Aanhef

De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie (het ‘Handvest’) en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie (VWEU) heeft eenieder recht op bescherming van zijn persoonsgegevens. Dit recht wordt ook gewaarborgd door artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

Bij Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad (3) worden aan natuurlijke personen wettelijk afdwingbare rechten toegekend, worden de verplichtingen van verwerkingsverantwoordelijken binnen de instellingen en organen van de Unie met betrekking tot de verwerking van gegevens vastgesteld en wordt een onafhankelijke toezichthoudende autoriteit ingesteld, de Europese Toezichthouder voor gegevensbescherming, die belast wordt met het toezicht op de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Die verordening is echter niet van toepassing op de verwerking van persoonsgegevens door instellingen en organen van de Unie in het kader van buiten de werkingssfeer van het Unierecht vallende activiteiten.

Verordening (EU) 2016/679 van het Europees Parlement en de Raad (4) en Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad (5) zijn op 27 april 2016 vastgesteld. Bij de verordening worden algemene regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie, terwijl bij de richtlijn specifieke regels worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens in de Unie op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

Verordening (EU) 2016/679 schrijft de aanpassing van Verordening (EG) nr. 45/2001 voor om de Unie een sterk en coherent kader inzake gegevensbescherming ter beschikking te stellen en om het mogelijk te maken dat de aanpassing ervan gelijktijdig met Verordening (EU) 2016/679 kan worden toegepast.

In het belang van een samenhangende aanpak van de bescherming van persoonsgegevens in de gehele Unie en het vrije verkeer van persoonsgegevens binnen de Unie dienen de gegevensbeschermingsvoorschriften voor de instellingen, organen en instanties van de Unie zo veel mogelijk op één lijn te worden gebracht met de gegevensbeschermingsvoorschriften die voor de overheidssector in de lidstaten zijn vastgesteld. Wanneer de bepalingen van deze verordening dezelfde principes volgen als de bepalingen van Verordening (EU) 2016/679, dienen beide bepalingen overeenkomstig de rechtspraak van het Hof van Justitie van de Europese Unie (‘het Hof van Justitie’) homogeen te worden uitgelegd, in het bijzonder omdat gezien de opzet van deze verordening, zij moet worden opgevat als de tegenhanger van Verordening (EU) 2016/679.

Personen van wie de persoonsgegevens om welke reden ook door de instellingen of organen van de Unie worden verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen werkzaam zijn, moeten worden beschermd. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens van overledenen. Deze verordening heeft geen betrekking op de verwerking van persoonsgegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon.

Om te voorkomen dat een ernstig risico op omzeiling zou ontstaan, dient de bescherming van natuurlijke personen technologieneutraal te zijn en mag zij niet afhankelijk zijn van de gebruikte technologieën.

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door alle instellingen, organen en instanties van de Unie. Deze verordening dient van toepassing te zijn op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om daarin te worden opgenomen. Dossiers of een verzameling dossiers en de omslagen ervan die niet volgens specifieke criteria zijn gestructureerd, mogen niet onder het toepassingsgebied van deze verordening vallen.

In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de justitiële samenwerking in strafzaken en de politiële samenwerking, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens op basis van artikel 16 VWEU nodig zouden kunnen blijken. Een afzonderlijk hoofdstuk van deze verordening met algemene regels dient derhalve van toepassing te zijn op de verwerking van operationele persoonsgegevens, zoals persoonsgegevens die worden verwerkt met het oog op strafrechtelijk onderzoek door instellingen, organen of instanties van de Unie wanneer zij activiteiten uitvoeren op het gebied van justitiële samenwerking in strafzaken en de politiële samenwerking.

Richtlijn (EU) 2016/680 bevat geharmoniseerde voorschriften inzake de bescherming en het vrije verkeer van persoonsgegevens die verwerkt worden met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid. Teneinde ervoor te zorgen, dat voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau geldt door middel van in rechte afdwingbare rechten, en te voorkomen dat verschillen in dit verband de uitwisseling van persoonsgegevens tussen instellingen, organen of instanties van de Unie wanneer die activiteiten uitoefenen die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, en bevoegde autoriteiten hinderen, dienen de voorschriften betreffende de bescherming en het vrije verkeer van operationele persoonsgegevens die door dergelijke instellingen, organen of instanties van de Unie worden verwerkt, te stroken met Richtlijn (EU) 2016/680.

De in het afzonderlijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens opgenomen algemene regels dienen van toepassing te zijn zonder afbreuk te doen aan de specifieke regels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Dergelijke specifieke regels moeten worden beschouwd als een ‘lex specialis’ ten opzichte van de bepalingen in het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens (lex specialis derogat legi generali). Om juridische versnippering te verminderen dienen specifieke gegevensbeschermingsregels die van toepassing zijn op de verwerking van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, in overeenstemming te zijn met de beginselen die ten grondslag liggen aan het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens, alsook met de bepalingen van deze verordening met betrekking tot onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

Het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens moet van toepassing zijn op instellingen, organen en instanties van de Unie bij de uitvoering van activiteiten die onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, ongeacht of zij deze activiteiten als hun hoofd- of neventaken uitoefenen, met het oog op de voorkoming, de opsporing, het onderzoek of de vervolging van strafbare feiten. Het mag evenwel niet van toepassing zijn op Europol en het Europees Openbaar Ministerie voordat de rechtshandelingen tot oprichting van Europol en het Europees Openbaar Ministerie zijn gewijzigd, teneinde hierin het hierop toepasselijke hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, in zijn aangepaste vorm, op te nemen.

De Commissie moet deze verordening evalueren, met name het afzonderlijke hoofdstuk van deze verordening inzake de verwerking van operationele persoonsgegevens. De Commissie moet eveneens andere op basis van de Verdragen vastgestelde rechtshandelingen evalueren waarin de verwerking wordt geregeld van operationele persoonsgegevens door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen. Om een eenvormige en consequente bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens te waarborgen, moet de Commissie na deze evaluatie passende wetgevingsvoorstellen kunnen indienen, waaronder nodige aanpassingen van het hoofdstuk van deze verordening over de verwerking van operationele persoonsgegevens, teneinde het toe te passen op Europol en op het Europees Openbaar Ministerie. Bij de aanpassingen moet rekening worden gehouden met bepalingen inzake onafhankelijk toezicht, beroep, aansprakelijkheid en sancties.

De verwerking van administratieve persoonsgegevens, zoals personeelsgegevens, door instellingen, organen of instanties van de Unie bij de uitvoering van activiteiten die binnen het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallen, moeten door deze verordening worden bestreken.

Deze verordening dient van toepassing te zijn op de verwerking van persoonsgegevens door instellingen, organen of instanties van de Unie die activiteiten verrichten die onder hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie (VEU) vallen. Deze verordening mag niet van toepassing zijn op de verwerking van persoonsgegevens door missies bedoeld in artikel 42, lid 1, en de artikelen 43 en 44 van het VEU, waarbij het gemeenschappelijk veiligheids- en defensiebeleid ten uitvoer wordt gelegd. Waar passend moeten relevante voorstellen worden gedaan om de verwerking van persoonsgegevens op het gebied van het gemeenschappelijk veiligheids- en defensiebeleid verder te reguleren.

De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare natuurlijke persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs te verwachten valt dat zij door de verwerkingsverantwoordelijke of door een andere persoon zullen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, zoals selectietechnieken. Om uit te maken of redelijkerwijs te verwachten valt dat middelen zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd die nodig zijn voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen. De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische of onderzoeksdoeleinden.

De toepassing van pseudonimisering op persoonsgegevens kan de risico's voor de betrokkenen verminderen en de verwerkingsverantwoordelijken en de verwerkers helpen om hun verplichtingen inzake gegevensbescherming na te komen. De uitdrukkelijke invoering van ‘pseudonimisering’ in deze verordening is niet bedoeld om andere gegevensbeschermingsmaatregelen uit te sluiten.

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Eventueel achtergelaten sporen kunnen, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te identificeren.

Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend. Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie. Tegelijkertijd moet de betrokkene het recht hebben de toestemming te allen tijde in te trekken zonder dat dit afbreuk doet aan de rechtmatigheid van de verwerking die gebaseerd werd op toestemming vóór de intrekking daarvan. Om ervoor te zorgen dat toestemming vrijelijk wordt verleend, mag toestemming geen geldige rechtsgrond zijn voor de verwerking van persoonsgegevens in een specifiek geval wanneer er een duidelijke onevenwichtigheid bestaat tussen de betrokkene en de verwerkingsverantwoordelijke, en dit het onwaarschijnlijk maakt dat de toestemming in alle omstandigheden van die specifieke situatie vrijelijk is verleend. Op het moment van gegevensverzameling is het vaak niet mogelijk om het doel van de gegevensverwerking ten behoeve van wetenschappelijk onderzoek volledig te omschrijven. Daarom moet de betrokkenen worden toegestaan hun toestemming te geven voor bepaalde terreinen van wetenschappelijk onderzoek, mits erkende ethische normen voor wetenschappelijk onderzoek in acht worden genomen. Betrokkenen moeten een mogelijkheid gelegenheid krijgen om hun toestemming alleen te geven voor bepaalde onderzoeksterreinen of onderdelen van onderzoeksprojecten, voor zover het voorgenomen doel zulks toelaat.

Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Met name dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt expliciet en legitiem te zijn, en te worden vastgesteld op het ogenblik dat de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat de persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van de gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of ongeoorloofd gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt en ter voorkoming van ongeoorloofde bekendmaking tijdens de doorzending van.

Overeenkomstig het verantwoordingsbeginsel dienen instellingen en organen van de Unie, wanneer zij persoonsgegevens doorzenden binnen dezelfde instelling of hetzelfde orgaan van de Unie en de ontvanger geen deel uitmaakt van de verwerkingsverantwoordelijke, of naar andere instellingen of organen van de Unie, na te gaan of die persoonsgegevens noodzakelijk zijn voor de rechtmatige uitoefening van taken die onder de bevoegdheid van de ontvanger vallen. Met name dient de verwerkingsverantwoordelijke, indien hij een verzoek om doorzending van persoonsgegevens krijgt, na te gaan of er een relevante grondslag voor de rechtmatige verwerking van de persoonsgegevens door de ontvanger daarvan bestaat en wat de bevoegdheid van de ontvanger is. De verwerkingsverantwoordelijke dient ook een voorlopige beoordeling te verrichten van de noodzaak van de doorzending van de gegevens. Bij twijfel over de noodzaak dient de verwerkingsverantwoordelijke de ontvanger om nadere toelichting te vragen. De ontvanger dient er zorg voor te dragen dat de noodzaak van de doorzending van de gegevens achteraf kan worden geverifieerd.

De verwerking van persoonsgegevens is slechts rechtmatig indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang door de instellingen of organen van de Unie of de uitoefening van hun openbaar gezag, dan wel voor de vervulling van een wettelijke verplichting van de verwerkingsverantwoordelijke, of indien er voor de verwerking een andere gerechtvaardigde grondslag op grond van deze verordening bestaat, zoals de toestemming van de betrokkene, indien de verwerking noodzakelijk is om een overeenkomst uit te voeren waarbij de betrokkene partij is of om op verzoek van de betrokkene voorafgaand aan het aangaan van een overeenkomst maatregelen te nemen. De verwerking van persoonsgegevens voor de vervulling van de taken die door de instellingen of organen van de Unie in het algemeen belang worden verricht, omvat de verwerking van de voor het beheer en de werking van die instellingen en organen benodigde persoonsgegevens. De verwerking van persoonsgegevens dient ook als rechtmatig te worden beschouwd indien zij noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of dat van een andere natuurlijke persoon essentieel is. Verwerking van persoonsgegevens op grond van het vitale belang van een andere natuurlijke persoon is in beginsel alleen toegestaan indien de verwerking kennelijk niet op een andere rechtsgrond kan worden gebaseerd. Sommige typen persoonsgegevensverwerking kunnen zowel gewichtige redenen van algemeen belang als de vitale belangen van de betrokkene dienen, bijvoorbeeld wanneer de verwerking noodzakelijk is voor humanitaire doeleinden, onder meer voor het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen.

De Unierechtelijke bepaling waarnaar in deze verordening wordt verwezen, moet duidelijk en nauwkeurig zijn en de toepassing ervan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

De in deze verordening bedoelde interne voorschriften moeten duidelijke en precieze handelingen van algemene strekking zijn, waarmee rechtsgevolgen jegens betrokkenen worden beoogd. Zij moeten zijn vastgesteld op het hoogste beheerniveau van de instellingen en organen van de Unie binnen hun bevoegdheidssfeer en in aangelegenheden die verband houden met hun werking. Zij moeten worden bekendgemaakt in het Publicatieblad van de Europese Unie. De toepassing van deze voorschriften moet voorspelbaar zijn voor degenen op wie zij van toepassing zijn, overeenkomstig de vereisten in het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Interne voorschriften kunnen de vorm aannemen van besluiten, met name wanneer zij zijn vastgesteld door instellingen van de Unie.

De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met aanvankelijke doeleinden verenigbare rechtmatige verwerkingen worden beschouwd. De Unierechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventueel verband tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld, met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.

Indien de verwerking plaatsvindt op grond van de toestemming van de betrokkene, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. In overeenstemming met Richtlijn 93/13/EEG van de Raad (6) stelt de verwerkingsverantwoordelijke vooraf een verklaring van toestemming op in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal; deze verklaring mag geen oneerlijke bedingen bevatten. Van geïnformeerde toestemming van de betrokkene kan slechts sprake zijn indien deze ten minste bekend is met de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking van de persoonsgegevens. Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen werkelijke of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

Kinderen hebben met betrekking tot hun persoonsgegevens recht op specifieke bescherming, aangezien zij zich wellicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen en van hun rechten in verband met de verwerking van persoonsgegevens. Die specifieke bescherming moet met name gelden voor het opstellen van persoonlijkheidsprofielen en het verzamelen van persoonsgegevens over kinderen bij diensten die op websites van instellingen of organen van de Unie rechtstreeks aan kinderen worden aangeboden, zoals diensten voor interpersoonlijke communicatie of de onlineverkoop van tickets, en de verwerking van persoonsgegevens op toestemming berust.

Wanneer in de Unie gevestigde ontvangers, die geen instellingen of organen van de Unie zijn, wensen dat instellingen of organen van de Unie persoonsgegevens aan hen doorzenden, moeten die ontvangers aantonen dat de doorzending van gegevens noodzakelijk is voor de uitvoering van hun taak die wordt verricht in het openbaar belang of bij de uitoefening van het hun verleende openbaar gezag. Een andere optie is dat de ontvangers moeten aantonen dat de doorzending noodzakelijk is voor een specifiek doel in het openbaar belang, terwijl de verwerkingsverantwoordelijke moet vaststellen of er reden bestaat om aan te nemen dat de legitieme belangen van de betrokkene zouden worden geschaad. In dit geval dient de verwerkingsverantwoordelijke de verschillende belangen die aan de orde zijn aantoonbaar tegen elkaar af te wegen om te beoordelen of de gevraagde doorzending van persoonsgegevens noodzakelijk en evenredig is. Het specifiek doel in het openbaar belang kan verband houden met de transparantie van de instellingen en organen van de Unie. Overeenkomstig het beginsel van transparantie en goed bestuur dienen instellingen of organen van de Unie die noodzaak voorts aan te tonen indien zijzelf het initiatief nemen voor de doorzending. De in deze verordening vastgestelde vereisten voor doorzendingen aan in de Unie gevestigde ontvangers die geen instellingen of organen van de Unie zijn, moeten worden begrepen als aanvulling op de voorwaarden voor rechtmatige verwerking.

Persoonsgegevens die door hun aard bijzonder gevoelig zijn wat betreft de grondrechten en fundamentele vrijheden verdienen specifieke bescherming aangezien de context van de verwerking ervan aanzienlijke risico's voor de grondrechten en fundamentele vrijheden kan meebrengen. Dergelijke persoonsgegevens mogen niet verwerkt worden tenzij aan de in deze verordening vastgelegde specifieke voorwaarden is voldaan. Die persoonsgegevens dienen ook persoonsgegevens te omvatten waaruit ras of etnische afkomst blijkt, waarbij het gebruik van de term ‘ras’ in deze verordening niet impliceert dat de Unie theorieën aanvaardt die erop gericht zijn vast te stellen dat er verschillende menselijke rassen bestaan. De verwerking van foto's mag niet systematisch worden beschouwd als verwerking van bijzondere categorieën persoonsgegevens, aangezien foto's alleen onder de definitie van biometrische gegevens vallen wanneer zij worden verwerkt met behulp van bepaalde technische middelen die de unieke identificatie of authenticatie van een natuurlijke persoon mogelijk maken. Naast de specifieke voorschriften voor de verwerking van gevoelige gegevens dienen de algemene beginselen en andere regels van deze verordening te worden toegepast, met name wat betreft de voorwaarden voor rechtmatige verwerking. Er moet onder meer uitdrukkelijk in afwijkingen van het algemene verbod op de verwerking van die bijzondere categorieën persoonsgegevens worden voorzien ingeval de betrokkene zijn uitdrukkelijke toestemming geeft of in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken.

Bijzondere categorieën persoonsgegevens waarvoor betere bescherming is vereist, mogen alleen voor gezondheidsdoeleinden worden verwerkt indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van bijzondere categorieën van persoonsgegevens over de gezondheid, in geval van specifieke behoeften, met name indien deze gegevens met het oog op bepaalde gezondheidsdoeleinden worden verwerkt door personen die wettelijk aan het beroepsgeheim gebonden zijn. Het Unierecht moet voorzien in specifieke en passende maatregelen voor de bescherming van grondrechten en de persoonsgegevens van natuurlijke personen.

Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om bijzondere categorieën persoonsgegevens zonder toestemming van de betrokkene te verwerken. Die verwerking moet worden onderworpen aan passende en specifieke maatregelen ter bescherming van de rechten en vrijheden van natuurlijke personen. In dit verband dient ‘volksgezondheid’ overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad (7) te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt.

Indien een verwerkingsverantwoordelijke aan de hand van de door hem verwerkte persoonsgegevens geen natuurlijke persoon kan identificeren, mag hij niet worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende gegevens te verkrijgen ter identificatie van de betrokkene. De verwerkingsverantwoordelijke mag evenwel niet weigeren de door de betrokkene tot staving van de uitoefening van zijn rechten verstrekte aanvullende gegevens aan te nemen. Onder identificatie wordt ook de digitale identificatie van de betrokkene verstaan, bijvoorbeeld door middel van een authenticatiemechanisme zoals dezelfde persoonlijke beveiligingsgegevens die de betrokkene gebruikt voor het aanmelden op de door de verwerkingsverantwoordelijke aangeboden onlinedienst.

De verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, dient onderworpen te zijn aan passende waarborgen voor de rechten en vrijheden van de betrokkenen op grond van deze verordening. Die waarborgen dienen ervoor te zorgen dat technische en organisatorische maatregelen worden getroffen om met name de inachtneming van het beginsel van gegevensminimalisering te verzekeren. Voorafgaand aan de verdere verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de verwerkingsverantwoordelijke te hebben beoordeeld of deze doeleinden te verwezenlijken zijn door persoonsgegevens te verwerken op basis waarvan de betrokkenen niet of niet meer geïdentificeerd kunnen worden, op voorwaarde dat passende waarborgen bestaan, zoals de pseudonimisering van de persoonsgegevens. instellingen en organen van de Unie dienen in het Unierecht passende waarborgen te bieden voor de verwerking van persoonsgegevens met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, hetgeen door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking kan omvatten.

Er dienen regelingen voorhanden te zijn om de betrokkene in staat te stellen zijn rechten uit hoofde van deze verordening gemakkelijker uit te oefenen, zoals mechanismen om te verzoeken om met name inzage in en rectificatie of wissing van persoonsgegevens en deze in voorkomend geval kosteloos te verkrijgen, alsmede om het recht van bezwaar uit te oefenen. De verwerkingsverantwoordelijke dient ook middelen beschikbaar te stellen om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. De verwerkingsverantwoordelijke dient te worden verplicht onverwijld, en ten laatste binnen een maand, op verzoeken van de betrokkene te reageren, en de redenen op te geven voor een eventuele voorgenomen weigering om aan dergelijke verzoeken gehoor te geven.

Overeenkomstig de beginselen van behoorlijke en transparante verwerking moet de betrokkene op de hoogte worden gesteld van het feit dat verwerking plaatsvindt en van de doeleinden daarvan. De verwerkingsverantwoordelijke dient de betrokkene alle nadere informatie te verstrekken die noodzakelijk is om behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt. Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Die informatie kan met behulp van gestandaardiseerde iconen worden verstrekt, teneinde op goed zichtbare, begrijpelijke en duidelijk leesbare wijze een overzicht van de voorgenomen verwerking te geven. Elektronisch weergegeven iconen moeten machineleesbaar zijn.

De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem te worden meegedeeld bij het verzamelen van de gegevens bij de betrokkene of, indien de gegevens uit een andere bron zijn verkregen, binnen een redelijke termijn, die afhangt van de omstandigheden van het geval. Wanneer persoonsgegevens rechtmatig aan een andere ontvanger kunnen worden verstrekt, dient de betrokkene te worden meegedeeld wanneer de persoonsgegevens voor het eerst aan de ontvanger worden verstrekt. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens te verwerken met een ander doel dan dat waarvoor zij zijn verzameld, moet de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en andere noodzakelijke informatie verstrekken. Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt.

Betrokkenen moeten het recht hebben om de persoonsgegevens die over hen zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat zij zich van de verwerking op de hoogte kunnen stellen en de rechtmatigheid daarvan kunnen controleren. Dit houdt ook in dat betrokkenen het recht dienen te hebben op inzage in gegevens betreffende hun gezondheid, zoals de gegevens in hun medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen. Betrokkenen dienen dan ook het recht te hebben om te weten en te worden meegedeeld voor welke doeleinden de persoonsgegevens worden verwerkt, indien mogelijk hoe lang zij worden bewaard, wie de persoonsgegevens ontvangt, welke logica er ten grondslag ligt aan een eventuele automatische verwerking van de persoonsgegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen van een dergelijke verwerking zijn. Dat recht mag geen afbreuk doen aan de rechten of vrijheden van anderen, met inbegrip van bedrijfsgeheimen of intellectuele eigendom en met name het auteursrecht dat de software beschermt. Die overwegingen mogen echter niet ertoe leiden dat betrokkenen alle informatie wordt onthouden. Wanneer de verwerkingsverantwoordelijke een grote hoeveelheid gegevens betreffende de betrokkene verwerkt, moet hij de betrokkene voorafgaand aan de informatieverstrekking kunnen verzoeken om te preciseren op welke informatie of welke verwerkingsactiviteiten het verzoek betrekking heeft.

Betrokkenen moeten het recht hebben om hen betreffende persoonsgegevens te laten rectificeren en dienen te beschikken over een ‘recht op vergetelheid’ wanneer de bewaring van dergelijke gegevens inbreuk maakt op deze verordening of op Unierecht dat op de verwerkingsverantwoordelijke van toepassing is. Dit houdt in dat betrokkenen het recht moeten hebben hun persoonsgegevens te laten wissen en niet verder te laten verwerken wanneer de persoonsgegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, wanneer de betrokkenen hun toestemming hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of wanneer de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is met name relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico's van de verwerking, en hij dergelijke persoonsgegevens later wil verwijderen, met name van internet. Betrokkenen dienen dat recht te kunnen uitoefenen niettegenstaande het feit dat zij geen kind meer zijn. Het dient echter rechtmatig te zijn persoonsgegevens langer te bewaren wanneer dat noodzakelijk is voor de uitoefening van het recht op vrijheid van meningsuiting en van informatie, voor de nakoming van een wettelijke verplichting, voor de uitvoering van een taak in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, om redenen van algemeen belang op het vlak van volksgezondheid, met het oog op archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doeleinden of voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

Ter versterking van het recht op vergetelheid in de onlineomgeving, dient het recht op wissing te worden uitgebreid door de verwerkingsverantwoordelijke die persoonsgegevens openbaar heeft gemaakt te verplichten de verwerkingsverantwoordelijken die deze persoonsgegevens verwerken, ervan op de hoogte te stellen dat de betrokkene heeft verzocht om het wissen van links naar, of kopieën of reproducties van die persoonsgegevens. Die verwerkingsverantwoordelijke dient daarbij, met inachtneming van de beschikbare technologie en de middelen waarover hij beschikt, redelijke maatregelen te nemen, waaronder technische maatregelen, om de verwerkingsverantwoordelijken die de persoonsgegevens verwerken, over het verzoek van de betrokkene te informeren.

Tot de methoden ter beperking van de verwerking van persoonsgegevens zou kunnen behoren dat de geselecteerde persoonsgegevens tijdelijk naar een ander verwerkingssysteem worden overgebracht, dat de geselecteerde gegevens voor gebruikers niet beschikbaar worden gemaakt of dat gepubliceerde gegevens tijdelijk van een website worden verwijderd. In geautomatiseerde bestanden moet in beginsel met technische middelen worden gezorgd voor een zodanige beperking van de verwerking van persoonsgegevens dat de persoonsgegevens niet verder kunnen worden verwerkt en niet kunnen worden gewijzigd. Het feit dat de verwerking van persoonsgegevens beperkt is, moet duidelijk in het bestand zijn aangegeven.

Om de zeggenschap over hun eigen gegevens verder te versterken, dienen betrokkenen wanneer de persoonsgegevens via geautomatiseerde procedés worden verwerkt, ook de mogelijkheid te hebben de hen betreffende persoonsgegevens die zij aan een verwerkingsverantwoordelijke hebben verstrekt, in een gestructureerd, gangbaar, machineleesbaar en interoperabel formaat te verkrijgen en die aan een andere verwerkingsverantwoordelijke door te zenden. Verwerkingsverantwoordelijken dienen ertoe te worden aangemoedigd interoperabele formaten te ontwikkelen die gegevensoverdraagbaarheid mogelijk maken. Dit recht dient te gelden wanneer betrokkenen persoonsgegevens hebben verstrekt door hun toestemming te geven of wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Derhalve mag dit recht niet gelden indien de verwerking van de persoonsgegevens nodig is voor de vervulling van een op de verwerkingsverantwoordelijke rustende wettelijke verplichting, dan wel voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend. Het recht van betrokkenen om hen betreffende persoonsgegevens door te zenden of te ontvangen, mag voor verwerkingsverantwoordelijken geen verplichting doen ontstaan om technisch compatibele systemen voor gegevensverwerking op te zetten of bij te houden. Wanneer een bepaalde verzameling persoonsgegevens op meer dan één betrokkene betrekking heeft, moet het recht om de persoonsgegevens te ontvangen de rechten en vrijheden van andere betrokkenen overeenkomstig deze verordening onverlet laten. Voorts mag dit recht niet afdoen aan het recht van betrokkenen om hun persoonsgegevens te laten wissen en aan de beperkingen die in deze verordening aan dat recht zijn gesteld, en mag het in het bijzonder niet inhouden dat de hen betreffende persoonsgegevens die betrokkenen ter uitvoering van een overeenkomst hebben verstrekt, voor zover en zolang de persoonsgegevens noodzakelijk zijn voor de uitvoering van die overeenkomst, worden gewist. Voor zover dit technisch haalbaar is, moeten betrokkenen het recht hebben om de gegevens direct van een verwerkingsverantwoordelijke naar een andere verwerkingsverantwoordelijke te laten doorzenden.

Wanneer persoonsgegevens rechtmatig mogen worden verwerkt omdat de verwerking nodig is ter vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, dienen betrokkenen niettemin bezwaar te kunnen maken tegen de verwerking van gegevens die op hun specifieke situatie betrekking hebben. Verwerkingsverantwoordelijken moeten aantonen dat hun dwingende gerechtvaardigde belangen wellicht zwaarder wegen dan de belangen of de grondrechten en de fundamentele vrijheden van betrokkenen.

Betrokkenen dienen het recht te hebben niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit — dat een maatregel kan behelzen — over persoonlijke hen betreffende aspecten, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen op vergelijkbare wijze aanmerkelijk treft, zoals verwerking van sollicitaties via internet zonder menselijke tussenkomst. Een verwerking van die aard omvat ‘profilering’, waaronder wordt verstaan de geautomatiseerde verwerking van persoonsgegevens ter beoordeling van persoonlijke aspecten van een natuurlijke persoon, met name om kenmerken betreffende beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van de betrokkene te analyseren of te voorspellen, wanneer daaraan voor hem rechtsgevolgen zijn verbonden of dat hem op vergelijkbare wijze aanmerkelijk treft.

Besluitvorming op basis van een dergelijke verwerking, met inbegrip van profilering, dient echter wel mogelijk te zijn wanneer deze uitdrukkelijk is toegestaan bij het Unierecht. In ieder geval moeten voor dergelijke verwerking passende waarborgen worden geboden, waaronder specifieke informatie aan de betrokkene en het recht op menselijke tussenkomst, om zijn standpunt kenbaar te maken, om uitleg over de na een dergelijke beoordeling genomen besluit te krijgen en om het besluit aan te vechten. Een dergelijke maatregel mag geen betrekking hebben op een kind. Teneinde een voor de betrokkene behoorlijke en transparante verwerking te garanderen waarbij rekening wordt gehouden met de concrete omstandigheden en de context waarin de persoonsgegevens worden verwerkt, dient de verwerkingsverantwoordelijke voor de profilering passende wiskundige en statistische procedures te hanteren en technische en organisatorische maatregelen te treffen waarmee factoren die aanleiding geven tot onjuistheden van persoonsgegevens worden gecorrigeerd en het risico op fouten wordt geminimaliseerd, en de persoonsgegevens zodanig te bewaren dat rekening wordt gehouden met de potentiële risico's voor de belangen en rechten van de betrokkene en dat onder meer wordt voorkomen dat zulks voor natuurlijke personen discriminerende gevolgen zou hebben op grond van ras of etnische afkomst, politieke overtuiging, godsdienst of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische of gezondheidsstatus, of seksuele gerichtheid, of gevolgen zou hebben die leiden tot maatregelen met een vergelijkbaar effect. Geautomatiseerde besluitvorming en profilering op basis van bijzondere categorieën persoonsgegevens mogen uitsluitend op specifieke voorwaarden worden toegestaan.

Bij rechtshandelingen die gebaseerd zijn op Verdragen of bij interne voorschriften die zijn vastgesteld door instellingen en organen van de Unie in aangelegenheden die verband houden met hun werking, kunnen beperkingen worden gesteld aan de specifieke beginselen en het recht op informatie, inzage en rectificatie of wissing van persoonsgegevens, het recht op gegevensoverdraagbaarheid, de vertrouwelijkheid van elektronischecommunicatiegegevens en de melding aan de betrokkene van een inbreuk in verband met persoonsgegevens en bepaalde daarmee verband houdende verplichtingen van de verwerkingsverantwoordelijken, voor zover dat in een democratische samenleving noodzakelijk en evenredig is voor de bescherming van de openbare veiligheid, voor de voorkoming, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid, waaronder de bescherming van het menselijk leven, met name bij natuurrampen of door de mens veroorzaakte rampen, voor de interne veiligheid van de instellingen en organen van de Unie, voor de bescherming van andere belangrijke doelstellingen van algemeen en openbaar belang in de Unie of een lidstaat, met name de doelstellingen van het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie of een gewichtig economisch of financieel belang van de Unie of een lidstaat, voor het houden van openbare registers die nodig zijn om redenen van algemeen belang, en voor de bescherming van betrokkenen of de rechten en vrijheden van anderen, met inbegrip van sociale bescherming, volksgezondheid en humanitaire doeleinden.

Voor elke verwerking van persoonsgegevens die door of namens de verwerkingsverantwoordelijke wordt uitgevoerd, moeten de verantwoordelijkheid en de aansprakelijkheid van de verwerkingsverantwoordelijke worden vastgesteld. Meer bepaald dient de verwerkingsverantwoordelijke te worden verplicht passende en effectieve maatregelen uit te voeren en te kunnen aantonen dat elke verwerkingsactiviteit overeenkomstig deze verordening geschiedt, ook wat betreft de doeltreffendheid van de maatregelen. Bij die maatregelen moet rekening worden gehouden met de aard, de omvang, de context en het doel van de verwerking en het risico voor de rechten en vrijheden van natuurlijke personen.

Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personen kan voortvloeien uit persoonsgegevensverwerking die kan resulteren in lichamelijke, materiële of immateriële schade, met name: wanneer de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer persoonsgegevens worden verwerkt waaruit ras of etnische afkomst, politieke opvattingen, religie of levensbeschouwelijke overtuigingen, of vakbondslidmaatschap blijkt, en bij de verwerking van genetische gegevens of gegevens over gezondheid, seksueel gedrag of strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen; wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt, of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

De waarschijnlijkheid en de ernst van het risico voor de rechten en vrijheden van de betrokkene moeten worden bepaald onder verwijzing naar de aard, de omvang, de context en de doeleinden van de verwerking. Het risico moet worden bepaald op basis van een objectieve beoordeling van de vraag of de verwerking van gegevens gepaard gaat met een risico of een hoog risico.

Ter bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens zijn passende technische en organisatorische maatregelen nodig om te waarborgen dat aan de voorschriften van deze verordening wordt voldaan. Om de naleving van deze verordening aan te kunnen tonen, moet de verwerkingsverantwoordelijke interne beleidsmaatregelen nemen en maatregelen toepassen die voldoen aan met name de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Dergelijke maatregelen kunnen onder meer bestaan in het minimaliseren van de verwerking van persoonsgegevens, het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, het zorgen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren. De beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen moeten ook bij openbare aanbestedingen in aanmerking worden genomen.

In Verordening (EU) 2016/679 is bepaald dat verwerkingsverantwoordelijken de naleving van die verordening moeten aantonen door zich aan te sluiten bij een goedgekeurde certificeringsregeling. Ook de instellingen en organen van de Unie moeten de naleving van deze verordening kunnen aantonen door certificering te verkrijgen overeenkomstig artikel 42 van Verordening (EU) 2016/679.

Voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van verwerkingsverantwoordelijken en verwerkers is het noodzakelijk dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegewezen, ook wanneer de verwerkingsverantwoordelijke de doeleinden en de middelen voor de verwerking samen met andere verwerkingsverantwoordelijken vaststelt, of wanneer een verwerking ten behoeve van een verwerkingsverantwoordelijke wordt uitgevoerd.

Teneinde te waarborgen dat met betrekking tot de verwerking die door de verwerker ten behoeve van de verwerkingsverantwoordelijke moet worden verricht, aan de voorschriften van deze verordening wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij een verwerker verwerkingsactiviteiten toevertrouwt, alleen een beroep doen op verwerkers die voldoende garanties bieden, met name op het gebied van deskundigheid, betrouwbaarheid en middelen, om ervoor te zorgen dat de technische en organisatorische maatregelen beantwoorden aan de voorschriften van deze verordening, mede wat de beveiliging van de verwerking betreft. Het feit dat verwerkers, andere dan instellingen en organen van de unie, zich aansluiten bij een goedgekeurde gedragscode of bij een goedgekeurde certificeringsregeling kan worden gebruikt als een element om aan te tonen dat aan de verplichtingen van de verwerkingsverantwoordelijke wordt voldaan. De uitvoering van de verwerking door een verwerker die geen instelling of orgaan van de Unie is, dient te worden geregeld in een overeenkomst of, ingeval instellingen of organen van de Unie als verwerkers optreden, door een overeenkomst of andere rechtshandeling krachtens het Unierecht waardoor de verwerker aan de verwerkingsverantwoordelijke gebonden is, en die een nadere omschrijving omvat van het onderwerp en de duur van de verwerking, de aard en de doeleinden van de verwerking, het soort persoonsgegevens en de categorieën betrokkenen, en dient rekening te houden met de specifieke taken en verantwoordelijkheden van de verwerker in het kader van de te verrichten verwerking en het risico in verband met de rechten en vrijheden van betrokkenen. De verwerkingsverantwoordelijke en de verwerker dienen te kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door de Europese Toezichthouder voor gegevensbescherming en vervolgens door de Commissie worden vastgesteld. Na de voltooiing van de verwerking ten behoeve van de verwerkingsverantwoordelijke dient de verwerker, naargelang de wens van de verwerkingsverantwoordelijke, de persoonsgegevens terug te geven of te wissen, tenzij het Unierecht of het lidstatelijke recht dat op de verwerker van toepassing is, de verplichting oplegt die persoonsgegevens op te slaan.

Om de naleving van deze verordening aan te kunnen tonen, dienen verwerkingsverantwoordelijken een register bij te houden van verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden en dienen verwerkers een register bij te houden van de categorieën verwerkingsactiviteiten die onder hun verantwoordelijkheid hebben plaatsgevonden. De instellingen en organen van de Unie dienen ertoe te worden verplicht medewerking te verlenen aan de Europese Toezichthouder voor gegevensbescherming en deze desgevraagd hun registers te verstrekken met het oog op het gebruik daarvan voor het toezicht op die verwerkingen. De instellingen en organen van de Unie dienen in staat te worden gesteld een centraal register van hun verwerkingsactiviteiten op te zetten, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Omwille van de transparantie moeten zij dit register openbaar kunnen maken.

Teneinde de veiligheid te waarborgen en te voorkomen dat de verwerking inbreuk maakt op deze verordening, dient de verwerkingsverantwoordelijke of de verwerker de aan de verwerking inherente risico's te beoordelen en maatregelen, zoals versleuteling, te treffen om die risico's te beperken. Die maatregelen dienen een passend niveau van beveiliging, met inbegrip van vertrouwelijkheid, te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten afgezet tegen de risico's en de aard van de te beschermen persoonsgegevens. Bij de beoordeling van de gegevensbeveiligingsrisico's dient aandacht te worden besteed aan risico's die zich voordoen bij persoonsgegevensverwerking, zoals vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of ongeoorloofde inzage in de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, met name indien daaruit lichamelijke, materiële of immateriële schade kan voortkomen.

De instellingen en organen van de Unie dienen de vertrouwelijkheid van de elektronische communicatie te waarborgen, zoals bepaald in artikel 7 van het Handvest. Met name dienen de instellingen en organen van de Unie de beveiliging van hun elektronische communicatienetwerken te waarborgen. Zij dienen de informatie betreffende de eindapparatuur van eindgebruikers die voor het publiek toegankelijke, door de instellingen en organen van de Unie aangeboden websites bezoeken en gebruikmaken van door die instellingen en organen aangeboden mobiele toepassingen te beschermen overeenkomstig Richtlijn 2002/58/EG van het Europees Parlement en de Raad (8). Zij dienen ook de persoonsgegevens te beschermen die in gebruikerslijsten zijn opgeslagen.

Een inbreuk in verband met persoonsgegevens kan, wanneer dit probleem niet tijdig en op passende wijze wordt aangepakt, resulteren in lichamelijke, materiële of immateriële schade voor natuurlijke personen. Daarom moet de verwerkingsverantwoordelijke, zodra hij weet dat een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de Europese Toezichthouder voor gegevensbescherming onverwijld, zo mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen, in kennis stellen van de inbreuk in verband met persoonsgegevens, tenzij de verwerkingsverantwoordelijke conform het verantwoordingsbeginsel kan aantonen dat het onwaarschijnlijk is dat deze inbreuk risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengt. Wanneer die kennisgeving niet binnen 72 uur kan worden gerealiseerd, dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging en mag de informatie zonder onredelijke verdere vertraging in fasen worden verstrekt. Indien vertraging gerechtvaardigd is, moet minder gevoelige of minder specifieke informatie over de inbreuk zo spoedig mogelijk worden vrijgegeven in plaats van te wachten totdat het desbetreffende incident volledig is opgelost.

De verwerkingsverantwoordelijke moet de betrokkene zonder onredelijke vertraging in kennis stellen van de inbreuk in verband met persoonsgegevens wanneer die inbreuk in verband met persoonsgegevens kan leiden tot hoge risico's voor de rechten en vrijheden van de betrokken natuurlijke persoon, zodat deze de nodige voorzorgsmaatregelen kan treffen. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden als aanbevelingen over hoe de natuurlijke persoon in kwestie mogelijke negatieve gevolgen kan beperken. Dergelijke kennisgevingen aan betrokkenen dienen zo snel als redelijkerwijs mogelijk te worden gedaan, in nauwe samenwerking met de Europese Toezichthouder voor gegevensbescherming en met inachtneming van de door deze zelf of door andere relevante autoriteiten, zoals rechtshandhavingsautoriteiten, aangereikte richtsnoeren.

In Verordening (EG) nr. 45/2001 wordt bepaald dat de verwerkingsverantwoordelijke de algemene verplichting heeft om van de verwerking van persoonsgegevens kennisgeving te doen aan de functionaris voor gegevensbescherming. De verwerkingsverantwoordelijke houdt een register bij van de verwerkingen van persoonsgegevens waarvan kennisgeving is gedaan, tenzij dit gezien de omvang van de instelling of het orgaan van de Unie niet passend is. Naast deze algemene verplichting moeten doeltreffende procedures en mechanismen worden ingesteld voor het toezicht op de verwerkingen die vanwege hun aard, reikwijdte, context en doeleinden waarschijnlijk hoge risico's voor de rechten en vrijheden van natuurlijke personen met zich meebrengen. Dergelijke procedures moeten met name ook worden ingesteld wanneer de soorten verwerkingen van nieuwe technologieën gebruikmaken, of van een nieuw type zijn waarvoor de verwerkingsverantwoordelijke vooraf geen gegevensbeschermingseffectbeoordeling heeft verricht of waarvoor die noodzakelijk is geworden, gelet op de tijd die sinds de aanvankelijke verwerking is verstreken. In dergelijke gevallen dient de verwerkingsverantwoordelijke voorafgaand aan de verwerking een gegevensbeschermingseffectbeoordeling te verrichten om de specifieke waarschijnlijkheid en de ernst van de hoge risico's te beoordelen, rekening houdend met de aard, omvang, context en doeleinden van de verwerking en de bronnen van de risico's. Bij deze effectbeoordeling moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan deze verordening is voldaan.

Wanneer een gegevensbeschermingseffectbeoordeling uitwijst dat de verwerking, bij afwezigheid van de waarborgen, beveiligingsmaatregelen en risicobeperkende mechanismen, met een hoog risico voor de rechten en vrijheden van natuurlijke personen gepaard zou gaan, en de verwerkingsverantwoordelijke van mening is dat het niet mogelijk is dat risico te beperken door middel van maatregelen die met het oog op de beschikbare technologie en uitvoeringskosten redelijk zijn, dient de Europese Toezichthouder voor gegevensbescherming te worden geraadpleegd voordat met de verwerking wordt begonnen. Een dermate hoog risico vloeit allicht voort uit bepaalde soorten persoonsgegevensverwerking en uit de omvang en frequentie van de verwerking, hetgeen kan leiden tot schade of aantasting van de rechten en vrijheden van natuurlijke personen. De Europese Toezichthouder voor gegevensbescherming dient binnen een nader bepaalde termijn op het verzoek om raadpleging te reageren. Het uitblijven van een reactie van de Europese Toezichthouder voor gegevensbescherming binnen die termijn dient evenwel een optreden van de Europese Toezichthouder voor gegevensbescherming overeenkomstig haar in deze verordening neergelegde taken en bevoegdheden onverlet te laten, onder meer de bevoegdheid om verwerkingen te verbieden. In het kader van die raadplegingsprocedure dient het mogelijk te zijn het resultaat van een gegevensbeschermingseffectbeoordeling die voor de verwerking in kwestie wordt uitgevoerd, aan de Europese Toezichthouder voor gegevensbescherming voor te leggen, meer bepaald wat betreft de voorgenomen maatregelen om het risico voor de rechten en vrijheden van natuurlijke personen te beperken.

De Europese Toezichthouder voor gegevensbescherming dient te worden ingelicht over bestuurlijke maatregelen en geraadpleegd over door instellingen of organen van de Unie vastgestelde interne voorschriften in aangelegenheden die verband houden met hun werking, die voorzien in verwerking van persoonsgegevens, beperking van de rechten van betrokkenen of passende waarborgen voor betrokkenen, teneinde ervoor te zorgen dat de voorgenomen verwerking strookt met deze verordening, en met name om de risico's daarvan voor betrokkenen te beperken.

Bij Verordening (EU) 2016/679 wordt het Europees Comité voor gegevensbescherming ingesteld als orgaan van de Unie met rechtspersoonlijkheid. Het Comité dient bij te dragen aan de consequente toepassing van Verordening (EU) 2016/679 en Richtlijn (EU) 2016/680 in de Unie, onder meer door de Commissie advies te verlenen. Tegelijkertijd dient de Europese Toezichthouder voor gegevensbescherming zijn toezichthoudende en raadgevende taken te blijven uitoefenen ten aanzien van alle instellingen en organen van de Unie, op eigen initiatief of op verzoek. Met het oog op de samenhang van de voorschriften inzake gegevensbescherming in de Unie dient de Commissie bij het opstellen van voorstellen of aanbevelingen ernaar te streven de Europese Toezichthouder voor gegevensbescherming te raadplegen. Raadpleging door de Commissie dient verplicht te zijn na de vaststelling van wetgevingshandelingen of bij het opstellen van gedelegeerde handelingen en uitvoeringshandelingen, als bedoeld in de artikelen 289, 290 en 291 VWEU, alsmede na de vaststelling van aanbevelingen en voorstellen in verband met overeenkomsten met derde landen en internationale organisaties, als bedoeld in artikel 218 VWEU, wanneer deze gevolgen hebben voor het recht op de bescherming van persoonsgegevens. In dergelijke gevallen dient de Commissie verplicht te zijn de Europese Toezichthouder voor gegevensbescherming te raadplegen, behalve in de gevallen waarvoor Verordening (EU) 2016/679 verplichte raadpleging van het Europees Comité voor gegevensbescherming voorschrijft, bijvoorbeeld bij adequaatheidsbesluiten of gedelegeerde handelingen betreffende gestandaardiseerde iconen en eisen voor certificeringsmechanismen. Indien dergelijke handelingen van bijzonder belang zijn voor de bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens, dient de Commissie ook het Europees Comité voor gegevensbescherming te kunnen raadplegen. In zulke gevallen dient de Europese Toezichthouder voor gegevensbescherming als lid van het Europees Comité voor gegevensbescherming zijn werkzaamheden te coördineren met die van het Comité met het oog op het uitbrengen van een gezamenlijk advies. De Europese Toezichthouder voor gegevensbescherming en in voorkomend geval het Europees Comité voor gegevensbescherming dienen hun schriftelijk advies binnen acht weken kenbaar te maken. Die termijn kan worden bekort in spoedeisende gevallen of in andere omstandigheden waarin dat geboden is, bijvoorbeeld als de Commissie gedelegeerde handelingen of uitvoeringshandelingen opstelt.

In overeenstemming met artikel 75 van Verordening (EU) 2016/679 dient de Europese Toezichthouder voor gegevensbescherming het secretariaat van het Europees Comité voor gegevensbescherming te verzorgen.

Binnen elke instelling en elk orgaan van de Unie dient een functionaris voor gegevensbescherming toe te zien op de toepassing van de bepalingen van deze verordening en de verwerkingsverantwoordelijken en verwerkers te adviseren bij de vervulling van hun verplichtingen. Het vereiste niveau van deskundigheid van deze functionaris op het gebied van de wetgeving en de praktijk inzake gegevensbescherming dient met name te worden bepaald op grond van de door de verwerkingsverantwoordelijke of de verwerker uitgevoerde gegevensverwerkingen en de bescherming die vereist is voor de betrokken gegevens. Deze functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk uit te voeren.

Wanneer persoonsgegevens vanuit de instellingen en organen van de Unie aan verwerkingsverantwoordelijken, verwerkers of andere ontvangers in derde landen of aan internationale organisaties worden doorgegeven, moet het beschermingsniveau waarvan natuurlijke personen in de Unie door deze verordening verzekerd zijn, worden gewaarborgd. Dezelfde waarborgen moeten gelden bij verdere doorgifte van persoonsgegevens vanuit het derde land of de internationale organisatie aan verwerkingsverantwoordelijken, verwerkers in hetzelfde of een ander derde land of in dezelfde of een andere internationale organisatie. Doorgifte naar derde landen en aan internationale organisaties mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening en met eerbied voor de in het Handvest verankerde grondrechten en fundamentele vrijheden. Doorgifte kan alleen plaatsvinden indien de verwerkingsverantwoordelijke of de verwerker, onder voorbehoud van de andere bepalingen van deze verordening, de bepalingen van deze verordening met betrekking tot de doorgifte van persoonsgegevens naar derde landen of aan internationale organisaties naleeft.

De Commissie kan vaststellen op grond van artikel 45 van Verordening (EU) 2016/679 of artikel 36 van Richtlijn (EU) 2016/680, dat een derde land, een gebied of een nader bepaalde sector in een derde land, of een internationale organisatie een passend beschermingsniveau waarborgt. In dergelijke gevallen mag een instelling of orgaan van de Unie persoonsgegevens naar dat derde land of aan die internationale organisatie doorgeven zonder dat verdere toestemming noodzakelijk is.

Indien er geen adequaatheidsbesluit is genomen, dient de verwerkingsverantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkene. Dergelijke passende waarborgen kunnen worden gegeven door gebruik te maken van standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, standaardbepalingen inzake gegevensbescherming die door de Europese Toezichthouder voor gegevensbescherming zijn vastgesteld of contractbepalingen die door de Europese Toezichthouder voor gegevensbescherming zijn toegestaan. Is de verwerker geen instelling of orgaan van de Unie, dan kunnen passende waarborgen ook bestaan in bindende bedrijfsvoorschriften, gedragscodes en certificeringsmechanismen overeenkomstig Verordening (EU) 2016/679. De waarborgen moeten de naleving van de gegevensbeschermingsvereisten en de eerbiediging van de rechten van de betrokkenen ten aanzien van verwerkingen binnen de Unie garanderen, waaronder de beschikbaarheid van afdwingbare rechten van betrokkenen en van doeltreffende voorzieningen in rechte, zoals het instellen van administratief beroep of beroep in rechte en de mogelijkheid om in de Unie of in een derde land schadevergoeding te eisen. Zij moeten met name betrekking hebben op de naleving van de algemene beginselen inzake de verwerking van persoonsgegevens, de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen. Doorgiften kunnen ook worden verricht door instellingen of organen van de Unie aan overheidsinstanties of -organen in derde landen of aan internationale organisaties met overeenkomstige taken en functies, onder meer op basis van in administratieve regelingen op te nemen bepalingen zoals een memorandum van overeenstemming met afdwingbare en doeltreffende rechten voor betrokkenen. De toestemming van de Europese Toezichthouder voor gegevensbescherming zou moeten worden verkregen wanneer de waarborgen worden geboden in niet juridisch bindende administratieve regelingen.

Het feit dat de verwerkingsverantwoordelijke of de verwerker gebruik kan maken van standaardbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of door de Europese Toezichthouder voor gegevensbescherming dient onverlet te laten dat hij de standaardbepalingen inzake gegevensbescherming in een bredere overeenkomst mag opnemen, zoals een overeenkomst tussen de verwerker en een andere verwerker, of andere bepalingen of aanvullende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of de Europese Toezichthouder voor gegevensbescherming vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of de fundamentele vrijheden van de betrokkenen. Verwerkingsverantwoordelijken en verwerkers moeten worden aangemoedigd om via contractuele verplichtingen meer waarborgen te bieden in aanvulling op de standaardclausules inzake gegevensbescherming.

Sommige derde landen stellen wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van instellingen en organen van de Unie rechtstreeks te regelen. Hierbij kan het onder meer gaan om rechterlijke uitspraken of besluiten van administratieve instanties van derde landen die van de verwerkingsverantwoordelijke of de verwerker verlangen dat hij persoonsgegevens doorgeeft of verstrekt, en die niet zijn gestoeld op een tussen het verzoekende derde land en de Unie geldende internationale overeenkomst. De extraterritoriale toepassing van deze wettelijke en bestuursrechtelijke bepalingen en andere rechtshandelingen kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van natuurlijke personen in de Unie. Doorgiften mogen alleen kunnen plaatsvinden wanneer is voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer openbaarmaking nodig is voor een algemeen belang dat erkend is in het Unierecht.

Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe uitdrukkelijk toestemming heeft gegeven, namelijk wanneer de doorgifte incidenteel en noodzakelijk is in het kader van een overeenkomst of van een rechtsvordering, ongeacht of het een gerechtelijke of een administratieve of buitengerechtelijke procedure betreft of een procedure bij een regelgevingsinstantie. Doorgifte dient ook mogelijk te zijn wanneer in het Unierecht vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In laatstgenoemd geval mogen bij een dergelijke doorgifte niet alle van de in dit register opgenomen persoonsgegevens of categorieën gegevens worden verstrekt, tenzij dat volgens het Unierecht is toegestaan; wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, mag de doorgifte slechts plaatsvinden op verzoek van deze personen of wanneer zij de beoogde ontvangers zijn, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene.

Die afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen instellingen of organen van de Unie en mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten of diensten met bevoegdheid op het gebied van de sociale zekerheid of de volksgezondheid, bijvoorbeeld bij het opsporen van contacten in het kader van de bestrijding van besmettelijke ziekten of met het oog op de terugdringing en/of uitbanning van doping in de sport. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van de vitale belangen van de betrokkene of een andere persoon, daaronder begrepen diens fysieke integriteit of leven, indien de betrokkene niet in staat is zijn toestemming te geven. Bij ontstentenis van een adequaatheidsbesluit kan het Unierecht om gewichtige redenen van algemeen belang uitdrukkelijk grenzen stellen aan de doorgifte van specifieke categorieën gegevens naar een derde land of aan een internationale organisatie. Iedere doorgifte aan een internationale humanitaire organisatie van persoonsgegevens van een betrokkene die lichamelijk of juridisch niet in staat is toestemming te geven, kan, indien zij plaatsvindt met het oog op de uitvoering van een opdracht die krachtens de Verdragen van Genève of met het oog op de naleving van het internationaal humanitair recht in gewapende conflicten, worden beschouwd als noodzakelijk in het kader van een gewichtige reden van algemeen belang of omdat het van vitaal belang is voor de betrokkene.

Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de verwerkingsverantwoordelijke of de verwerker hoe dan ook gebruik te maken van middelen die de betrokkenen ook na de doorgifte van hun gegevens afdwingbare en doeltreffende rechten in de Unie verlenen met betrekking tot de verwerking ervan, opdat zij de grondrechten en waarborgen kunnen blijven genieten.

Bij grensoverschrijdend verkeer van persoonsgegevens naar landen buiten de Unie kan het voor natuurlijke personen moeilijker worden hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige openbaarmaking van die informatie. Bovendien is het mogelijk dat nationale toezichthoudende autoriteiten en de Europese Toezichthouder voor gegevensbescherming niet kunnen klachten behandelen of onderzoek verrichten met betrekking tot activiteiten die buiten hun rechtsmacht vallen. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Daarom dient nauwere samenwerking tussen de Europese Toezichthouder voor gegevensbescherming en nationale toezichthoudende autoriteiten te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

De instelling bij Verordening (EG) nr. 45/2001 van de Europese Toezichthouder voor gegevensbescherming, die bevoegd is zijn taken en bevoegdheden volstrekt onafhankelijk uit te oefenen, is van wezenlijk belang voor de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens. Bij onderhavige verordening moeten diens taken en diens onafhankelijkheid verder worden versterkt en verduidelijkt. De Europese Toezichthouder voor gegevensbescherming moet een persoon zijn wiens onafhankelijkheid boven alle twijfel verheven is en die duidelijk over de ervaring en de bekwaamheid beschikt om de taken van Europese Toezichthouder voor gegevensbescherming uit te oefenen, bijvoorbeeld omdat hij heeft behoord tot een van de krachtens artikel 51 van Verordening (EU) 2016/679 ingestelde toezichthoudende autoriteiten.

Met het oog op consequent toezicht en eenvormige handhaving van de voorschriften inzake gegevensbescherming in de gehele Unie dient de Europese Toezichthouder voor gegevensbescherming dezelfde taken en feitelijke bevoegdheden te hebben als de nationale toezichthoudende autoriteiten, waaronder bevoegdheden om onderzoek te verrichten, corrigerende maatregelen te nemen en sancties op te leggen, machtiging te verlenen en adviezen te verstrekken, in het bijzonder bij klachten van natuurlijke personen, bevoegdheden om inbreuken op deze verordening ter kennis van het Hof van Justitie te brengen en bevoegdheden om overeenkomstig het primaire recht gerechtelijke procedures in te leiden. Tot die bevoegdheden dient ook de bevoegdheid te behoren om een tijdelijke of definitieve beperking van de verwerking op te leggen, met inbegrip van een verwerkingsverbod. Teneinde voor personen die door een maatregel zouden kunnen worden benadeeld overbodige kosten en buitensporige ongemakken te vermijden, dient elke maatregel van de Europese Toezichthouder voor gegevensbescherming passend, noodzakelijk en evenredig te zijn met het oog op naleving van deze verordening, rekening te houden met de omstandigheden van elk individueel geval en het recht van iedere persoon te eerbiedigen om voorafgaand aan de vaststelling van een individuele maatregel te worden gehoord. Elke juridisch bindende maatregel van de Europese Toezichthouder voor gegevensbescherming dient schriftelijk te worden uitgevaardigd, duidelijk en ondubbelzinnig te zijn, de datum van uitvaardiging te vermelden, door de Europese Toezichthouder voor gegevensbescherming ondertekend te zijn, de redenen voor de maatregel te vermelden en naar het recht op een doeltreffende voorziening in rechte te verwijzen.

De toezichtsbevoegdheid van de Europese Toezichthouder voor gegevensbescherming mag zich niet uitstrekken tot de verwerking van persoonsgegevens door het Hof van Justitie wanneer het als rechtsprekende instantie optreedt, zulks teneinde de onafhankelijkheid van het Hof bij de uitoefening van zijn rechterlijke taken, waaronder besluitvorming, te waarborgen. Voor dergelijke verwerkingen moet het Hof overeenkomstig artikel 8, lid 3, van het Handvest onafhankelijk toezicht instellen, bijvoorbeeld door middel van een intern mechanisme.

Besluiten van de Europese Toezichthouder voor gegevensbescherming met betrekking tot uitzonderingen, garanties, machtigingen en voorwaarden betreffende de verwerking van gegevens, zoals in deze verordening gedefinieerd, moeten in het activiteitenverslag worden bekendgemaakt. Naast de jaarlijkse publicatie van een activiteitenverslag kan de Europese Toezichthouder voor gegevensbescherming verslagen over specifieke onderwerpen uitbrengen.

De Europese Toezichthouder voor gegevensbescherming dient Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad (9) na te leven.

De nationale toezichthoudende autoriteiten houden toezicht op de toepassing van Verordening (EU) 2016/679 en dragen bij tot de consequente toepassing daarvan in de gehele Unie teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Met het oog op een consequentere toepassing van de voorschriften inzake gegevensbescherming van de lidstaten en de voorschriften inzake gegevensbescherming die op de instellingen en organen van de Unie van toepassing zijn, zou de Europese Toezichthouder voor gegevensbescherming doeltreffend moeten samenwerken met de nationale toezichthoudende autoriteiten.

Wat bepaalde gevallen betreft, voorziet het Unierecht in een model voor gecoördineerd toezicht door de Europese Toezichthouder voor gegevensbescherming en de nationale toezichthoudende autoriteiten. De Europese Toezichthouder voor gegevensbescherming is bovendien de toezichthoudende autoriteit voor Europol en er is daarom een specifiek model voor de samenwerking met de nationale toezichthoudende autoriteiten vastgesteld door een samenwerkingsorgaan met een adviserende functie. Met het oog op doeltreffender toezicht op en handhaving van de materiële voorschriften inzake gegevensbescherming, dient er in de Unie een samenhangend standaardmodel voor gecoördineerd toezicht tot stand te komen. De Commissie moet daarom, waar nodig, wetgevingsvoorstellen indienen tot wijziging van rechtshandelingen van de Unie die in een model voor gecoördineerd toezicht voorzien, zodat deze kunnen worden aangepast aan het model voor gecoördineerd toezicht dat in deze verordening is opgenomen. Het Europees Comité voor gegevensbescherming moet fungeren als centraal forum voor doeltreffend gecoördineerd toezicht over de hele linie.

Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming en het recht op een doeltreffende voorziening in rechte bij het Hof van Justitie overeenkomstig de Verdragen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening of indien de Europese Toezichthouder voor gegevensbescherming niet optreedt naar aanleiding van een klacht, een klacht gedeeltelijk of geheel verwerpt of afwijst, of niet optreedt wanneer een dergelijk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. Het onderzoek naar aanleiding van een klacht dient, onder voorbehoud van rechterlijke toetsing, niet verder te gaan dan in het specifieke geval passend is. De Europese Toezichthouder voor gegevensbescherming dient de betrokkene binnen een redelijke termijn te informeren over de voortgang en de resultaten van de klacht. Indien de zaak nadere coördinatie met een nationale toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. De Europese Toezichthouder voor gegevensbescherming dient maatregelen te treffen om het indienen van klachten te faciliteren, zoals het ter beschikking stellen van een klachtenformulier dat tevens elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, dient het recht te hebben om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade, met inachtneming van de in de Verdragen vastgestelde voorwaarden.

Ter versterking van de toezichthoudende rol van de Europese Toezichthouder voor gegevensbescherming en de doeltreffende handhaving van deze verordening dient de Europese Toezichthouder voor gegevensbescherming bevoegd te zijn om als sanctie in laatste instantie administratieve geldboeten op te leggen. Die geldboeten dienen te zijn gericht op bestraffing van de instelling of het orgaan van de Unie — in plaats van een natuurlijke persoon — wegens niet-naleving van deze verordening, teneinde verdere inbreuken op deze verordening te ontmoedigen en binnen de instellingen en organen van de Unie een cultuur van bescherming van persoonsgegevens te bevorderen. In deze verordening dienen de inbreuken te worden benoemd waarvoor administratieve geldboetes gelden, evenals de maxima en de criteria voor de vaststelling van de daaraan verbonden geldboeten. De Europese Toezichthouder voor gegevensbescherming dient de hoogte van de geldboete per afzonderlijk geval te bepalen, rekening houdend met alle relevante omstandigheden van de specifieke situatie, met inachtneming van de aard, de ernst en de duur van de inbreuk, de gevolgen ervan en de maatregelen die zijn genomen om naleving van de verplichtingen uit hoofde van deze verordening te waarborgen en de gevolgen van de inbreuk te voorkomen of te beperken. Wanneer de Europese Toezichthouder voor gegevensbescherming aan een instelling of een orgaan van de Unie een administratieve geldboete oplegt, dient hij de evenredigheid van het bedrag van de geldboete in overweging te nemen. De administratieve procedure voor het opleggen van geldboeten aan instellingen en organen van de Unie dient in overeenstemming te zijn met de algemene beginselen van het Unierecht, zoals deze zijn uitgelegd door het Hof van Justitie.

Wanneer een betrokkene van oordeel is dat inbreuk is gemaakt op zijn rechten uit hoofde van deze verordening, moet hij het recht hebben organen, organisaties of verenigingen zonder winstoogmerk die overeenkomstig het Unierecht of het recht van een lidstaat zijn opgericht, die statutaire doelstellingen hebben die in het algemeen belang zijn en die actief zijn op het gebied van de bescherming van persoonsgegevens, te machtigen om namens hem een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming. Dergelijke organen, organisaties of verenigingen dienen tevens namens betrokkenen het recht op een voorziening in rechte of het recht op de ontvangst van een vergoeding te kunnen uitoefenen.

Een ambtenaar of een ander personeelslid van de Unie die de krachtens deze verordening op hem rustende verplichtingen niet nakomt, moet aan een tucht- of andere maatregel kunnen worden onderworpen overeenkomstig de bepalingen en procedures van het Statuut van de ambtenaren van de Europese Unie en de regeling welke van toepassing is op de andere personeelsleden van de Unie, vastgesteld bij Verordening (EEG, Euratom, EGKS) nr. 259/68 van de Raad (10) (‘het Personeelsstatuut’).

Om eenvormige voorwaarden te waarborgen voor de uitvoering van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend waar dit in deze verordening is voorzien. Die bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad (11). De onderzoeksprocedure dient te worden toegepast voor de vaststelling van standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers en tussen verwerkers onderling, voor de vaststelling van lijsten van verwerkingen waarvoor verwerkingsverantwoordelijken die persoonsgegevens verwerken voor de vervulling van een taak van algemeen belang, tevoren de Europese Toezichthouder voor gegevensbescherming moeten raadplegen en voor de vaststelling van standaardcontractbepalingen die passende waarborgen voor internationale doorgiften bieden.

De vertrouwelijke gegevens die statistische autoriteiten van de Unie en de lidstaten voor de productie van officiële Europese en officiële nationale statistieken verzamelen, moeten worden beschermd. Europese statistieken moeten worden ontwikkeld, geproduceerd en verspreid overeenkomstig de statistische beginselen die zijn opgenomen in artikel 338, lid 2, VWEU. Verordening (EG) nr. 223/2009 van het Europees Parlement en de Raad (12) bevat nadere specificaties betreffende de statistische geheimhoudingsplicht voor Europese statistieken.

Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie (13) moeten worden ingetrokken. Verwijzingen naar de ingetrokken verordening en het ingetrokken besluit moeten gelden als verwijzingen naar deze verordening.

Teneinde de volledige onafhankelijkheid van de leden van de onafhankelijke toezichthoudende autoriteit te waarborgen, dient deze verordening de ambtstermijn van de huidige Europese Toezichthouder voor gegevensbescherming en de huidige adjunct-toezichthouder onverlet te laten. De huidige adjunct-toezichthouder dient in functie te blijven tot het verstrijken van zijn ambtstermijn, tenzij is voldaan aan een van de in deze verordening neergelegde voorwaarden voor het voortijdig beëindigen van de ambtstermijn van de Europese Toezichthouder voor gegevensbescherming. De desbetreffende bepalingen van deze verordening dienen op de adjunct-toezichthouder van toepassing te blijven tot het verstrijken van diens ambtstermijn.

Ter verwezenlijking van de basisdoelstellingen, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en van het vrije verkeer van persoonsgegevens in de hele Unie, is het overeenkomstig het evenredigheidsbeginsel noodzakelijk en passend dat voorschriften worden vastgesteld inzake de verwerking van persoonsgegevens door de instellingen en organen van de Unie. Deze verordening gaat overeenkomstig artikel 5, lid 4, van het VEU niet verder dan nodig is om de beoogde doelstellingen te verwezenlijken.

De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 en heeft op 15 maart 2017 (14) advies uitgebracht,