Artikel 3 Definities

‘persoonsgegevens’: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (‘betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatiemiddel zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

‘operationele persoonsgegevens’: alle persoonsgegevens die worden verwerkt door organen of instanties van de Unie wanneer zij onder het toepassingsgebied van hoofdstuk 4 of hoofdstuk 5 van titel V van het derde deel van het VWEU vallende activiteiten uitoefenen om de in de handelingen tot oprichting van deze organen of instanties genoemde doelstellingen en taken te verwezenlijken;

‘verwerking’: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

‘beperking van de verwerking’: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

‘profilering’: elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

‘pseudonimisering’: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld;

‘bestand’: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid;

‘verwerkingsverantwoordelijke’: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doeleinden van en de middelen voor die verwerking bij een bijzonder besluit van de Unie worden vastgesteld, kan in het Unierecht worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen;

‘andere verwerkingsverantwoordelijken dan instellingen en organen van de Unie’: verwerkingsverantwoordelijken in de zin van artikel 4, punt 7, van Verordening (EU) 2016/679 en verwerkingsverantwoordelijken in de zin van artikel 3, punt 8, van Richtlijn (EU) 2016/680;

‘instellingen en organen van de Unie’: instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het VEU, het VWEU of het Euratom-Verdrag;

‘bevoegde autoriteit’: een overheidsinstantie in een lidstaat die bevoegd is voor de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;

‘verwerker’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt;

‘ontvanger’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers. De verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn;

‘derde’: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de persoonsgegevens te verwerken;

‘toestemming’ van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

‘inbreuk in verband met persoonsgegevens’: inbreuk op de beveiliging die leidt tot de vernietiging, het verlies of de wijziging of de ongeoorloofde onthulling van, of de toegang tot, doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens, hetzij onbedoeld, hetzij onrechtmatig;

‘genetische gegevens’: persoonsgegevens die verband houden met de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die natuurlijke persoon en die met name voortkomen uit een analyse van een biologisch monster van die natuurlijke persoon;

‘biometrische gegevens’: persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeeldingen of vingerafdrukgegevens;

‘gegevens over gezondheid’: persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven;

‘dienst van de informatiemaatschappij’: een dienst als gedefinieerd in artikel 1, lid 1, onder b), van Richtlijn (EU) 2015/1535 van het Europees Parlement en de Raad (3);

‘internationale organisatie’: een internationaalpubliekrechtelijke organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen, of enig ander orgaan dat is opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

‘nationale toezichthoudende autoriteit’: een door een lidstaat op grond van artikel 51 van Verordening (EU) 2016/679 of op grond van artikel 41 van Richtlijn (EU) 2016/680 ingestelde onafhankelijke overheidsinstantie;

‘gebruiker’: elke natuurlijke persoon die gebruikmaakt van een netwerk dat of eindapparatuur die onder de verantwoordelijkheid van een instelling of orgaan van de Unie wordt geëxploiteerd;

‘gebruikerslijst’: een publiek toegankelijke lijst van gebruikers of een interne lijst van gebruikers die binnen een instelling of orgaan van de Unie beschikbaar is of tussen instellingen en organen van de Unie wordt gedeeld, zowel in gedrukte als in elektronische vorm;

‘elektronischecommunicatienetwerk’: de transmissiesystemen, al dan niet gebaseerd op een permanente infrastructuur of gecentraliseerde beheercapaciteit, en in voorkomend geval de schakel- of routeringsapparatuur en andere middelen, waaronder netwerkelementen die niet actief zijn, die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen waaronder satellietnetwerken, vaste (circuit- en pakketgeschakelde, met inbegrip van internet) en mobiele terrestrische netwerken, elektriciteitsnetten, voor zover deze voor overdracht van signalen worden gebruikt, netwerken voor radio- en televisieomroep en kabeltelevisienetwerken, ongeacht de aard van de overgebrachte informatie;

‘eindapparatuur’: eindapparatuur zoals gedefinieerd in artikel 1, punt 1, van Richtlijn 2008/63/EG van de Commissie (4).