Artikel 25 Gegevensbescherming

Elke uitwisseling van inlichtingen op grond van deze richtlijn is onderworpen aan Verordening (EU) 2016/679 van het Europees Parlement en de Raad (1). Voor de juiste toepassing van deze richtlijn beperken de lidstaten evenwel de reikwijdte van de verplichtingen en rechten die zijn neergelegd in artikel 13, artikel 14, lid 1, en artikel 15, van Verordening (EU) 2016/679, voor zover dit noodzakelijk is om de in artikel 23, lid 1, punt e), van die verordening bedoelde belangen te vrijwaren.

Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (2) is van toepassing op de verwerking van persoonsgegevens in het kader van deze richtlijn door de instellingen, organen en instanties van de Unie. Voor de juiste toepassing van deze richtlijn wordt de reikwijdte van de verplichtingen en rechten die zijn neergelegd in artikel 15, artikel 16, lid 1, en de artikelen 17 tot en met 21, van Verordening (EU) 2018/1725 evenwel beperkt, voor zover dit noodzakelijk is om de in artikel 25, lid 1, onder c), van die verordening bedoelde belangen te vrijwaren.

Rapporterende financiële instellingen, intermediairs, Rapporterende platformexploitanten, Rapporterende aanbieders van cryptoactivadiensten en de bevoegde autoriteiten van lidstaten worden beschouwd als verwerkingsverantwoordelijken, die alleen of gezamenlijk optreden. Bij de verwerking van persoonsgegevens voor de toepassing van deze richtlijn wordt de Commissie geacht de persoonsgegevens namens de verwerkingsverantwoordelijken te verwerken en voldoet zij aan de vereisten voor verwerkers in Verordening (EU) 2018/1725. Voor de verwerking wordt een overeenkomst gesloten in de zin van artikel 28, lid 3, van Verordening (EU) 2016/679 en artikel 29, lid 3, van Verordening (EU) 2018/1725.

Niettegenstaande lid 1 ziet elke lidstaat erop toe dat elke onder zijn rechtsgebied vallende Rapporterende financiële instelling, intermediair, Rapporterende platformexploitant of Rapporterende aanbieder van cryptoactivadiensten, naargelang het geval:

Niettegenstaande de eerste alinea, punt b), stelt elke lidstaat regelgeving vast om de rapporterende platformexploitanten ertoe te verplichten de te rapporteren verkopers in kennis te stellen van de gerapporteerde tegenprestatie.

Overeenkomstig deze richtlijn verwerkte inlichtingen worden niet langer bewaard dan voor de verwezenlijking van de doelstellingen van deze richtlijn noodzakelijk is, en in elk geval overeenkomstig de nationale voorschriften inzake verjaring van iedere verwerkingsverantwoordelijke.

Een lidstaat waar een gegevensinbreuk heeft plaatsgevonden, meldt die inbreuk en alle daaropvolgende corrigerende maatregelen onverwijld aan de Commissie. De Commissie stelt alle lidstaten onverwijld in kennis van de haar gemelde of bekende gegevensinbreuk en van eventuele corrigerende maatregelen.

Elke lidstaat kan de uitwisseling van inlichtingen met de lidstaat (lidstaten) waar de gegevensinbreuk heeft plaatsgevonden, schorsen door de Commissie en de betrokken lidstaat (lidstaten) daarvan schriftelijk in kennis te stellen. Een dergelijke schorsing wordt onmiddellijk van kracht.

De lidstaat (lidstaten) waar de gegevensinbreuk heeft plaatsgevonden, onderzoekt (onderzoeken), beperkt (beperken) en verhelpt (verhelpen) de gegevensinbreuk, en verzoekt (verzoeken), door de Commissie daarvan schriftelijk in kennis te stellen, om de schorsing van de toegang tot het CCN voor de toepassing van deze richtlijn indien de gegevensinbreuk niet onmiddellijk en op passende wijze onder controle kan worden gebracht. Op een dergelijk verzoek schorst de Commissie de toegang van die lidstaat (lidstaten) tot het CCN voor de toepassing van deze richtlijn.

Na melding, door de lidstaat waar de gegevensinbreuk heeft plaatsgevonden, van het feit dat de gegevensinbreuk is verholpen, geeft de Commissie de betrokken lidstaat (lidstaten) opnieuw toegang tot het CCN voor de toepassing van deze richtlijn. Indien een of meer lidstaten de Commissie verzoeken om gezamenlijk te verifiëren of de gegevensinbreuk is verholpen, geeft de Commissie pas na die verificatie de betrokken lidstaat (lidstaten) opnieuw toegang tot het CCN voor de toepassing van deze richtlijn.

Indien voor de toepassing van deze richtlijn een gegevensinbreuk in het centrale gegevensbestand of het CCN plaatsvindt die nadelige gevolgen kan hebben voor de uitwisseling van inlichtingen door de lidstaten via het CCN, stelt de Commissie de lidstaten zonder onnodige vertraging in kennis van de gegevensinbreuk en van eventuele corrigerende maatregelen die zijn genomen. Zulke corrigerende maatregelen kunnen inhouden dat de toegang tot het centrale gegevensbestand of het CCN voor de toepassing van deze richtlijn wordt geschorst totdat de gegevensinbreuk is verholpen.

De lidstaten, bijgestaan door de Commissie, komen de praktische regelingen overeen die nodig zijn voor de uitvoering van dit artikel, met inbegrip van beheerprocedures voor gegevensinbreuken die sporen met internationaal erkende goede praktijken en, in voorkomend geval, een gezamenlijke overeenkomst tussen de verwerkingsverantwoordelijken, een overeenkomst tussen gegevensverwerker en verwerkingsverantwoordelijke, of modellen daarvoor.