Artikel 3 Reikwijdte van de derogatie

1.

a)

deze verwerking:

i)

strikt noodzakelijk is voor het gebruik van specifieke technologie met als enig doel onlinemateriaal betreffende seksueel misbruik van kinderen op te sporen, te verwijderen en te melden aan rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen, en het benaderen van kinderen op te sporen en te melden aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;

ii)

evenredig is en zich beperkt tot technologieën die door aanbieders worden gebruikt voor het in punt i) uiteengezette doel:

iii)

beperkt blijft tot inhoudelijke gegevens en bijbehorende verkeersgegevens die strikt noodzakelijk zijn voor het in punt i) uiteengezette doel;

iv)

beperkt is tot hetgeen strikt noodzakelijk is voor het in punt i) uiteengezette doel;

b)

de technologieën die voor het in punt a), i), van dit lid uiteengezette doel worden gebruikt, in overeenstemming zijn met de stand van de techniek in de sector en zo min mogelijk inbreuk maken op de privacy, ook met betrekking tot het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen zoals vastgelegd in artikel 25 van Verordening (EU) 2016/679, en, voor zover ze worden gebruikt om communicatie met tekst te scannen, niet in staat zijn om de inhoud van de communicatie af te leiden maar uitsluitend patronen kunnen herkennen die kunnen wijzen op online seksueel misbruik van kinderen;

c)

voor elke specifieke technologie die voor het in punt a), i), van dit lid uiteengezette doel wordt gebruikt, een voorafgaande gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 van Verordening (EU) 2016/679 en een procedure van voorafgaande raadpleging als bedoeld in artikel 36 van die verordening zijn uitgevoerd;

d)

met betrekking tot nieuwe technologie, dat wil zeggen technologie die wordt gebruikt voor de opsporing van onlinemateriaal betreffende seksueel misbruik van kinderen en die vóór 2 augustus 2021 door geen enkele aanbieder is gebruikt in verband met aan gebruikers van nummeronafhankelijke interpersoonlijke communicatiediensten (‘gebruikers’) in de Unie verleende diensten, en met betrekking tot technologie die wordt gebruikt om het mogelijk benaderen van kinderen vast te stellen, brengt de aanbieder aan de bevoegde autoriteit verslag uit over de maatregelen die hij heeft genomen om te voldoen aan het schriftelijke advies dat de krachtens hoofdstuk VI, afdeling 1, van Verordening (EU) 2016/679 aangewezen bevoegde toezichthoudende autoriteit overeenkomstig artikel 36, lid 2, van die verordening heeft uitgebracht in de loop van de voorafgaande raadplegingsprocedure;

e)

de gebruikte technologieën op zich voldoende betrouwbaar zijn, in die zin dat het foutenpercentage met betrekking tot het opsporen van inhoud die seksueel online misbruik van kinderen omvat, zo veel mogelijk wordt beperkt, en dat, wanneer dergelijke incidentele fouten zich voordoen, de gevolgen ervan onverwijld worden gecorrigeerd;

f)

de technologieën die worden gebruikt om patronen van het mogelijk benaderen van kinderen op te sporen, beperkt zijn tot het gebruik van relevante kernindicatoren en objectief vastgestelde risicofactoren, zoals leeftijdsverschillen en de waarschijnlijkheid dat bij de gescande communicatie een kind betrokken is, onverminderd het recht op toetsing door mensen;

g)

de aanbieders:

i)

interne procedures hebben vastgesteld om misbruik van, ongeoorloofde toegang tot en ongeoorloofde doorgifte van persoonsgegevens en andere gegevens te voorkomen;

ii)

instaan voor menselijk toezicht op en waar nodig menselijke tussenkomst bij de verwerking van persoonsgegevens en andere gegevens aan de hand van technologieën die onder het toepassingsgebied van deze verordening vallen;

iii)

ervoor zorgen dat materiaal dat nog niet is geïdentificeerd als onlinemateriaal betreffende seksueel misbruik of het benaderen van kinderen, niet zonder voorafgaande menselijke bevestiging wordt gemeld aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;

iv)

passende procedures en verhaalmechanismen hebben ingesteld om ervoor te zorgen dat gebruikers binnen een redelijke termijn bij hen een klacht kunnen indienen om hun standpunt kenbaar te maken;

v)

de gebruikers op duidelijke, expliciete en begrijpelijke wijze inlichten over het feit dat zij zich overeenkomstig deze verordening hebben beroepen op de afwijking van artikel 5, lid 1, en artikel 6, lid 1, van Richtlijn 2002/58/EG betreffende de vertrouwelijkheid van de communicatie van gebruikers, louter met het oog op het in punt a), i), van dit lid uiteengezette doel, de logica achter de maatregelen die zij in het kader van de afwijking hebben genomen, en de gevolgen ervan voor de vertrouwelijkheid van de communicatie van gebruikers, inclusief de mogelijkheid dat persoonsgegevens worden gedeeld met rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;

vi)

wanneer de inhoud van de gebruikers is verwijderd, hun account is geblokkeerd of een aan hen aangeboden dienst is opgeschort, de betrokken gebruikers in kennis stellen van:

1)

de mogelijkheden om bij hen verhaal te zoeken;

2)

de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit, en

3)

het recht om een voorziening in rechte in te stellen;

vii)

uiterlijk op 3 februari 2022 en daarna elk jaar uiterlijk op 31 januari een verslag publiceren over de verwerking van persoonsgegevens uit hoofde van deze verordening en dit bij de bevoegde toezichthoudende autoriteit en de Commissie indienen, waarin ook de volgende informatie is opgenomen:

1)

het type en de volumes van de verwerkte gegevens;

2)

de specifieke reden voor de verwerking overeenkomstig Verordening (EU) 2016/679;

3)

de reden voor het doorgeven van persoonsgegevens naar landen buiten de Unie overeenkomstig hoofdstuk V van Verordening (EU) 2016/679, indien van toepassing;

4)

het aantal geconstateerde gevallen van online seksueel misbruik van kinderen, waarbij een onderscheid wordt gemaakt tussen onlinemateriaal betreffende seksueel misbruik van kinderen en het benaderen van kinderen;

5)

het aantal gevallen waarin een gebruiker een klacht heeft ingediend bij het interne verhaalmechanisme of een gerechtelijke autoriteit en de uitkomst van dergelijke klachten;

6)

het aantal fouten en de foutverhoudingen (fout-positieve resultaten) van de verschillende gebruikte technologieën;

7)

de maatregelen die zijn toegepast om het foutenpercentage te beperken en het bereikte foutenpercentage;

8)

het bewaringsbeleid en de toegepaste waarborgen inzake gegevensbescherming overeenkomstig Verordening (EU) 2016/679 en

9)

de namen van de in het algemeen belang tegen seksueel misbruik van kinderen optredende organisaties waarmee uit hoofde van deze verordening gegevens zijn gedeeld;

h)

wanneer een vermoeden van online seksueel misbruik van kinderen is vastgesteld, de inhoudelijke gegevens en bijbehorende verkeersgegevens die worden verwerkt voor het in punt a), i), uiteengezette doel, en de door een dergelijke verwerking gegenereerde persoonsgegevens op een veilige manier worden opgeslagen, enkel en alleen voor de volgende doeleinden:

i)

om het vermoede online seksueel misbruik van kinderen onverwijld te melden aan de bevoegde rechtshandhavingsinstanties en gerechtelijke autoriteiten of aan organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;

ii)

om de account van de betrokken gebruiker te blokkeren of de dienstverlening aan de betrokken gebruiker op te schorten of te beëindigen;

iii)

om een unieke, niet-omkeerbare digitale handtekening (‘hash’) te creëren van gegevens die op betrouwbare wijze zijn geïdentificeerd als onlinemateriaal betreffende seksueel misbruik van kinderen;

iv)

om de betrokken gebruiker in staat te stellen verhaal te zoeken bij de aanbieder, een administratieve toetsing aan te vragen of een voorziening in rechte in te stellen met betrekking tot kwesties die verband houden met het vermoede seksuele misbruik van kinderen, of

v)

om te reageren op verzoeken van bevoegde rechtshandhavingsinstanties en justitiële autoriteiten, overeenkomstig het toepasselijke recht, om verstrekking van de gegevens die zij nodig hebben voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten als bedoeld in Richtlijn 2011/93/EU;

i)

de gegevens niet langer worden opgeslagen dan strikt noodzakelijk is voor het in punt h) genoemde relevante doel en in geen geval langer dan twaalf maanden na de datum waarop het vermoede online seksueel misbruik van kinderen is vastgesteld;

j)

elk gegrond en geverifieerd vermoeden van online seksueel misbruik van kinderen onmiddellijk wordt gemeld aan de bevoegde nationale rechtshandhavingsinstanties of aan organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen.

2.

a)

vóór 2 augustus 2021 een specifieke technologie gebruikten voor het in lid 1, punt a), i), uiteengezette doel, zonder een voorafgaande raadplegingsprocedure met betrekking tot die technologie te hebben afgerond;

b)

een voorafgaande raadplegingsprocedure beginnen vóór 3 september 2021, en

c)

in verband met de in punt b) bedoelde voorafgaande raadplegingsprocedure naar behoren samenwerken met de bevoegde toezichthoudende autoriteit.

3.

a)

vóór 2 augustus 2021 een in lid 1, punt d), bedoelde technologie gebruikten zonder een voorafgaande raadplegingsprocedure met betrekking tot die technologie te hebben afgerond;

b)

een procedure zoals bedoeld in lid 1, punt d), beginnen vóór 3 september 2021, en

c)

in verband met de in lid 1, punt d), bedoelde procedure naar behoren samenwerken met de bevoegde toezichthoudende autoriteit.

4.