en die stroken met het vóór die datum toepasselijke Unierecht van kracht te blijven totdat zij worden gewijzigd, vervangen of ingetrokken.
Voor de omzetting van deze richtlijn dienen de lidstaten te beschikken over een termijn van maximaal 2 jaar vanaf de datum van inwerkingtreding ervan. Verwerkingen die reeds gaande zijn op die datum dienen binnen twee jaar na de inwerkingtreding van deze richtlijn daarmee in overeenstemming te worden gebracht. Indien een dergelijke verwerking evenwel in overeenstemming is met het Unierecht dat vóór de datum van inwerkingtreding van deze richtlijn van toepassing is, mogen de voorschriften van deze richtlijn die betrekking hebben op de voorafgaande raadpleging van de toezichthoudende autoriteit, niet worden toegepast op de verwerkingsactiviteiten die reeds van vóór die datum gaande zijn, aangezien die voorschriften vanwege hun aard voorafgaand aan de verwerkingen dienen te worden vervuld. Wanneer de lidstaten van de langere omzettingsperiode die zeven jaar na de datum van inwerkingtreding van deze richtlijn verstrijkt, gebruikmaken teneinde te voldoen aan de registratieverplichtingen voor systemen voor geautomatiseerde verwerking die vóór die datum zijn opgezet, dient de verwerkingsverantwoordelijke of de verwerker te beschikken over efficiënte methoden, zoals logbestanden of andere vormen van registers, om de rechtmatigheid van de gegevensverwerking aan te tonen, interne controle mogelijk te maken en de integriteit en de beveiliging van gegevens te waarborgen.
Deze richtlijn laat de regels ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, als vastgesteld in Richtlijn 2011/93/EU van het Europees Parlement en de Raad(14), onverlet.
Kaderbesluit 2008/977/JBZ dient derhalve te worden ingetrokken.
Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het VEU en het VWEU, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel VWEU, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 VWEU vastgestelde bepalingen moeten worden nageleefd.
Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het VEU en het VWEU, zijn de in deze richtlijn vastgestelde regels in verband met de verwerking van persoonsgegevens door de lidstaten bij de uitvoering van activiteiten binnen het toepassingsgebied van de hoofdstukken 4 en 5 van titel V van het derde deel van het VWEU niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn voortbouwt op het Schengenacquis krachtens titel V van het derde deel van het VWEU, dient Denemarken overeenkomstig artikel 4 van het bovengenoemde protocol binnen een termijn van zes maanden na de vaststelling van deze richtlijn te beslissen of het deze in het nationale recht zal omzetten.
Wat IJsland en Noorwegen betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie en de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(15).
Wat Zwitserland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(16).
Wat Liechtenstein betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(17).
Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest, zoals vastgelegd in het VWEU, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van die rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te voldoen aan door de Unie erkende doeleinden van algemeen belang of aan de noodzaak van bescherming van de rechten en vrijheden van anderen.
Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van hun omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsmaatregelen wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van die stukken gerechtvaardigd.
De Europese Toezichthouder voor gegevensbescherming is overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 geraadpleegd en heeft op 7 maart 2012(18) advies uitgebracht.
Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, inzage, rectificatie of wissing van persoonsgegevens en verwerkingsbeperking in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen,
HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:
HOOFDSTUK I Algemene bepalingen
Artikel 1 Onderwerp en doelstellingen
Bij deze richtlijn worden de regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.
Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:
-
de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens te beschermen; en
-
erop toe te zien dat de uitwisseling van persoonsgegevens door bevoegde autoriteiten binnen de Unie, wanneer die uitwisseling bij het Unierecht of het recht van de lidstaten is vereist, niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
Deze richtlijn belet de lidstaten niet uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet voor de bescherming van de rechten en vrijheden van de betrokkene in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten.
Artikel 2 Toepassingsgebied
Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de doeleinden van artikel 1, lid 1.
Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:
-
in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen;
-
door instellingen, organen en instanties van de Unie.
Artikel 3 Definities
Voor de toepassing van deze richtlijn wordt verstaan onder:
- 1) „persoonsgegevens” :
- alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
- 2) „verwerking” :
- een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, bekendmaking door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
- 3) „verwerkingsbeperking” :
- het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;
- 4) „profilering” :
- elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
- 5) „pseudonimisering” :
- het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om te waarborgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;
- 6) „bestand” :
- elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;
- 7) „bevoegde autoriteit” :
-
-
iedere overheidsinstantie die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid; of
-
ieder ander orgaan dat of iedere andere entiteit die krachtens het lidstatelijke recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
-
- 8) „verwerkingsverantwoordelijke” :
- de bevoegde autoriteit die, alleen of samen met andere, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;
- 9) „verwerker” :
- een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt;
- 10) „ontvanger” :
- een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het lidstatelijke recht, gelden echter niet als ontvangers; bij de verwerking van die persoonsgegevens door die overheidsinstanties voldoet aan de toepasselijke gegevensbeschermingsregels overeenkomstig de doeleinden van de verwerking;
- 11) „inbreuk in verband met persoonsgegevens” :
- een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde bekendmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;
- 12) „genetische gegevens” :
- persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;
- 13) „biometrische gegevens” :
- persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;
- 14) „gezondheidsgegevens” :
- persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheidstoestand wordt gegeven;
- 15) „toezichthoudende autoriteit” :
- een door een lidstaat ingevolge artikel 41 ingestelde onafhankelijke overheidsinstantie;
- 16) „internationale organisatie” :
- een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen.