PRIVACY COMPANY privacyverordening.pdf · project niet iedere twee jaar volledig herhaald hoeft te...

PRIVACY COMPANY

Overzicht

algemene verordening gegevensbescherming

april 2016

www.privacycompany.eu [email protected]

www.privacycompany.eu | 2

Overzicht: Europese algemene verordening gegevensbescherming

Dit is een overzicht van de algemene verordening gegevensbescherming (AVG), ook wel Europese privacy

verordening (EPV) genoemd, opgesteld door Privacy Company. Privacy Company ondersteunt uw

organisatie bij het privacy-compliant maken van uw processen. Wij bieden een breed scala aan diensten;

van advies tot onderwijs. Zo kan uw organisatie voldoen aan wet- en regelgeving op het gebied van privacy

en loopt u niet langer het risico op hoge boetes.

Wij geloven in pragmatische oplossingen die uw medewerkers ook begrijpen. Dus geen ingewikkelde

terminologie of lange juridische verhandelingen. We zetten in op structurele oplossingen, waarbij een

project niet iedere twee jaar volledig herhaald hoeft te worden omdat de resultaten door de tijd achterhaald

zijn. Daarmee bent u ook nog eens goedkoper uit.

De volgende algemene opmerkingen zijn van belang:

- Deze publicatie is slechts een verkort overzicht van de officiële tekst van de AVG. Er kunnen geen

rechten aan deze publicatie worden ontleend.

- Een Privacy Impact Assessment (PIA) wordt in de Nederlandstalige versie van de AVG een

‘gegevensbeschermingseffectbeoordeling’ genoemd. Dit is hetzelfde als een PIA (artikel 35).

- De European Data Protection Board (EDPB) wordt in de Nederlandstalige versie van de AVG het

‘Europees Comité voor gegevensbescherming’ genoemd.

- In de nieuwe tekst van de AVG zijn de termen ‘verantwoordelijke’ en ‘bewerker’ veranderd in

respectievelijk ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Voor de leesbaarheid houden wij

echter vast aan de oorspronkelijk termen ‘verantwoordelijke’ en ‘bewerker’.

Versie 1.3 april 2016. Dit document is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative commons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente versie beschikbaar op www.privacycompany.eu.

http://www.privacycompany.eu/



Inhoudsopgave

Hoofdstuk I: Algemene bepalingen ............................................................................................................................. 6

Art. 1 Onderwerp en doelstellingen ........................................................................................................................ 6 Art. 2 Materiële werkingssfeer ................................................................................................................................ 6 Art. 3 Geografisch toepassingsgebied ..................................................................................................................... 6 Art. 4 Definities ........................................................................................................................................................ 6

Hoofdstuk II: Beginselen ............................................................................................................................ 8 Art. 5 Beginselen inzake de verwerking van persoonsgegevens ............................................................................. 8 Art. 6 Rechtmatigheid van de verwerking ............................................................................................................... 9 Art. 7 Voorwaarden voor toestemming .................................................................................................................. 9 Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de

informatiemaatschappij ............................................................................................................................... 9 Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens .................................................................. 9 Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten ..... 10 Art. 11 Verwerking waarvoor identificatie niet is vereist ...................................................................................... 10

Hoofdstuk III: Rechten van de betrokkene ................................................................................................. 10 Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten van de

betrokkene ................................................................................................................................................. 10 Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene .............................. 11 Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene ....................... 11 Art. 15 Recht van inzage ........................................................................................................................................ 12 Art. 16 Recht op rectificatie ................................................................................................................................... 12 Art. 17 Recht op gegevenswissing ("recht op vergetelheid") ................................................................................ 12 Art. 18 Recht op beperking van verwerking .......................................................................................................... 13 Art. 19 Notificatie van rectificatie, uitwissing of beperking .................................................................................. 13 Art. 20 Recht op overdraagbaarheid van persoonsgegevens ................................................................................ 13 Art. 21 Recht van bezwaar/verzet ......................................................................................................................... 14 Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering ........................................................ 14 Art. 23 Beperkingen ............................................................................................................................................... 14

Hoofdstuk IV: De verantwoordelijke en de bewerker .................................................................................. 15 Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke ................................................... 15 Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen ...................................................... 15 Art. 26 Gezamenlijk voor de verwerking verantwoordelijken ............................................................................... 15 Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of

bewerkers ................................................................................................................................................... 16 Art. 28 Bewerker .................................................................................................................................................... 16 Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker ........................................................ 17 Art. 30 Documentatieplicht ................................................................................................................................... 17 Art. 31 Medewerking met de toezichthoudende autoriteit .................................................................................. 18 Art. 32 Beveiligde verwerking ................................................................................................................................ 18 Art. 33 Melden datalek aan de toezichthouder..................................................................................................... 18 Art. 34 Inlichten van betrokkene over datalek ...................................................................................................... 19 Art. 35 Data Protection Impact Assessment (PIA) ................................................................................................. 19 Art. 36 Voorafgaande consultatie .......................................................................................................................... 20 Art. 37 Aanstelling FG ............................................................................................................................................ 20 Art. 38 Positie van de FG ....................................................................................................................................... 21 Art. 39 Taken van de FG ........................................................................................................................................ 21 Art. 40 Gedragscodes ............................................................................................................................................ 21 Art. 41 Toezicht op goedgekeurde gedragscodes ................................................................................................. 22 Art. 42 Certificering ............................................................................................................................................... 22 Art. 43 Certificeringsinstelling en procedure.......................................................................................................... 23



Hoofdstuk V: Doorgifte van persoonsgegevens naar derde landen of internationale organisaties ................. 23 Art. 44 Algemeen beginsel inzake doorgiften ....................................................................................................... 23 Art. 45 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt ............................ 24 Verklaard .................................................................................................................................................................. 24 Art. 46 Doorgiften op basis van passende waarborgen ........................................................................................ 24 Art. 47 Doorgiften op grond van bindende bedrijfsvoorschriften ......................................................................... 24 Art. 48 Ongeautoriseerde doorgiften of verstrekkingen ....................................................................................... 25 Art. 49 Afwijkingen voor specifieke situaties ........................................................................................................ 25 Art. 50 Internationale samenwerking voor de bescherming van persoonsgegevens ........................................... 25

Hoofdstuk VI: Onafhankelijke toezichthoudende autoriteiten .................................................................... 25 Art. 51 Toezichthoudende autoriteit ..................................................................................................................... 25 Art. 52 Onafhankelijkheid ...................................................................................................................................... 26 Art. 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit ........................................... 26 Art. 54 Oprichting van de toezichthoudende autoriteit ........................................................................................ 26 Art. 55 Competentie .............................................................................................................................................. 26 Art. 56 Competentie van de hoofdtoezichthouder ............................................................................................... 26 Art. 57 Taken ......................................................................................................................................................... 27 Art. 58 Bevoegdheden ........................................................................................................................................... 27 Art. 59 Activiteitenverslag ..................................................................................................................................... 28 Art. 60 Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende

autoriteiten ................................................................................................................................................ 28

Hoofdstuk VII: Samenwerking en conformiteit .......................................................................................... 29 Art. 61 Wederzijdse bijstand ................................................................................................................................. 29 Art. 62 Gezamenlijke werkzaamheden van de toezichthouder ............................................................................ 29 Art. 63 Coherentiemechanisme ............................................................................................................................. 29 Art. 64 Advies van het EDPB .................................................................................................................................. 29 Art. 65 Geschilbeslechting door de EDPB .............................................................................................................. 30 Art. 66 Spoedprocedure ........................................................................................................................................ 30 Art. 67 Uitwisseling van informatie ....................................................................................................................... 30 Art. 68 Instelling EDPB ........................................................................................................................................... 30 Art. 69 Onafhankelijkheid EDPB ............................................................................................................................ 31 Art. 70 Taken EDPB ................................................................................................................................................ 31 Art. 71 Jaarlijkse rapportage .................................................................................................................................. 31 Art. 72 Stemprocedure .......................................................................................................................................... 31 Art. 73 Verkiezing voorzitter .................................................................................................................................. 31 Art. 74 Taken voorzitter EDPB ............................................................................................................................... 31 Art. 75 Taken secretariaat ..................................................................................................................................... 31 Art. 76 Geheimhouding EDPB ................................................................................................................................ 31

Hoofdstuk VIII: Beroep, aansprakelijkheid en sancties ............................................................................... 32 Art. 77 Recht een klacht in te dienen bij een toezichthoudende autoriteit .......................................................... 32 Art. 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit 32 Art. 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verantwoordelijke of

bewerker .................................................................................................................................................... 32 Art. 80 Vertegenwoordiging van betrokkenen} ..................................................................................................... 32 Art. 81 Opschorting van de procedure .................................................................................................................. 32 Art. 82 Recht op vergoeding en aansprakelijkheid ................................................................................................ 32 Art. 83 Administratieve sancties ............................................................................................................................ 33 Art. 84 Sancties ...................................................................................................................................................... 34

Hoofdstuk IX: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking .......... 35 Art. 85 Verwerking van persoonsgegevens en vrijheid van meningsuiting ........................................................... 35 Art. 86 verwerken van persoons en publieke toegankelijkheid van officiële documenten .................................. 35 Art. 87 Verwerken van nationaal identificatienummer ......................................................................................... 35 Art. 88 Verwerking in arbeidscontext .................................................................................................................... 35



Art. 89 Waarborgen en uitzonderingen voor de verwerking van persoonsgegevens voor archiveringsdoeleinden

met publiek belang of voor wetenschappelijke, historische of statistieke onderzoeksdoeleinden .......... 35 Art. 90 Geheimhoudingsplicht ............................................................................................................................... 36 Art. 91 Bestaande gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen .............. 36

Hoofdstuk X: Gedelegeerde handelingen en uitvoeringshandelingen .......................................................... 36 Art. 92 Uitoefening van de bevoegdheidsdelegatie .............................................................................................. 36 Art. 93 EDPB procedure ......................................................................................................................................... 36

Hoofdstuk XI: Slotbepalingen ................................................................................................................... 37 Art. 94 Intrekking van richtlijn 95/46/EG ............................................................................................................... 37 Art. 95 Verhouding tot richtlijn 2002/58/EG ......................................................................................................... 37 Art. 96 Verhouding tot eerder vastgestelde overeenkomsten .............................................................................. 37 Art. 97 Evaluatie .................................................................................................................................................... 37 Art. 98 Beoordeling van andere EU-instrumenten voor gegevensbescherming ................................................... 37 Art. 99 Inwerkingtreding en toepassing ................................................................................................................ 37



Hoofdstuk I: Algemene bepalingen

Art. 1 Onderwerp en doelstellingen

De verordening legt regels vast met betrekking tot de bescherming van natuurlijke personen op het gebied

van persoonsgegevens en het vrij verkeer hiervan.

Vrij verkeer van persoonsgegevens in de Europese Unie (EU) mag niet worden gehinderd of worden

verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met

de verwerking van persoonsgegevens.

Art. 2 Materiële werkingssfeer

De verordening heeft betrekking op het geheel of gedeeltelijk automatisch verwerken van

persoonsgegevens alsmede het verwerken op andere manieren dan geautomatiseerd als deze

persoonsgegevens deel uit maken van een bestand of hiervoor bedoeld zijn.

De verordening ziet niet op verwerkingen die:

Niet onder EU-recht vallen;

door lidstaten gedaan worden met het oog op het gemeenschappelijk buitenlands en

veiligheidsbeleid;

door natuurlijke personen worden gedaan met het oog op puur persoonlijke of huishoudelijke

activiteiten;

door bevoegde autoriteiten gedaan worden voor het voorkomen, onderzoeken, opsporen of

vervolgen van strafbare feiten of de tenuitvoerlegging van straffen.

Op de verwerkingen die door de instellingen, organen en instanties van de EU worden gedaan is

Verordening nr. 45/2001 van toepassing. Verordening nr. 45/2001 beschermt diegenen wier

persoonsgegevens om welke reden dan ook door de communautaire instellingen of organen worden

verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen EU zijn. Deze verordening en andere EU-

instrumenten die (deels) van toepassing zijn op het verwerken van persoonsgegevens worden aangepast

volgens de regel van artikel 90a.

Deze verordening doet geen afbreuk aan Richtlijn 2000/31/EG, met name de regels in die richtlijn

betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.

Art. 3 Geografisch toepassingsgebied

Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten

van een vestiging van een verantwoordelijke of een bewerker in de EU, ongeacht of de verwerking in de EU

plaatsvindt of niet. Als een verantwoordelijke of bewerker geen vestiging heeft in de EU geldt de

verordening toch als:

De diensten geleverd worden aan een betrokkene in de EU

De verwerking gerelateerd is aan het observeren van gedrag van een betrokkene in de EU.

De verordening geldt ook voor verantwoordelijken die niet in de EU zijn gevestigd maar die door toepassing

van internationaal recht vallen onder nationaal recht van een lidstaat.

Art. 4 Definities

In artikel 4 worden definities gegeven van veel gebruikte begrippen uit de verordening. Voor de volledige en

juiste definities, raadpleeg de verordening. Dit is slechts een korte uitleg van de definities.



"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke

persoon ("de betrokkene");

"verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot

persoonsgegevens;

"beperken van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de

verwerking ervan in de toekomst te beperken;

"profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de

hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden

geëvalueerd;

"pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de gegevens niet

meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens

worden gebruikt;

"bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria

toegankelijk zijn;

"verantwoordelijke": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of

enig ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de

verwerking van persoonsgegevens vaststelt;

"bewerker": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander

orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt;

"ontvanger": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig

ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt;

"derde": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander

orgaan, niet zijnde de betrokkene, noch de verantwoordelijke, noch de bewerker, noch de personen

die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd zijn om de

gegevens te verwerken;

"toestemming van de betrokkene": elke vrije, specifieke, op informatie berustende en

ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij

een ondubbelzinnige actieve handeling, aanvaardt dat hem betreffende persoonsgegevens worden

verwerkt;

"inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging met de vernietiging,

het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot

doorgezonden, opgeslagen of anderszins verwerkte gegevens, tot gevolg;

"genetische gegevens": alle persoonsgegevens met betrekking tot de overgeërfde of verworven

genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de

fysiologie of de gezondheid van die persoon;

"biometrische gegevens": alle persoonsgegevens die het resultaat zijn van een specifieke

technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een

persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd

wordt;

"gegevens over gezondheid": persoonsgegevens met betrekking tot de fysieke of mentale

gezondheid van een natuurlijke persoon;

“hoofdvestiging verantwoordelijke”: met betrekking tot een verantwoordelijke die vestigingen

heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt;

“hoofdvestiging bewerker”: met betrekking tot een bewerker die vestigingen heeft in meer dan

één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt en, wanneer de

bewerker geen centrale administratie in de EU heeft, de vestiging van de bewerker in de EU waar de

voornaamste verwerkingsactiviteiten plaatsvinden;



"vertegenwoordiger": elke in de EU gevestigde natuurlijke persoon of rechtspersoon die schriftelijk

door de verantwoordelijke of de bewerker is aangewezen om de verantwoordelijke of de bewerker

te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;

"onderneming": iedere natuurlijke persoon of rechtspersoon die een economische activiteit

uitoefent, ongeacht de rechtsvorm ervan;

"groep van ondernemingen": een onderneming die zeggenschap uitoefent en de ondernemingen

waarover die zeggenschap wordt uitgeoefend;

"bindende bedrijfsvoorschriften": beleid inzake de bescherming van persoonsgegevens dat

verantwoordelijke of bewerker voert met betrekking tot de doorgifte van persoonsgegevens aan

een verantwoordelijke of bewerker in een of meer derde landen binnen een groep van

ondernemingen die al dan niet gezamenlijk een economische activiteit uitoefenen;

"toezichthoudende autoriteit": een door een lidstaat ingestelde onafhankelijke

overheidsinstantie;

"betrokken toezichthoudende autoriteit": een toezichthoudende autoriteit die betrokken is bij de

verwerking:

a) omdat de verantwoordelijke of de bewerker op het grondgebied van de lidstaat van die

toezichthoudende autoriteit gevestigd is;

b) omdat de betrokkenen die in die lidstaat verblijven, door de verwerking wezenlijke gevolgen

ondervinden of waarschijnlijk zullen ondervinden; of

c) omdat bij die toezichthoudende autoriteit een klacht is ingediend

"grensoverschrijdende verwerking van persoonsgegevens": verwerking in het kader van de

activiteiten van vestigingen in meer dan één lidstaat van een verantwoordelijke of een bewerker in

de EU die in meer dan één lidstaat is gevestigd; of verwerking in het kader van de activiteiten van

één vestiging van een verantwoordelijke of van een bewerker in de EU, waardoor in meer dan één

lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.

"internationale organisatie": een organisatie en de daaronder ressorterende internationaal

publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een

overeenkomst tussen twee of meer landen.

Hoofdstuk II: Beginselen

Art. 5 Beginselen inzake de verwerking van persoonsgegevens

De verwerking van persoonsgegevens moet aan de volgende eisen voldoen:

Verwerkingen moeten rechtmatig, eerlijk en transparant zijn ten opzichte van de betrokkenen;

Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde

doeleinden worden verzameld;

Persoonsgegevens mogen niet verder worden verwerkt op een met die doeleinden onverenigbare

wijze. Verenigbaar met het oorspronkelijke doel zijn verwerkingen voor archivering, doeleinden van

algemeen belang, wetenschappelijke en historische onderzoeksdoeleinden en statistische

doeleinden;

Persoonsgegevens moeten adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat

minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt;

Persoonsgegevens moeten accuraat en waar nodig up-to-date zijn;

Persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de

betrokkenen te identificeren dan voor verwezenlijking van de doeleinden waarvoor ze worden

verwerkt, noodzakelijk is. Persoonsgegevens mogen langer worden bewaard voor archivering in het

algemeen belang en voor historische, statistische of wetenschappelijke doeleinden.



Persoonsgegevens mogen alleen worden verwerkt op een manier die de veiligheid van de

persoonsgegevens verzekert.

De verantwoordelijke moet kunnen aantonen dat hij zich houdt aan deze beginselen.

Art. 6 Rechtmatigheid van de verwerking

Verwerkingen van persoonsgegevens mogen alleen berusten op de volgende grondslagen:

a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of

meer specifieke doeleinden;

b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is

of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene;

c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van verantwoordelijke;

d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;

e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel

uitmaakt van de uitoefening van het openbaar gezag dat aan de verantwoordelijke is opgedragen;

f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van

verantwoordelijke. Dit belang moet worden afgewogen tegen het belang van betrokkene.

Wanneer gegevens worden verwerkt door een publieke autoriteit, dan mag de verwerking niet berusten op

de grondslag gerechtvaardigd belang.

Voor c) en e) geldt dat voor de verwerking moet worden voorzien in EU-wetgeving of wetgeving van de

lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Aan de wetgeving van de

lidstaat worden wel eisen gesteld. Zo moet de verwerking in het algemeen belang zijn of noodzakelijk om

de rechten en vrijheden van anderen te beschermen. Bovendien moet de verwerking het recht op

bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel.

Art. 7 Voorwaarden voor toestemming

Als de verwerking berust op toestemming moet de verantwoordelijke kunnen aantonen dat de betrokkene

deze toestemming heeft gegeven. Toestemming mag te allen tijde worden ingetrokken. Intrekken van

toestemming moet even eenvoudig zijn als het geven ervan.

Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de

informatiemaatschappij

Bij het verwerken van persoonsgegevens in het kader van het aanbieden van een dienst van de

informatiemaatschappij aan een kind jonger dan 16 jaar op basis van toestemming, is dit slechts rechtmatig

indien toestemming of machtiging tot toestemming is verkregen van de persoon die de ouderlijke

verantwoordelijkheid voor het kind draagt. De wet van een lidstaat kan voorzien in een lagere leeftijd, mits

deze niet lager is dan 13 jaar. De verantwoordelijke moet zich redelijk inspannen om te controleren of er

toestemming of machtiging tot toestemming is gegeven.

Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of

levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van

genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of

gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele

gerichtheid zijn verboden.



Verwerkingen van dergelijke bijzondere categorieën van persoonsgegevens zijn echter wel toegestaan

wanneer:

de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven;

de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en rechten op het

gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht;

de verwerking noodzakelijk is ter bescherming van de vitale belangen van een natuurlijk persoon

indien deze fysiek of juridisch niet in staat is zijn toestemming te geven;

de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder

winstoogmerk, werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, in het

kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking

uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die

in verband met haar doeleinden regelmatig contact met haar onderhouden, en de

persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden

verstrekt;

de betrokkene de persoonsgegevens kennelijk zelf openbaar heeft gemaakt

de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een

rechtsvordering;

de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;

de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de

beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnoses, het verstrekken

van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van

gezondheidszorgstelsels en -diensten of sociale stelsels en diensten;

de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de

volksgezondheid;

de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk

of historisch onderzoek of statistische doeleinden;

Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare

feiten

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband

houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid. Ook

mogen deze gegevens verwerkt worden wanneer de verwerking is geautoriseerd door EU-recht of recht van

de lidstaat, mits er passende waarborgen getroffen zijn om de rechten en vrijheden van betrokkenen te

beschermen.

Art. 11 Verwerking waarvoor identificatie niet is vereist

Indien de doeleinden waarvoor een verantwoordelijke persoonsgegevens verwerkt, niet of niet meer

vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan de verordening te

voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te

verwerken.

Hoofdstuk III: Rechten van de betrokkene

Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten

van de betrokkene

De informatie aan de betrokkene moet in een beknopte, transparante, begrijpelijke en gemakkelijk

toegankelijke vorm worden gepresenteerd.



De verantwoordelijke moet de betrokkenen de nodige faciliteiten bieden om zijn rechten uit te kunnen

oefenen. Worden de persoonsgegevens op elektronische wijzen verwerkt, dan moet de betrokkene ook de

mogelijkheid worden geboden om zijn rechten op elektronische wijze uit te oefenen. De verantwoordelijke

kan dan op elektronische wijze de informatie verstrekken.

De verantwoordelijke heeft maximaal een maand de tijd om te reageren op een verzoek van de betrokkene,

met de mogelijkheid van 2 maanden verlenging bij omvangrijke verzoeken. De verantwoordelijke mag in

principe geen kosten in rekening brengen voor het verzoek. Wanneer een dergelijk verzoek kennelijk

ongegrond of buitensporig is mag de verantwoordelijk een redelijke vergoeding vragen of het verzoek

weigeren. Het is aan de verantwoordelijke om aan te tonen dat het verzoek ongegrond of buitensporig is.

Het informeren van de betrokkenen kan plaatsvinden in combinatie met standaardiconen. De Commissie is

bevoegd nadere wetgeving vast te stellen over deze iconen.

Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene

Wanneer de persoonsgegevens worden verzameld bij de betrokkenen zelf, moet de betrokkene op het

moment van het verzamelen van deze gegevens worden geïnformeerd over de volgende aspecten:

De identiteit van de verantwoordelijke;

Indien van toepassing, contactgegevens van de Functionaris voor gegevensbescherming (hierna:

FG);

De doeleinden van de verwerking en de grondslag(en);

Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis

van een gerechtvaardigd belang;

De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing);

Het voornemen van doorgifte naar een derde land en geschikte waarborgen

De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn);

Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en

overdraagbaarheid van persoonsgegevens;

Het recht om toestemming in te trekken (indien sprake is van toestemming);

Het recht om een klacht in te dienen bij de bevoegde autoriteit;

Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is, en of de

betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen van het niet

verstrekken van de persoonsgegevens zijn;

Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter;

Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene

Wanneer de gegevens niet worden verzameld bij de betrokkene zelf, moet hij/zij worden geïnformeerd over

de volgende aspecten:

De identiteit van de verantwoordelijke;

Indien van toepassing, contactgegevens van de FG;

De doeleinden van de verwerking en de grondslag(en);

De betrokken categorieën persoonsgegevens;

De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing);

Doorgifte naar een derde land zonder passend beschermingsniveau (indien van toepassing);


Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis

van een gerechtvaardigd belang;

Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en

overdraagbaarheid van persoonsgegevens;



Het recht om toestemming in te trekken (indien sprake is van toestemming);


De bron van de verzamelde persoonsgegevens en of het gaat om een openbaar toegankelijke bron

(indien van toepassing);


Bovenstaande informatie moet uiterlijk binnen een maand na het verkrijgen van de persoonsgegevens aan

de betrokkene worden verstrekt. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan

moet deze informatie worden verstrekt op het moment van deze doorgifte.

Het informeren van de betrokkene is niet verplicht indien de betrokkene al op de hoogte is van deze

informatie, als het informeren van de betrokkene onmogelijk is of onevenredig veel moeite kost, als de

verkrijging of verstrekking is voor geschreven door EU-wetgeving of nationale wetgeving en voorziet in

passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene, of als de

gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van EU-wetgeving

of nationale wetgeving.

Art. 15 Recht van inzage

De betrokkene heeft het recht op inzage in de volgende informatie:

De doeleinden van de verwerking;

De categorieën persoonsgegevens waar het om gaat;

De (toekomstige) ontvangers van de persoonsgegevens;


Het bestaan van het recht op rectificatie, verwijdering, restrictie en verzet;


De bron van de verzamelde persoonsgegevens, indien de gegevens niet van de betrokkene zijn

verkregen;


Welke passende waarborgen de verantwoordelijke heeft genomen, indien de gegevens worden

verstrekt aan derde landen.

De verantwoordelijke moet een kopie verstrekken van de verwerkte persoonsgegevens. Is het verzoek op

elektronische wijze ingediend, dan dienen de kopieën eveneens in elektronische vorm te worden verstrekt.

Er mag een redelijke bijdrage gevraagd worden als de betrokkene om bijkomende kopieën vraagt. Het recht

op inzage mag geen afbreuk doen aan de rechten en vrijheden van anderen.

Art. 16 Recht op rectificatie

De betrokkene heeft het recht op rectificatie van gegevens als de gegevens onnauwkeurig zijn en het recht

op aanvulling als de gegevens incompleet zijn.

Art. 17 Recht op gegevenswissing ("recht op vergetelheid")

De betrokkene heeft het recht op uitwissing van zijn persoonsgegevens in de volgende gevallen:

De persoonsgegevens zijn niet langer noodzakelijk gelet op het doel waarvoor ze zijn verzameld of

waarvoor ze normaliter zouden zijn verwerkt;

De betrokkene heeft zijn toestemming ingetrokken en er bestaat geen andere grondslag op grond

waarvan de gegevens mogen worden verwerkt;



De betrokkene heeft gebruik gemaakt van zijn recht van verzet en er zijn geen zwaarwegende

belangen op grond waarvan de persoonsgegevens nog mogen worden verwerkt;

De gegevens zijn onrechtmatig verwerkt;

EU-wetgeving of nationale wetgeving verplicht tot uitwissing;

De persoonsgegevens zijn verzameld bij het aanbieden van diensten van de informatiemaatschappij

aan kinderen.

Zijn de betreffende gegevens openbaar gemaakt door de verantwoordelijke, dan zal hij alle redelijke

maatregelen nemen om de andere verantwoordelijken te informeren over het uitwissingsverzoek van de

betrokkene zodat alle kopieën en links naar de persoonsgegevens gewist kunnen worden.

Uitwissing is niet geoorloofd als verwerking van persoonsgegevens noodzakelijk is voor:

De vrijheid van meningsuiting;

EU-wetgeving, nationale wetgeving of een publieke taak;

Algemeen belang of algemene gezondheid;

Archiveringsdoeleinden van algemeen belang of statistisch of wetenschappelijk onderzoek;

Rechtszaken.

Art. 18 Recht op beperking van verwerking

De verantwoordelijke moet op verzoek van de betrokkene de verwerking beperken in de volgende gevallen:

De juistheid van de gegevens wordt door de betrokkene in twijfel getrokken. De verantwoordelijke

moet eerst controleren of de gegevens accuraat zijn;

De verwerking is onrechtmatig en de betrokkene verzoekt in plaats van uitwissing om restrictie van

de verwerkingen;

De gegevens zijn niet langer noodzakelijk voor de verwerkingsdoeleinden, maar moeten wel

worden bewaard voor de instelling, uitoefening of verdediging van een rechtsvordering;

De betrokkene heeft een verzoek ingediend met betrekking tot zijn recht op verzet. De

verantwoordelijke moet controleren of daartoe legitieme gronden bestaan.

De persoonsgegevens mogen bij restrictie, afgezien van de opslag ervan, slechts worden verwerkt ten

behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van

een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang. Vóórdat de restrictie

wordt opgeheven, wordt de betrokkene over deze opheffing geïnformeerd.

Art. 19 Notificatie van rectificatie, uitwissing of beperking

De verantwoordelijke dient alle ontvangers aan wie de persoonsgegevens zijn verstrekt op de hoogte te

stellen van de rectificatie, uitwissing of beperking van persoonsgegevens. Dit is niet verplicht als dit

onmogelijk is of onevenredige inspanning kost.

Art. 20 Recht op overdraagbaarheid van persoonsgegevens

Vindt verwerking van persoonsgegevens plaats op automatische wijze, dan moet de verantwoordelijke op

verzoek van de betrokkene een kopie kunnen leveren van de persoonsgegevens die deze van hem verwerkt.

Deze kopie moet worden aangeleverd in een ‘gestructureerde, algemeen gebruikte, leesbare en

interoperabele vorm. Dit recht kan alleen worden uitgeoefend als de verantwoordelijke de gegevens

verwerkt op basis van toestemming of overeenkomst. Waar technisch mogelijk, heeft de betrokkene het

recht om de gegevens rechtstreeks over te laten dragen van de ene naar de andere verantwoordelijke.

Het recht op overdraagbaarheid van persoonsgegevens mag geen inbreuk maken op de rechten van derden.



Art. 21 Recht van bezwaar/verzet

De betrokkene heeft het recht om op grond van zijn bijzondere situatie bezwaar te maken tegen

verwerkingen van zijn persoonsgegevens als deze worden verwerkt op basis van gerechtvaardigd belang of

algemeen belang. Dit recht kan niet worden ingeroepen als de verantwoordelijke dwingende legitieme

gronden voor de verwerking aantoont die zwaarder wegen dan die van de betrokkene.

Wanneer persoonsgegevens worden verwerkt voor direct marketing, heeft de betrokkene het recht zich

hiertegen te verzetten. De betrokkene heeft ook het recht om zich te verzetten tegen profilering ten

behoeve van direct marketingdoeleinden. De verantwoordelijke mag de persoonsgegevens dan niet langer

verwerken voor deze doeleinden. De betrokkene kan het recht digitaal uitoefenen in geval van diensten van

de informatiemaatschappij.

Worden persoonsgegevens verwerkt voor wetenschappelijk of statistisch onderzoek, dan mag de

betrokkene eveneens daartegen bezwaar maken op grond van zijn bijzondere situatie. Dit verzoek wordt

niet gehonoreerd bij onderzoeken van algemeen belang.

Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering

De betrokkene heeft het recht niet te worden onderworpen aan besluiten waaraan voor hem rechtsgevolgen

zijn verbonden of dat hem in aanmerkelijke mate treft die uitsluitend worden genomen op basis van

geautomatiseerde verwerkingen, waaronder profilering.

Dit uitgangspunt geldt niet indien er voldoende waarborgen zijn getroffen en het besluit:

Noodzakelijk is voor het aangaan of het uitvoeren van een overeenkomst; of

Toegestaan is op grond van nationale wetgeving; of

Is gebaseerd op uitdrukkelijk toestemming van de betrokkene.

Indien één van deze gevallen aan de orde is, mag de besluitvorming niet worden gebaseerd op bijzondere

persoonsgegevens.

Art. 23 Beperkingen

EU-wetgeving en de wetgeving van lidstaten kunnen beperkingen aanbrengen op de hierboven beschreven

rechten van betrokkenen, mits deze noodzakelijk en proportioneel zijn voor het waarborgen voor een van

de volgende doeleinden:

Nationale veiligheid;

Defensie;

Openbare veiligheid;

De voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten;

Andere algemene belangen van de EU of van een lidstaat (zoals fiscale aangelegenheden);

Het waarborgen van rechterlijke onafhankelijkheid;

De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de

beroepscodes voor gereglementeerde beroepen;

Een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit

incidenteel, met de uitoefening van het openbaar gezag, zoals hierboven bedoeld;

Bescherming van de rechten en vrijheden van anderen;

De tenuitvoerlegging van civielrechtelijke vorderingen.



De wetgeving moet specifieke bepalingen bevatten over de volgende aspecten:

Het doeleinde van de verwerking of categorieën verwerking;

De categorieën persoonsgegevens;

Het toepassingsgebied van de geïntroduceerde beperking;

De waarborgen tegen misbruik of ongeoorloofde toegang;

De specificatie van de verantwoordelijke of categorieën verantwoordelijken;

De bewaartermijnen en de van toepassing zijnde waarborgen, rekening houdend met de aard, de

omvang en het doel van de verwerking of de categorieën van verwerking;

De risico’s voor de rechten en vrijheden van de betrokkene;

Het recht van betrokkene om geïnformeerd te worden over de beperking, behalve als dit bezwarend

is voor het doel van de beperking.

Hoofdstuk IV: De verantwoordelijke en de bewerker

Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke

De verantwoordelijke moet passende technische en organisatorische maatregelen nemen zodat de

verwerking van persoonsgegevens gebeurt in overeenstemming met de verordening. De verantwoordelijke

moet bovendien kunnen aantonen dat hij passende maatregelen heeft genomen en hij moet, wanneer

nodig, deze maatregelen actualiseren. Mits proportioneel in relatie tot de verwerking, moet er ook passend

gegevensbeschermingsbeleid aanwezig zijn.

Als onderdeel van het aantonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt

van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen.

Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen

Op de verantwoordelijke rust de plicht om geschikte technische en organisatorische maatregelen, zoals het

pseudonimiseren van persoonsgegevens, toe te passen op het tijdstip van het bepalen van de verwerking

(by design) en op het tijdstip van de verwerking zelf. Om te bepalen of een maatregel geschikt is wordt

gekeken naar de stand van de techniek, de kosten, het risico van de verwerking, en de aard, scope, context

en het doel van de verwerking. Bovendien moeten er maatregelen worden getroffen zodat – by default –

alleen persoonsgegevens verwerkt worden die nodig zijn voor het specifieke doel. Hierbij wordt gekeken

naar de hoeveelheid persoonsgegevens die verzameld worden, in hoeverre deze verwerkt worden, de

bewaartermijn en de toegankelijkheid.

Om aan te tonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt van

goedgekeurde certificeringsmechanismen.

Art. 26 Gezamenlijk voor de verwerking verantwoordelijken

Wanneer twee of meer verantwoordelijken tezamen het doel en de middelen van de verwerking bepalen,

zijn zij gezamenlijk verantwoordelijk voor de verwerking. Zij bepalen, op transparante wijze, hun

respectievelijke verantwoordelijkheid in een onderlinge regeling. Met name de rechten van betrokkenen en

hun informatieplicht zijn hierbij belangrijk. In de regeling mag een aanspreekpunt worden aangewezen. Ook

moet de regeling informatie bevatten over de rollen van de verantwoordelijken en de relatie tegenover

betrokkenen. De essentie van de regeling moet voor de betrokkene beschikbaar zijn.

De betrokkene mag zijn rechten echter uitoefenen jegens elke verantwoordelijke.



Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of

bewerkers

Als de verantwoordelijke of bewerker niet is gevestigd in de EU, maar wel persoonsgegevens verwerkt van

betrokkenen in de EU, dan moet een vertegenwoordiger aan worden gewezen in de EU. Dit hoeft echter

niet als de verwerking (1) incidenteel is en (2) er geen speciale categorieën persoonsgegevens of

persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen op grote schaal worden

verwerkt en (3) het onwaarschijnlijk is dat de verwerking een risico vormt voor de rechten en vrijheden van

natuurlijke personen. Ook hoeft er geen vertegenwoordiger worden aangewezen bij verwerkingen door een

overheidsinstantie of -orgaan.

De vertegenwoordiger moet gevestigd zijn in dezelfde lidstaat waar ook de betrokkenen zich bevinden van

wie de persoonsgegevens in verband met het aanbieden van goederen of diensten worden verwerkt, of

waarvan het gedrag wordt geobserveerd.

De vertegenwoordiger moet een mandaat krijgen om in plaats van of naast de verantwoordelijke en

bewerker aangesproken te kunnen worden over alle zaken die aan de verwerking van persoonsgegevens

gerelateerd zijn (voornamelijk door de toezichthouder en de betrokkenen). Het aanwijzen van een

vertegenwoordiger doet niets af aan de rechtsmiddelen die tegen de verantwoordelijke of bewerker open

staan.

Art. 28 Bewerker

De verantwoordelijke mag alleen gebruikmaken van bewerkers die voldoende garanties kunnen geven om

geschikte technische en organisatorische maatregelen te implementeren zodat verwerkingen in

overeenstemming zijn met de vereisten van de verordening en de rechten van betrokkenen verzekerd zijn.

Zonder een specifieke of algemene autorisatie van verantwoordelijke mag er geen sub-bewerker worden

aangesteld. In het geval van een algemene autorisatie moet de verantwoordelijke worden ingelicht bij het

voornemen om een sub-bewerker te vervangen of nieuw aan te stellen, om de verantwoordelijke de kans te

geven dit te verwerpen.

Er moet een bewerkersovereenkomst (schriftelijk, waaronder elektronisch) worden gesloten die de

bewerker aan de verantwoordelijke bindt. Deze overeenkomst bevat het onderwerp, de duur, de aard, het

doel van de verwerking, het type persoonsgegeven, de categorieën betrokkenen, de rechten en plichten van

verantwoordelijke, en de volgende eisen voor de bewerker:

a) Persoonsgegevens mogen alleen verwerkt worden volgens de gedocumenteerde instructies van de

verantwoordelijke, zeker bij doorgifte naar derde landen of internationale organisaties, behalve als de

doorgifte verplicht wordt door EU-wetgeving of de wetgeving van lidstaten van de bewerker. In het

laatste geval zal de bewerker hierover informeren, behalve als dit niet mag volgens diezelfde wet op basis

van een belangrijke grond van algemeen belang;

b) Alle personen die geautoriseerd zijn om de persoonsgegevens te verwerken, hebben verplicht

vertrouwelijkheid in acht te nemen of moeten door een wettelijke verplichting aan vertrouwelijkheid

gebonden zijn;

c) Alle voorzorgsmaatregelen met betrekking tot beveiliging van persoonsgegevens moeten zijn genomen;

d) De eisen voor sub-bewerkers moeten gerespecteerd worden;

e) De bewerker moet het mogelijk maken (organisatorische en technische maatregelen) voor de

verantwoordelijke om aan diens verplichtingen met betrekking tot de rechten van betrokkenen te

voldoen;

f) De bewerker moet de verantwoordelijke assisteren bij het naleven van de verplichtingen met betrekking

tot beveiliging van persoonsgegevens, datalekken en Privacy Impact Assessments;



g) De bewerker moet bij beëindiging van diensten op het gebied van verwerkingen van persoonsgegevens

alle persoonsgegevens wissen of teruggeven aan de verantwoordelijke en nog bestaande kopieën

wissen, behalve als EU-recht of het recht van de lidstaat verplicht tot het bewaren van deze

persoonsgegevens;

h) De bewerker moet alle informatie met betrekking tot dit artikel beschikbaar maken aan

verantwoordelijke en audits en inspecties door de verantwoordelijke of gemandateerde auditor toestaan

en hieraan meewerken. Indien een instructie, volgens de bewerker, tegen de verordening, EU-recht of

recht van de lidstaat ingaat, moet de bewerker onmiddellijk de verantwoordelijke op de hoogte stellen.

In een contract met een sub-bewerker moeten dezelfde verplichtingen gelden als die uit de

bewerkersovereenkomst tussen verantwoordelijke en bewerker. Als de sub-bewerker zijn verplichtingen tot

gegevensbescherming niet nakomt, zal de bewerker volledig aansprakelijk zijn jegens de verantwoordelijke.

Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan door de bewerker

gebruikt worden om aan te tonen dat het bovenstaande garanties biedt.

De bewerkersovereenkomst mag, geheel of gedeeltelijk, gestoeld worden op model contractbepalingen die

door de Europese Commissie of door de toezichthouder zijn opgesteld. De Europese Commissie moet voor

het maken van deze standaard contractclausules wel een onderzoeksprocedure in acht nemen. De

toezichthouder moet hiervoor het consistentieprincipe in acht nemen.

Als een bewerker in strijd met de verordening het doel en de middelen van de verwerking vaststelt, wordt

hij geacht de verantwoordelijke te zijn.

Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker

De bewerker en elke persoon onder gezag van de verantwoordelijke of bewerker die toegang heeft tot

persoonsgegevens, mag deze niet verwerken behalve na instructie van de verantwoordelijke of als dit

verplicht wordt door EU-recht of het recht van lidstaat.

Art. 30 Documentatieplicht

Bedrijven moeten een administratie bijhouden met alle verwerkingsactiviteiten. Deze moet beschikbaar

gemaakt worden aan de toezichthouder als hij daar om vraagt. De documentatieplicht vervalt voor

bedrijven met minder dan 250 werknemers behalve wanneer (1) de verwerkingen een risico vormen voor de

rechten en vrijheden van betrokkenen, (2) het verwerken niet incidenteel is 0f (3) er speciale categorieën

persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen

verwerkt worden.

Documentatieplicht verantwoordelijke Elke verantwoordelijke en - indien aanwezig - vertegenwoordiger houdt een administratie (schriftelijk of

elektronisch) bij met alle verwerkingsactiviteiten onder zijn verantwoordelijkheid. Deze administratie bevat

de volgende informatie:

a) Naam en contactgegevens van verantwoordelijke (en - indien aanwezig - joint controller,

vertegenwoordiger, en FG);

b) Doel van de verwerking;

c) Beschrijving van categorieën betrokkenen en persoonsgegevens;

d) De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of zullen worden,

inclusief ontvangers in derde landen;

e) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;

f) Indien mogelijk: voorgenomen bewaartermijnen;



g) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligings-

maatregelen.

Documentatieplicht bewerker

Elke bewerker, en - indien aanwezig - vertegenwoordiger, houdt een administratie (schriftelijk en

elektronisch) bij met alle verwerkingsactiviteiten die hij uitvoert namens de verantwoordelijke. Deze

administratie bevat de volgende informatie:

a) Naam en contactgegevens van bewerker en van elke verantwoordelijke namens wie de bewerker

optreedt (en - indien aanwezig – van vertegenwoordiger, en FG);

b) De categorieën verwerkingen uitgevoerd namens elke verantwoordelijke;

c) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;

d) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiliging-

smaatregelen.

Art. 31 Medewerking met de toezichthoudende autoriteit

Elke verantwoordelijke en bewerker, en indien aanwezig vertegenwoordiger, zal medewerking verlenen aan

de toezichthouder bij het uitoefenen van de taken van de toezichthouder.

Art. 32 Beveiligde verwerking

Passende technische en organisatorische beveiligingsmaatregelen moeten worden genomen om een

beveiligingsniveau te waarborgen dat passend is voor het risico. Hierbij moet rekening gehouden worden

met de stand van de techniek, kosten van implementatie, de aard, reikwijdte, context en doeleinden van de

verwerking en de risico’s en impact op de rechten en vrijheden van individuen.

Daarbij moeten o.a. de volgende maatregelen, indien passend, worden genomen:

Pseudonimiseren en encryptie van persoonsgegevens;

Verzekeren van de geheimhouding, integriteit en beschikbaarheid van persoonsgegevens;

De mogelijkheid om gegevens te herstellen bij fysieke of technische incidenten;

Maatregelen regelmatig testen en evalueren.

Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan gebruikt worden om

aan te tonen dat voldaan wordt aan de hierboven beschreven verplichtingen.

Art. 33 Melden datalek aan de toezichthouder

De verantwoordelijke meldt onverwijld, of ten minste 72 uur na ontdekking, een datalek aan de bevoegde

toezichthouder, tenzij het datalek vermoedelijk geen inbreuk vormt op de rechten en vrijheden van

individuen. De melding moet zijn voorzien van een redelijke verklaring in het geval het niet is gelukt de

melding te doen binnen 72 uur.

De bewerker meldt een datalek onverwijld aan de verantwoordelijke. De melding moet ten minste de

volgende elementen bevatten:

De aard van het datalek, incl. welke groepen betrokkenen getroffen zijn, indicatie van het aantal betrokkenen, de soort gegevens en een indicatie van het aantal gegevens;

De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen;

De (te verwachten) consequenties van het datalek;

Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken.



Als het niet mogelijk is om alle informatie ineens te geven, mag dit zonder onnodige vertraging in fasen.

De verantwoordelijke documenteert alle datalekken. Dit overzicht bevat ten minste de feiten van het

datalek, de gevolgen ervan en de maatregelen die zijn genomen om verdere schade te voorkomen. De

documentatie moet het voor de toezichthouder mogelijk maken om na te gaan in hoeverre de

verantwoordelijke compliant is met dit artikel.

Art. 34 Inlichten van betrokkene over datalek

Betrokkenen moeten onverwijld door de verantwoordelijke van het datalek op de hoogte worden gebracht

indien het waarschijnlijk is dat het datalek een hoog risico vormt voor de rechten en vrijheden van de

betrokkene.

De melding aan betrokkene moet duidelijk de aard van het datalek beschrijven en ten minste de volgende

onderdelen bevatten:

De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen;

De (te verwachten) consequenties van het datalek;

Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken.

Betrokkene hoeft niet te worden geïnformeerd als:

De verantwoordelijke passende technische en organisatorische beveiligingsmaatregelen heeft genomen en deze maatregelen ervoor zorgen dat de gelekte gegevens onbruikbaar zijn voor personen die niet geautoriseerd zijn, zoals d.m.v. encryptie;

De verantwoordelijke maatregelen heeft genomen die ervoor hebben gezorgd dat de eerder beschreven risico’s voor betrokkenen zich niet voor kunnen doen;

Het voor de verantwoordelijke een onevenredige last is om betrokkenen te informeren. In dit geval moet er een publieke mededeling worden gedaan of op andere, net zo effectieve wijze worden gecommuniceerd.

De toezichthouder kan de verantwoordelijke verplichten de mededeling aan betrokkene alsnog te doen,

indien de verantwoordelijk dit (nog) niet heeft gedaan en de toezichthouder van mening is dat het datalek

ernstige gevolgen kan hebben voor de betrokkene. De toezichthouder kan ook bepalen dat aan een van de

gronden voor niet-hoeven-melden is voldaan.

Art. 35 Data Protection Impact Assessment (PIA)

Wanneer een verwerking een verhoogd risico voor de rechten en vrijheden van individuen vormt, moet de

verantwoordelijke, voorafgaand aan de verwerking, een Privacy Impact Assessment (PIA) uitvoeren. Indien

er een FG is aangesteld, wordt deze geconsulteerd.

In de volgende gevallen zal in ieder geval een PIA worden uitgevoerd:

a) Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op een geautomatiseerde verwerking (incl. profilering) en op grond waarvan besluiten met rechtsgevolgen worden genomen of die op andere wijze significante gevolgen heeft voor een natuurlijk persoon;

b) Het op grote schaal verwerken van bijzondere of strafrechtelijke persoonsgegevens; c) Het stelselmatig en grootschalig monitoren van openbaar toegankelijke ruimten; d) Wanneer de verwerking op de lijst van de toezichthouder voorkomt. Deze lijst wordt in samenspraak met

de andere Europese toezichthouders vastgesteld t.b.v. de consistente uitleg van de verordening.



Een PIA bevat ten minste:

Een beschrijving van de voorziene verwerkingen en de doelen die daarmee gediend zijn, inclusief een eventueel gerechtvaardigd belang,

Een beoordeling van de noodzakelijkheid en proportionaliteit in verhouding tot de doelen van de verwerking,

Een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen,

De v00rgen0men maatregelen om deze risico’s te adresseren en om compliance met de verordening aan te tonen.

Voldoen aan een goedgekeurde gedragscode wordt in aanmerking genomen bij de beoordeling.

De verantwoordelijke vraagt in voorkomende gevallen de betrokkenen of hun vertegenwoordigers naar hun

mening over de voorgenomen verwerking.

Wanneer een verwerking gebaseerd is op een wettelijke plicht of publiek(rechtelijk)e taak die zijn grondslag

vindt in EU-wetgeving of de wetgeving van lidstaten en er reeds als onderdeel van een algemene

effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een PIA is uitgevoerd, hoeft er niet

nogmaals een PIA te worden uitgevoerd.

Wanneer nodig - in ieder geval wanneer het risico verandert - zal de verantwoordelijke moeten beoordelen

of de verwerking in overeenstemming met de PIA geschiedt.

Art. 36 Voorafgaande consultatie

De verantwoordelijke dient de toezichthouder te consulteren over de verwerking, wanneer de betreffende

PIA wijst op hoge risico’s, indien geen maatregelen worden genomen ter beperking van deze risico’s. De

toezichthouder adviseert binnen acht, maximaal veertien, weken wanneer zij de verwerking niet in

overeenstemming met de verordening acht.

De verantwoordelijke dient in geval van consultatie de volgende informatie aan de toezichthouder te

verstrekken:

De verdeling van verantwoordelijkheden tussen (mede)verantwoordelijken en bewerkers;

Doel en middelen van de verwerking;

Maatregelen en waarborgen ter bescherming van de rechten en verantwoordelijkheden van betrokkenen;

Contactinformatie van de FG;

De PIA;

De wetgever dient de toezichthouder te consulteren over wetsvoorstellen die betrekking hebben op de

verwerking van persoonsgegevens. De wet van een lidstaat mag bepalen dat de verantwoordelijke die

gegevens verwerkt voor de goede vervulling van een publiek(rechtelijk)e taak, de toezichthouder dient te

consulteren over deze verwerking en 0m autorisatie dient te vragen.

Art. 37 Aanstelling FG

In de volgende gevallen moet er verplicht een FG worden aangesteld:

a) Als de verwerking door een publiek orgaan uitgevoerd wordt (behalve rechtbanken). b) Als de aard van de verwerking (soort gegevens, reikwijdte, doel, grootschalige monitoring van

betrokkenen) hiertoe aanleiding geeft. c) In geval van grootschalige verwerking van bijzondere gegevens.



Een groep van ondernemingen mag één FG aanstellen mits deze voor medewerkers van alle ondernemingen

goed bereikbaar is. Publieke organen mogen gezamenlijk één FG aanstellen met inachtneming van hun

grootte en structuur. In andere gevallen kan bij EU-wetgeving of wetgeving van de lidstaat bepaald worden

dat een FG aangesteld moet worden.

De FG wordt aangesteld op basis van zijn professionele capaciteiten en expertise op het gebied van

gegevensbeschermingsrecht en de praktijk. Een FG mag zowel in vaste dienst zijn als van een externe

organisatie worden ingehuurd.

De verantwoordelijke of bewerker maakt de contactgegevens van de FG bekend en deelt die mee aan de

toezichthoudende autoriteit.

Art. 38 Positie van de FG

De FG moet bij relevante zaken betrokken worden door de verantwoordelijke of bewerker. De

verantwoordelijke of bewerker ondersteunen de FG bij het uitvoeren van zijn taken.

Betrokkenen kunnen de FG rechtstreeks raadplegen over de verwerking van hun gegevens en de

uitoefening van hun rechten.

De verantwoordelijke of bewerker zorgt dat de FG geen uitvoeringsinstructies zal ontvangen, of op

grond van de taakuitvoering kan worden ontslagen of beboet. De FG rapporteert aan het hoogste

managementniveau. De FG is gebonden aan geheimhouding, voor zover in overstemming met het

recht van lidstaat. De FG mag andere taken vervullen, zolang deze geen belangenverstrengeling

opleveren.

Art. 39 Taken van de FG

De FG heeft ten minste de volgende taken:

Informeren en adviseren van verantwoordelijke, bewerker en medewerkers die persoonsgegevens verwerken;

Compliance monitoring, toewijzen van verantwoordelijkheden, awareness, training en auditbegeleiding;

Op verzoek adviseren over PIA’s en de uitvoering daarvan monitoren;

Samenwerken met en aanspreekpunt zijn voor de toezichthouder. De FG houdt bij de uitvoering van zijn taken rekening met de risico’s van de verwerking gezien de aard,

reikwijdte, context en doel van de verwerking.

Art. 40 Gedragscodes

De lidstaten, de toezichthoudende autoriteiten, de EDPB en de Europese Commissie bevorderen de

opstelling van gedragscodes. Verenigingen en andere organen die categorieën van verantwoordelijken of

bewerkers vertegenwoordigen mogen codes voorstellen of wijzigen, om de verordening meer specifiek uit

te werken, zoals in het geval van:

a) eerlijke en transparante verwerking;

b) gerechtvaardigd belang;

c) gegevensverzameling;

d) pseudonimisering;

e) informatieverstrekking;

f) uitoefenen van rechten van betrokkenen;

g) bescherming van kinderen;

h) beveiliging;



i) datalekken;

j) internationale gegevensoverdracht;

k) buitengerechtelijke procedures en geschiloplossing.

De gedragscode bevat mechanismen die het uitvoeren van verplichte compliance monitoring mogelijk

maken.

Gedragscodes worden ter goedkeuring overlegd aan de toezichthouder. Wanneer de gedragscode is

goedgekeurd en geen betrekking heeft op activiteiten in verschillende lidstaten, zal de toezichthouder de

code registreren en publiceren. Wanneer de gedragscode op verwerkingen in meerdere lidstaten ziet, zal de

toezichthouder voorafgaand aan het verlenen van toepassing de code voorleggen aan de EDPB. Wanneer

de EDPB een goedkeuring voorziet, wordt deze mening voorgelegd aan de Europese Commissie. De

Europese Commissie kan gedragscodes via een onderzoeksprocedure goedkeuren. De Europese Commissie

publiceert de goedgekeurde codes. De EDPB verzamelt alle goedgekeurde gedragscodes in een register en

maakt deze openbaar.

Art. 41 Toezicht op goedgekeurde gedragscodes

Een door de toezichthouder geaccrediteerde organisatie met voldoende expertise kan gedragscodes

monitoren. Accreditatie vindt plaats indien:

a) De organisatie aantoonbaar onafhankelijk is en expertise heeft in het werkveld van de gedragscode;

b) Procedures zijn opgesteld om te controleren of de betrokken verantwoordelijken en bewerkers in

aanmerking kunnen komen voor gedragscodes, om de naleving te controleren en deze periodiek te

controleren;

c) Procedures zijn opgesteld waarin is vastgelegd hoe om wordt gegaan met (klachten over) inbreuken op

de gedragscode of over de wijze waarop de gedragscode is geïmplementeerd

d) De organisatie kan aantonen dat er geen sprake is van een belangenconflict

De toezichthouder zal de concept-criteria voor accreditatie overleggen aan de EDPB. De toezichthoudende

instantie zal actie ondernemen in geval van inbreuk op een gedragscode en kan de betrokken organisatie

uit sluiten van die gedragscode. Deze toezichthoudende instantie zal de toezichthouder inlichten over deze

maatregelen en de reden daarvoor. Het verwerken van persoonsgegevens door overheidsorganen kan niet

worden gemonitord door een toezichthoudende instantie.

Art. 42 Certificering

Op EU niveau wordt een certificeringsmechanisme en een systeem over gegevensbeschermingszegels en –

merktekens ingesteld om aan te tonen dat de betrokken organisatie of persoon handelt in

overeenstemming met de verordening. Er wordt daarbij rekening gehouden met de specifieke kenmerken

van het MKB. De mechanismen, zegels en merktekens kunnen ook worden gebruikt om aan te tonen dat er

passende maatregelen zijn genomen door verantwoordelijken en bewerkers die niet onder de verordening

vallen. Hierover worden bindende afspraken gemaakt.

Certificering is vrijwillig en transparant en doet niet af aan de plicht om te handelen in overeenstemming

met de verordening, noch aan de bevoegdheden van de toezichthouder. Een certificaat wordt toegekend

door de toezichthouder of een organisatie met voldoende expertise op het gebied van gegevens-

bescherming, op basis van criteria die zijn goedgekeurd door de toezichthouder of de EDPB zelf. In het

laatste geval wordt een ‘Europees gegevensbeschermingszegel’ toegekend. Om in aanmerking te komen

voor certificering moet alle noodzakelijke informatie worden verstrekt en toegang worden verschaft tot de

verwerkingsactiviteiten.



Het certificaat is voor maximaal 3 jaar geldig en kan onder dezelfde voorwaarden worden verlengd. Het

wordt ingetrokken als niet langer aan de voorwaarden is voldaan. Het EDPB zal alle gecertificeerde

instanties in een register bijhouden en openbaar maken.

Art. 43 Certificeringsinstelling en procedure

De certificering kan, na overleg met de toezichthouder, worden toegekend en vernieuwd door een

certificeringsinstelling met voldoende expertise op het gebied van gegevensbescherming. De lidstaten

moeten aangeven of deze instellingen zijn geaccrediteerd door de toezichthouder of een orgaan in de zin

van de Verordening 765/2008. In Verordening 765/2008 wordt voor het eerst een aantal algemene

beginselen en vereisten – die overeenkomen met internationale ISO/IEC normen – voor de nationale

accreditatie-instanties geïntroduceerd. Het doel is om accreditatie te verscherpen als laatste controleniveau

binnen het conformiteitsbeoordelingssysteem en om het vertrouwen in de resultaten van conformiteits-

beoordeling te verbeteren.

De accreditatie van de certificeringsinstelling vindt alleen plaats als:

a) De instelling aantoonbaar onafhankelijk is en expertise heeft in het werkveld van de gedragscode.

b) De instelling heeft stappen ondernomen om te voldoen aan de verordening en is goedgekeurd door de

toezichthouder of de EDPB.

c) Procedures heeft opgesteld voor toekenning, periodieke controle en intrekking van het certificaat.

d) Procedures zijn vastgesteld waarin is vastgelegd hoe om wordt gegaan met (klachten over) inbreuken op

de certificering of over de wijze waarop de certificering is geïmplementeerd.

e) De instelling kan aantonen dat er geen sprake is van een belangenconflict.

De accreditatie vindt plaats aan de hand van criteria die zijn goedgekeurd door de toezichthouder of de

EDPB. De certificeringsinstelling is verantwoordelijk voor de beoordelingsprocedure voor het toekennen of

intrekken van de certificering. De accreditatie wordt verleend voor maximaal 5 jaar en kan onder dezelfde

voorwaarden worden verlengd, zolang de organisatie aan de eisen voldoet. De criteria op grond waarvan

accreditatie plaatsvindt worden gepubliceerd door de toezichthouder en worden eveneens doorgegeven

aan de EDPB. De EDPB zal alle certificeringsmechanismen en ‘Europees gegevensbeschermingszegel’ in

een register bijhouden en openbaar maken.

De certificeringsinstelling zal de toezichthouder inlichten over de reden voor toewijzing of intrekking van de

certificering. De accreditatie wordt ingetrokken als niet langer wordt voldaan aan de voorwaarden voor

accreditatie.

De Commissie kan nadere eisen stellen over de certificeringsmechanismen en technische standaarden

vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels.

Hoofdstuk V: Doorgifte van persoonsgegevens naar derde landen of internationale

organisaties

Art. 44 Algemeen beginsel inzake doorgiften

Alle doorgiften van persoonsgegevens die verwerkt worden of bedoeld zijn om verwerkt te worden in een

derde land of bij een internationale organisatie, moeten aan alle voorwaarden van dit hoofdstuk voldoen.



Art. 45 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt

verklaard

‘Adequacy decision’: Doorgifte naar een derde land mag plaatsvinden als er een besluit is van de Europese

Commissie is, waarin is bepaald dat verstrekkingen aan een bepaald land of gebied toegestaan zijn.

Hierbij wordt rekening gehouden met geldend recht, respect voor mensenrechten en fundamentele

vrijheden, publieke veiligheid, strafrecht, toegang tot persoonsgegevens door publieke autoriteiten,

gegevensbeschermingsrecht en beveiliging van informatie. Ook wordt er gekeken naar de aanwezigheid

van een toezichthoudend orgaan dat effectief toezicht houdt.

Elke vier jaar wordt opnieuw gekeken of het derde land nog steeds adequate bescherming biedt.

Art. 46 Doorgiften op basis van passende waarborgen

Zonder bovenstaande ‘Adequacy decision’ is doorgifte alsnog toegestaan mits er voldoende passende

waarborgen zijn. Deze waarborgen kunnen worden geboden door de volgende instrumenten:

1. Zonder voorafgaande toestemming van de toezichthouder:

a) Een juridisch bindende regeling tussen overheidsorganen

b) Bindende bedrijfsvoorschriften

c) Standaard modelbepalingen

d) Een goedgekeurde gedragscode

e) Een goedgekeurd certificatiemechanisme

2. Met voorafgaande toestemming van de toezichthouder:

a) Contractsbepalingen tussen verantwoordelijke en bewerker in het derde land

b) Bepalingen in administratieve regelingen tussen overheidsorganen

Art. 47 Doorgiften op grond van bindende bedrijfsvoorschriften

Bindende bedrijfsvoorschriften zijn bindende regels die gelden voor een hele groep ondernemingen die een

gezamenlijke economische activiteit uit voeren. Deze bindende bedrijfsvoorschriften verlenen afdwingbare

rechten voor betrokkenen met betrekking tot verwerkingen van hun persoonsgegevens. De bindende

bedrijfsvoorschriften moeten het volgende bevatten:

a) De structuur en contactinformatie van de groep ondernemingen en elke onderneming apart;

b) De doorgifte, inclusief categorieën persoonsgegevens, type verwerking en het doel, type betrokkenen

en naar welke derde landen doorgifte plaatsvindt;

c) De juridisch bindende aard van de bindende bedrijfsvoorschriften, zowel extern als intern;

d) De toepassing van de algemene beginselen inzake gegevensbescherming;

e) De rechten van betrokkenen;

f) De acceptatie van aansprakelijkheid door een verantwoordelijke of bewerker, gevestigd in de EU, voor

het overtreden van de bindende bedrijfsvoorschriften door een groepslid dat niet gevestigd is in de EU;

g) Hoe de informatie over de Bindende bedrijfsvoorschriften beschikbaar gesteld wordt aan betrokkenen;

h) De taken van de FG;

i) De klachtenprocedure;

j) De mechanismen in de groep om compliance met de bindende bedrijfsvoorschriften te garanderen;

k) De mechanismen voor het rapporteren en doorvoeren van veranderingen in de bindende

bedrijfsvoorschriften en het doorgeven van deze veranderingen aan de toezichthouder;

l) De coöperatiemechanismen met de toezichthouder om compliance door elk lid van de groep te

verzekeren;



m) De mechanismen om te rapporteren aan welke wettelijke eisen een groepslid in een derde land moet

voldoen, die waarschijnlijk een wezenlijk nadelig effect kunnen hebben op de garanties van de bindende

bedrijfsvoorschriften;

n) Geschikte training voor het personeel dat toegang heeft tot persoonsgegevens.

Art. 48 Ongeautoriseerde doorgiften of verstrekkingen

Als rechterlijke uitspraken in derde landen verplichten tot de doorgifte van persoonsgegevens, dan mag de

verantwoordelijke deze persoonsgegevens alleen doorgeven als daar internationale afspraken zoals een

verdrag inzake wederzijdse rechtsbijstand over zijn gesloten.

Art. 49 Afwijkingen voor specifieke situaties

Wanneer voor een land geen adequacy decision is afgegeven en wanneer er geen bindende

bedrijfsvoorschriften zijn om voldoende bescherming te bieden, mag doorgifte van persoonsgegevens

alleen plaats vinden mits:

a) De betrokkene uitdrukkelijk toestemming voor de doorgifte heeft gegeven, of;

b) De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst, of;

c) De doorgifte noodzakelijk is voor een gewichtige reden van algemeen belang, of;

d) De doorgifte noodzakelijk is voor de instelling, uitoefening of verdediging van een rechtsvordering;

e) De doorgifte noodzakelijk is voor een vitaal belang van de betrokkene.

f) De doorgifte is verricht vanuit een register dat op grond van EU wetgeving of wetgeving van lidstaten is

bedoeld om het publiek voor te lichten;

g) De doorgifte niet op bovenstaande situaties berust en de doorgifte niet repetitief is, een beperkt aantal

betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de

verantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de

betrokkene. In dit geval moet de verantwoordelijke de toezichthouder en de betrokkene hierover

informeren.

Art. 50 Internationale samenwerking voor de bescherming van persoonsgegevens

De Europese Commissie en toezichthouders moeten stappen nemen om internationale samenwerking te

bevorderen. Dit doen zij onder andere door procedures te ontwikkelen voor internationale samenwerking,

internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving, belanghebbenden te

betrekken bij samenwerking en de uitwisseling en het documenteren van wetgeving en praktijken.

Hoofdstuk VI: Onafhankelijke toezichthoudende autoriteiten

Art. 51 Toezichthoudende autoriteit

Iedere lidstaat zal zorgen voor één of meer toezichthoudende autoriteiten (toezichthouders), belast met het

handhaven van de verordening.

De Europese toezichthouders werken samen teneinde de verordening eenduidig toe te passen. Lidstaten

worden slechts door één toezichthouder vertegenwoordigd in deze samenwerkingsverbanden. Lidstaten

stellen de (Europese) Commissie op de hoogte van voorzieningen die in het kader van dit hoofdstuk worden

getroffen.



Art. 52 Onafhankelijkheid

Toezichthouders voeren hun taken uit in volledige onafhankelijkheid. Leden van de toezichthouder voeren

hun taken uit zonder door externen beïnvloed te worden en onthouden zich van gedrag dat niet verenigbaar

is met hun taken. Lidstaten garanderen dat de toezichthouder:

voorzien is van de nodige menselijke, technische en financiële middelen, onderkomen en infrastructuur om hun taken effectief uit te voeren;

zijn eigen personeel kiest;

niet in zijn onafhankelijkheid geschaad wordt door het financiële beleid. De toezichthouder zal voorzien worden van een apart, openbaar, jaarlijks budget.

Art. 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

Lidstaten garanderen dat de leden van de toezichthouder doormiddel van een transparante procedure

worden aangesteld door ofwel:

het parlement,

de regering,

het staatshoofd,

een onafhankelijk orgaan, bij wet ingesteld. Leden van de toezichthouder zullen de juiste kwalificaties, ervaring en vaardigheden hebben die vereist zijn

om hun taak naar behoren uit te oefenen. De taken van de leden eindigen door het verstrijken van de

ambtstermijn, bij ontslag of verplichte pensionering (overeenkomstig de verordening). Leden kunnen alleen

uit hun taak ontheven worden in geval van ernstig wangedrag of wanneer niet langer aan de voorwaarden

voor uitvoering van de taak wordt voldaan.

Art. 54 Oprichting van de toezichthoudende autoriteit

Iedere lidstaat zal het volgende bij wet voorzien:

de oprichting van een toezichthouder;

de kwalificaties, de ervaring en de vaardigheden die nodig zijn om als lid te worden benoemd;

de regels en procedures voor het aanstellen van leden van de toezichthouder (hierna: de leden);

de ambtstermijn van de leden;

of de leden opnieuw kunnen worden benoemd;

de voorwaarden in verband met de plichten van het lid en de procedures voor de beëindiging van de taken van de leden.

De leden betrachten geheimhouding, zowel tijdens als na hun ambtstermijn.

Art. 55 Competentie

Elke toezichthouder oefent op het grondgebied van haar lidstaat de bevoegdheden uit die haar in de

verordening zijn toegekend. Bij verwerkingen door de publieke autoriteiten of private organisaties op grond

van een wettelijke verplichting of publieke taak, is de toezichthouder van die lidstaat bevoegd. De

toezichthouder is niet bevoegd om toe te zien op verwerkingen door gerechtelijke instanties in het kader

van hun gerechtelijke taken.

Art. 56 Competentie van de hoofdtoezichthouder

De toezichthouder van de hoofdvestiging of de enige vestiging is bevoegd om op te treden als leidende

toezichthouder bij internationale verwerkingen. De leidende toezichthouder is de enige gesprekspartner

van de verantwoordelijke of bewerker bij internationale gegevensverwerkingen.



In afwijking hiervan is elke toezichthouder bevoegd klachten en mogelijke inbreuken op de verordening af

te handelen als het probleem enkel betrekking heeft op een vestiging in zijn lidstaat of op betrokkenen in

zijn lidstaat. In dat geval zal de toezichthouder onverwijld de leidende toezichthouder op de hoogte stellen.

Deze zal binnen 3 weken bepalen of zij de zaak afhandelt.

Art. 57 Taken

De toezichthouder:

ziet toe op en handhaaft de toepassing van deze verordening;

geeft voorlichting aan het brede publiek;

adviseert het parlement, de regering en andere instituties en lichamen;

geeft voorlichting aan verantwoordelijken en bewerkers over hun plichten onder de verordening;

verstrekt desgevraagd informatie aan betrokkene over de uitoefening van diens rechten;

behandelt klachten van betrokkenen;

werkt samen met andere Europese toezichthouders;

voert onderzoeken uit naar de naleving van de verordening;

houdt relevante ontwikkelingen bij op het gebied van gegevensbescherming;

keurt contractuele standaardbepalingen goed;

stelt een lijst op van alle verwerkingsactiviteiten waar een PIA voor moet plaatsvinden en onderhoudt deze;

verleent toestemming voor verwerkingen waar voorafgaande consultatie van de toezichthouders verplicht is;

stimuleert het opstellen van gedragscodes, geeft hierover advies uit en keurt deze goed;

stimuleert het oprichten van certificeringsmechanismen en keurmerken, stelt criteria voor certificering vast en voert hierop periodieke reviews uit;

maakt en publiceert de criteria voor accreditatie en kent accreditatie toe;

autoriseert contractuele clausules en maatregelen;

keurt bindende bedrijfsvoorschriften goed;

draagt bij aan de EDPB;

houdt intern een overzicht bij van de uitgevaardigde sancties en waarschuwingen;

vervult alle andere taken die betrekking hebben op de bescherming van persoonsgegevens.

De toezichthouder moet een (elektronisch) formulier aanbieden waarmee klachten kunnen worden

ingediend over bepaalde gegevensverwerkingen. De toezichthouder mag geen kosten in rekening brengen

aan de betrokkene voor zijn werk, tenzij het gaat om excessieve of repetitieve verzoeken.

Art. 58 Bevoegdheden

De toezichthouders hebben de volgende onderzoeksbevoegdheden:

Het opvragen van informatie bij een verantwoordelijke of bewerker om nader onderzoek te kunnen doen of om certificeringen te beoordelen;

Het op de hoogte stellen van een verantwoordelijke of bewerker van een (vermeende) schending van de verordening;

Het verkrijgen van toegang tot alle persoonsgegevens, informatie en gebouwen van de verantwoordelijke of bewerker die nodig zijn om zijn taken te kunnen uitoefenen;

De toezichthouders hebben de volgende corrigerende bevoegdheden:

Waarschuwen dat toekomstige verwerkingen een inbreuk zullen maken op de verordening;

Terechtwijzen dat de verordening is geschonden door bepaalde verwerkingen;

Bevelen om te voldoen aan de rechten van de betrokkene;



Bevelen om de verwerkingen op een bepaalde manier, binnen een redelijke termijn in overeenstemming te brengen met de verordening;

Bevelen een datalek te melden bij de betrokkenen;

Het instellen van een beperking of een verbod op verwerking;

Bevelen van rectificatie, beperking of uitwissing van gegevens in een mededeling daarvan aan de betrokkene;

Het (laten) intrekken van een certificering of het niet langer (laten) verstrekken van een certificering als niet is voldaan aan de voorwaarden;

Het opleggen van een administratieve sanctie in plaats van of naast een van de bovengenoemde handelingen, afhankelijk van de omstandigheden van het geval;

Het opschorten van gegevensstromen naar derde landen. De toezichthouders hebben de volgende autorisatie- en adviesbevoegdheden:

Het adviseren bij verwerkingen waarbij voorafgaand raadpleging verplicht is;

Het uitvaardigen van opinies aan lidstaten of andere instanties die zich bezighouden met de verwerking van persoonsgegevens;

Het goedkeuren van verwerkingen als de (nationale) wet dit vereist;

Het uitbrengen van opinies over gedragscodes en het goedkeuren van opinies;

Het accrediteren van certificeringsinstanties;

Het uitbrengen van certificeringen en het goedkeuren van criteria voor certificering;

Het autoriseren en aannemen van standaardclausules;

Het goedkeuren van bindende bedrijfsvoorschriften.

De bovengenoemde bevoegdheden zijn omgeven met passende waarborgen, inclusief de mogelijkheid om

een doeltreffend rechtsmiddel met een eerlijk proces in te stellen tegen de beslissing.

Elke toezichthouder is bevoegd om schendingen van deze verordening ter kennis van de gerechtelijke

autoriteiten te brengen en daartegen in rechte op te treden. Lidstaten kunnen nadere bevoegdheden

toekennen aan de toezichthoudende autoriteit van die lidstaat.

Art. 59 Activiteitenverslag

Elke toezichthouder stelt jaarlijks een verslag op over haar activiteiten, met hierin mogelijk een lijst van de

soorten gemelde inbreuken en opgelegde straffen. De toezichthouder stuurt dit verslag naar het parlement

van de lidstaat, de regering en elke andere autoriteit die daartoe is aangewezen door wetgeving van de

lidstaat.

Art. 60 Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken

toezichthoudende autoriteiten

De leidende toezichthouder moet samenwerken (“Wederzijdse bijstand”) en informatie delen met de

betreffende toezichthouders. De leidende toezichthouder stelt een ontwerpbesluit op over binnengekomen

klachten zodat andere toezichthouders, na geraadpleegd te zijn, hier binnen vier weken bezwaar op kunnen

maken. Het genomen besluit wordt bij geen bezwaar aangenomen en overlegd aan de hoofdvestiging van

de verantwoordelijke of bewerker, het EDPB en de relevante toezichthouders. Bovendien licht hij de klager

in over het besluit. Als een klacht deels wordt afgewezen, zal er een apart besluit over de verschillende delen

worden genomen. De informatie-uitwisseling zal elektronisch plaatsvinden, met het gebruik van een

standaardformulier.



Hoofdstuk VII: Samenwerking en conformiteit

Art. 61 Wederzijdse bijstand

Toezichthouders moeten relevante informatie en wederzijdse bijstand verschaffen zodat de verordening op

een consistente manier wordt toegepast. Ze moeten middelen inrichten voor een effectieve samenwerking.

Ook moeten toezichthouders passende maatregelen nemen om zo snel mogelijk aan verzoeken van andere

toezichthouders te kunnen voldoen. Een dergelijk verzoek mag niet worden geweigerd behalve als:

De toezichthouder niet bevoegd is;

Het verzoek strijdig is met de verordening.

De verzochte toezichthouder houdt de verzoekende toezichthouder op de hoogte van het resultaat, de

voortgang en de maatregelen die hij neemt en legt, bij weigering van een verzoek, uit waarom. Er mogen

geen kosten worden gevraagd met betrekking tot wederzijdse bijstand. De Europese Commissie mag het

model en de procedures rondom wederzijdse bijstand vastleggen.

Art. 62 Gezamenlijke werkzaamheden van de toezichthouder

De toezichthouders zullen, waar passend, gezamenlijke operaties uitvoeren, zoals gezamenlijke

handhavingsmaatregelen. Als de verantwoordelijke of bewerker vestigingen heeft in meerdere lidstaten of

er een significant aantal betrokkenen zich bevindt in meer dan één lidstaat, heeft elk van deze lidstaten het

recht om mee te doen aan de gezamenlijke operaties. Elke toezichthouder kan uitvoeringsbevoegdheden

toekennen aan de ondersteunende toezichthouder. De verantwoordelijkheden (aansprakelijkheid) van deze

bevoegdheden liggen echter wel bij de eerste toezichthouder.

Art. 63 Coherentiemechanisme

Om bij te dragen aan de consequente toepassing van deze verordening, zullen de toezichthouders

samenwerken met elkaar, en waar nodig met de Commissie, conform de conformiteitstoetsing uit deze

sectie.

Art. 64 Advies van het EDPB

Het EDPB zal een advies uitgeven, indien een toezichthouder:

beoogt een lijst op te stellen met verwerkingen waarvoor verplicht een PIA moet worden

uitgevoerd;

wil controleren of een concept gedragscode of een amendement of uitbreiding van een

gedragscode voldoet aan de verordening;

beoogt criteria voor accreditatie goed te keuren;

standaard modelbepalingen wil vaststellen

beoogt contractuele clausules te autoriseren;

beoogt bindende bedrijfsvoorschriften goed te keuren.

Elke toezichthouder, de voorzitter van het EDPB of de Commissie mag verzoeken elke zaak die van

algemene toepassing is of waarbij de effecten voelbaar zijn in meer dan één lidstaat, voor onderzoek bij het

EDPB neer te leggen, om zo advies te verkrijgen. Het EDPB zal dit advies geven, mits er niet al een advies

over hetzelfde onderwerp is. Het advies wordt binnen 8 weken aangenomen met een eenvoudige

meerderheid. Bij complexe zaken mag dit met 6 weken verlengd worden.

Relevante informatie moet door de toezichterhouders en de Commissie zo snel mogelijk elektronisch

worden aangeleverd, gebruik makend van een standaard formulier.



De voorzitter zal de volgende instanties informeren:

de leden van de EDPB: over alle relevante informatie die de EDPB toegestuurd heeft gekregen.

Vertalingen zullen, waar nodig, door het secretariaat worden gemaakt

de toezichthouders waarvoor advies gegeven moet worden en de Commissie. Bovendien wordt het

besluit publiek gemaakt.

De advies vragende toezichthouder zal binnen twee weken na ontvangst van het advies aangeven of het zijn

ontwerpbesluit aanpast of niet. Bij het niet volgen van het advies, kan de EDPB besluiten een bindend besluit

uit te vaardigen.

Art. 65 Geschilbeslechting door de EDPB

Om eenduidige interpretatie van de verordening te verzekeren in individuele zaken zal de EDPB een bindend

besluit nemen in de volgende zaken:

als een toezichthouder een relevant en met redenen omkleed bezwaar heeft geuit tegen een

ontwerpbesluit van een leidende toezichthouder of als de leidende toezichthouder een bezwaar

heeft afgewezen als zijnde niet relevant of niet met redenen omkleed.

als er tegenstrijdige denkbeelden zijn over welke toezichthouder bevoegd is voor de hoofdvestiging.

wanneer een bevoegd toezichthouder niet om advies vraagt of het advies niet opvolgt.

Het bindende besluit moet binnen een maand naar verwijzing door twee derde meerderheid door de EDPB

worden aangenomen en met redenen omkleed naar de leidende toezichthouder en betrokken toezicht-

houders worden gestuurd. De leidende toezichthouder zal op basis van dit besluit zo snel mogelijk

(maximaal binnen een maand na bovenstaand besluit) een definitief besluit nemen. En de betrokken

toezichthouder zal de EDPB informeren over de datum dat het definitieve besluit is gecommuniceerd naar

de verantwoordelijke en de bewerker.

Art. 66 Spoedprocedure

In uitzonderlijke situaties, wanneer de toezichthouder met spoed moet optreden om de rechten en

vrijheden van betrokkenen te beschermen, mag de toezichthouder meteen voorlopige maatregelen nemen.

Deze maatregelen moeten tijdelijk zijn en binnen een gespecificeerde periode (niet langer dan drie

maanden). Deze maatregelen en de redenen hiervoor moeten naar andere betrokken toezichthouders en

de EDPB gecommuniceerd worden.

Aan de EDPB kan ook met spoed gevraagd worden om advies of een bindend besluit. Dit spoedadvies/-

besluit zal binnen twee weken door eenvoudige meerderheid worden aangenomen.

Art. 67 Uitwisseling van informatie

De Commissie kan uitvoeringshandelingen vaststellen om de elektronische uitwisseling van informatie

tussen toezichthouders en tussen toezichthouders en de EDPB te specificeren. Met name het

gestandaardiseerde formulier.

Art. 68 Instelling EDPB

De European Data Protection Board (EDPB) is een nieuw orgaan van de EU. De EDPB vervangt het huidige

Europese adviesorgaan voor de bescherming van persoonsgegevens: de Artikel 29 Werkgroep.

De EDPB bestaat uit een voorzitter, de voorzitters van de nationale toezichthouders van alle lidstaten en de

Europese toezichthouder: de Europese toezichthouder voor gegevensbescherming, afgekort als: EDPS



(European Data Protection Supervisor) of hun vertegenwoordigers. De Europese Commissie kan deelnemen

in de vergaderingen van de EDPB, maar heeft daarin geen stemrecht.

Art. 69 Onafhankelijkheid EDPB

De EDPB is onafhankelijk in de uitoefening van haar taken en vraagt noch aanvaardt instructies van wie dan

ook.

Art. 70 Taken EDPB

De taken van de EDPB bestaan uit het zorgen voor een uniforme, juiste en constante toepassing van deze

verordening. Hiervoor kan de EDPB op eigen initiatief of op verzoek van de Europese Commissie de

Europese Commissie adviseren over uitwisseling van persoonsgegevens via bindende bedrijfsvoorschriften.

Ook kan de EDPB richtsnoeren geven en aanbevelingen doen over procedures voor het recht op

verwijdering van de eigen gegevens, profilering, het melden van incidenten met persoonsgegeven

(datalekken), bindende bedrijfsvoorschriften en andere doorgiftemechanismen. Daarnaast bevordert de

EDPB kennisuitwisseling en stimuleert zij gemeenschappelijke opleidingsprogramma’s voor toezicht-

houders.

Art. 71 Jaarlijkse rapportage

De EDPB houdt jaarlijks een openbaar rapport bij over de bescherming van persoonsgegevens in de EU,

derde landen en internationale organisaties. In dit rapport worden de praktische toepassing van

richtsnoeren, (bindende) aanbevelingen en best practices beoordeeld.

Art. 72 Stemprocedure

De EDPB neemt beslissingen met gewone meerderheid van stemmen, tenzij anders bepaald in de

verordening. Procedurele regels met betrekking tot het eigen reglement worden aangenomen met

tweederde meerderheid van de stemmen.

Art. 73 Verkiezing voorzitter

De voorzitter van de EDPB wordt gekozen uit de eigen leden met een gewone meerderheid van stemmen

voor een periode van vijf jaar, eenmaal te herkiezen.

Art. 74 Taken voorzitter EDPB

De voorzitter van de EDPB heeft als taak om de vergaderingen van de EDPB voor te zitten; beslissingen van

de EDPB aan nationale toezichthouders te communiceren en te zorgen voor een tijdige uitvoering van de

taken van de EDPB en in het bijzonder met betrekking tot de uniforme toepassing van de verordening.

Art. 75 Taken secretariaat

De EDPS verzorgt het secretariaat van de EDPB. De voorzitter van de EDPB geeft instructies over de taken

van het secretariaat. Deze taak bestaat, onder andere, uit dagelijkse werkzaamheden voor de EDPB, het

verzorgen van communicatie aan de leden van de EDPB, het vertalen van documenten en het voorbereiden

en opstellen van opinies, besluiten en uitspraken in geschillen tussen toezichthouders en andere teksten die

door de EDPB worden aangenomen;

Art. 76 Geheimhouding EDPB

Bijeenkomsten en inhoud van gesprekken van de EDPB zijn vertrouwelijk als de EDPB dit nodig acht.



Hoofdstuk VIII: Beroep, aansprakelijkheid en sancties

Art. 77 Recht een klacht in te dienen bij een toezichthoudende autoriteit

Elke betrokkene heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit, met name

bij de toezichthouder in het land waar betrokkene woont, werkt of waar de inbreuk plaatsvindt, als de

betrokkene een verwerking als strijdig met de verordening beschouwt. De klager zal door de toezichthouder

op de hoogte worden gehouden over de voortgang en de uitkomst van de behandeling van de klacht.

Art. 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende

autoriteit

Iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende juridisch bindende besluiten van

een toezichthoudende autoriteit een beroep in rechte in te stellen. Ook kan beroep worden ingesteld om

een toezichthouder te dwingen aan een klacht gevolg te geven of als de klager niet op de hoogte wordt

gehouden van de voortgang van de behandeling van de klacht. Beroep moet worden in gesteld voor de

rechter in het land waar de toezichthouder is gevestigd.

Art. 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verantwoordelijke

of bewerker

Iedere natuurlijke persoon heeft het recht een beroep in rechte in te stellen tegen de verantwoordelijke of

bewerker, indien hij van mening is dat zijn rechten die hij ontleend aan deze verordening geschonden zijn

als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet. Beroep

moet worden in gesteld voor de rechter in het land waar de verantwoordelijke of bewerker is gevestigd.

Art. 80 Vertegenwoordiging van betrokkenen

De betrokkene heeft het recht om zijn klachtenrecht en het recht op schadevergoeding uit te laten oefenen

door een organisatie, zonder winstoogmerk, met een statutair doel van algemeen belang en actief op het

gebied van gegevensbescherming. Een lidstaat kán er in voorzien dat een dergelijke organisatie ook een

klacht kan indienen of rechten uit mag oefenen zonder een mandaat van betrokkene.

Art. 81 Opschorting van de procedure

De bevoegde rechter mag een procedure opschorten als er tegelijkertijd in een ander land een procedure

aanhangig is met dezelfde inhoud en dezelfde verantwoordelijke of bewerker.

Art. 82 Recht op vergoeding en aansprakelijkheid

Iedere persoon die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die

in strijd met de verordening is, heeft het recht om van de verantwoordelijke of de bewerker vergoeding te

ontvangen. Elke verantwoordelijke is aansprakelijk voor schade veroorzaakt door verwerkingen die niet in

overeenstemming zijn met de verordening. Een bewerker is slechts aansprakelijk voor zover de schade komt

door verwerkingen die niet voldoen aan de eisen van de verordening gericht op bewerkers, of die ontstaan

door het niet opvolgen van rechtmatige instructies van de verantwoordelijke. Een verantwoordelijke of

bewerker wordt van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze

verantwoordelijk is voor het schade brengende feit.

Waar meer dan één verantwoordelijk of bewerker bij de verwerking betrokken is zijn ze allen aansprakelijk

voor de gehele schade, om effectieve compensatie te garanderen. Wanneer een bewerker of verantwoorde-

lijke volledige schade heeft betaald, kan, naar ratio van de aansprakelijkheid het overige deel worden terug



gevorderd van de andere verantwoordelijken en bewerkers. De op grond van nationale wetgeving bevoegde

rechtelijke instanties van de lidstaten zijn bevoegd om gerechtelijke procedures voor het uitoefenen van het

recht op schadevergoeding te voeren.

Art. 83 Administratieve sancties

Administratieve sancties zullen te alle tijden, in elk apart geval, doeltreffend, evenredig en afschrikkend zijn.

Administratieve sancties zullen, afhangend van individuele omstandigheden opgelegd worden in plaats van

of naast corrigerende maatregelen. Hierbij wordt rekening gehouden met:

De aard, ernst en duur van de inbreuk met het oog het doel van de verwerking, het aantal

betrokkene en de hoeveelheid schade;

Het opzettelijke of nalatige karakter van de inbreuk;

Maatregelen genomen door verantwoordelijke of bewerker om de schade te beperken;

De mate van verantwoordelijkheid met het oog op de genomen technische en organisatorische

maatregelen;

Relevante eerdere inbreuken;

De mate van samenwerking met de toezichthouder;

De categorieën persoonsgegevens betrokken bij de inbreuk;

De manier waarop de inbreuk bekend werd bij de toezichthouder;

Of verantwoordelijk of bewerkers al eerder aangesproken is op dezelfde inbreuk;

Mate van voldoen aan goedgekeurde gedragscodes of certificeringsmechanismes;

Enige andere verzwarende of verzachtende factor van toepassing op de omstandigheden van het

geval;

Als een verantwoordelijke of bewerker met opzet of nalatig meerdere bepalingen overtreed, kan de totale

boete niet meer zijn dan de gespecificeerde boete voor de zwaarste overtreding.

Een inbreuk op de volgende verplichtingen resulteert in een administratieve boete van ten hoogste

€10.000.000,- of in het geval van een onderneming maximaal 2% van de wereldwijde jaaromzet van het

voorgaande financiële jaar, afhankelijk van wat hoger is:

Met betrekking tot de verplichtingen van verantwoordelijke en bewerker:

Artikel Heeft betrekking op:

Artikel 8 Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot

diensten van de informatiemaatschappij

Artikel 11 Verwerking waarvoor identificatie niet is vereist

Artikel 25 Privacy by design & privacy by default

Artikel 26 Gezamenlijk voor de verwerking verantwoordelijken

Artikel 27 Vertegenwoordigers van niet in de EU gevestigde verantwoordelijken

Artikel 28 Eisen voor bewerkers

Artikel 29 Verwerking onder gezag van de verantwoordelijke en de bewerker

Artikel 30 Bijhouden van een register van de verwerkingsactiviteiten

Artikel 31 Medewerking met de toezichthoudende autoriteit

Artikel 32 Beveiliging van de verwerking

Artikel 33 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

Artikel 34 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene

Artikel 35 Privacy Impact Assessment

Artikel 36 Voorafgaande raadpleging van toezichthouder voor risicovolle verwerkingen

Artikel 37 Aanwijzing van een FG



Artikel 38 Positie van de FG

Artikel 39 Taken van de FG

Artikel 42 Certificering

Artikel 43 Certificeringsorgaan en -procedure

Met betrekking tot de verplichtingen van het certificeringsorgaan:


Artikel 42 Certificering

Artikel 43 Certificeringsorgaan en -procedure

Met betrekking tot de verplichtingen van een orgaan toezicht op naleving van een gedragscode houdt:


Artikel 41(4) Maatregelen ingeval een verantwoordelijke of bewerker een inbreuk pleegt op de gedragscode

en in kennis stellen toezichthouder

Een inbreuk op de volgende verplichtingen resulteert in een administratieve boete van ten hoogste

€20.000.000,- of in het geval van een onderneming maximaal 4% van de wereldwijde jaaromzet van het

voorgaande financiële jaar, afhankelijk van wat hoger is:


Artikel 5, 6,

7, 9

De verplichting om de basis principes voor verwerking na te leven, inclusief de voorwaarden voor

toestemming

Artikel 12-22 De verplichting om de rechten van betrokkenen te garanderen

Artikel 44 -

49

De verplichting van naleving van de regels m.b.t. doorgifte naar derde landen of internationale

organisaties

Artikelen

van

hoofdstuk IX

Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking (vrijheid

van meningsuiting, toegang tot officiële documenten, verwerking van nationaal

identificatienummer, verwerkingen in arbeidsverhoudingen, verwerkingen voor historische,

wetenschappelijke of statische doeleinden, verwerkingen door kerken en religieuze

verenigingen)

Artikel 58(2) Niet-naleving van een bevel of een tijdelijke of definitieve beperking van het verwerken of een

opschorting van gegevensstromen door de toezichthoudende autoriteit

Artikel 58(1) Niet verlenen van toegang

Het niet naleven van een bevel van de toezichthouder resulteert in een administratieve boete van ten

hoogste €20.000.000,- of in het geval van een onderneming maximum 4% van de wereldwijde jaaromzet

van het voorgaande financiële jaar, afhankelijk van wat hoger is.

Lidstaten mogen regels neerleggen of en in hoeverre overheidsinstanties en organen administratieve

boetes kunnen krijgen.

De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden op grond van dit artikel zijn

onderworpen aan procedurele waarborgen in overeenstemming met het in EU-wetgeving of de wetgeving

van lidstaten, waaronder doeltreffende rechtsmiddelen en een eerlijk proces.

Art. 84 Sancties

De lidstaten stellen de sanctieregels vast die van toepassing zijn op inbreuken op deze verordening, met

name voor inbreuken die niet onderworpen zijn aan administratieve boetes, en nemen alle nodige

maatregelen om ervoor te zorgen dat ze geïmplementeerd zijn. Dergelijke sancties moeten doeltreffend,

evenredig en afschrikkend zijn.



Hoofdstuk IX: Bepalingen in verband met specifieke situaties op het gebied van

gegevensverwerking

Art. 85 Verwerking van persoonsgegevens en vrijheid van meningsuiting

Lidstaten zorgen, bij verwerkingen uitsluitend voor journalistieke, artistieke en literaire doeleinden voor

uitzonderingen op bepaalde bepaling om het recht op bescherming van persoonsgegevens in

overeenstemming te brengen met de regels betreffende de vrijheid van meningsuiting.

Art. 86 verwerken van persoons en publieke toegankelijkheid van officiële documenten

Persoonsgegevens in officiële documenten van een publiek of privaat overheidsorgaan mogen worden

geopenbaard bij de uitvoering van een taak van openbaar belang, in overeenstemming met EU-wetgeving

of wetgeving van de lidstaat waar het overheidsorgaan aan onderworpen is.

Art. 87 Verwerken van nationaal identificatienummer

Lidstaten kunnen specifieke voorwaarden voor het verwerken van een nationaal identificatienummer of

soortgelijk identificatiemiddel nader vaststellen. Bij het gebruik van dit nummer moeten er passende

waarborgen zijn ter bescherming van de rechten en vrijheden van de betrokkene.

Art. 88 Verwerking in arbeidscontext

Lidstaten mogen nadere voorwaarden stellen, wettelijk of in collectieve overeenkomsten, ter bescherming

van de rechten en vrijheden bij de verwerking van persoonsgegevens in een arbeidsrelatie. In het bijzonder

met betrekking tot de recruitment, beoordeling van het arbeidscontract (incl. ontslag van verplichtingen die

door de wet of door een collectieve overeenkomst waren opgelegd) en management.

Deze nadere regels bevatten specifieke maatregelen ter waarborging van de menselijke waardigheid, de

gerechtvaardigde belangen en de grondrechten van de betrokkene. Specifieke aandacht dient er te zijn voor

transparantie van de verwerking, het verplaatsen van gegevens naar een ander bedrijfsonderdeel of

dochtermaatschappij en monitoringssystemen op de werkvloer.

Lidstaten stellen de Commissie op de hoogte van deze nadere voorwaarden en van enige andere bepaling

die invloed kan hebben op deze uitzonderingen.

Art. 89 Waarborgen en uitzonderingen voor de verwerking van persoonsgegevens voor

archiveringsdoeleinden met publiek belang of voor wetenschappelijke, historische of statistieke

onderzoeksdoeleinden

Verwerking van persoonsgegevens voor archiveringsdoeleinden met algemeen belang of voor

wetenschappelijke, historische of statistieke onderzoeksdoeleinden zijn onderworpen aan passende

waarborgen ter bescherming van de rechten en vrijheden van de betrokkene. Deze waarborgen omvatten

technische en organisatorische maatregelen, in het bijzonder maatregelen ter naleving van het principe van

dataminimalisatie en pseudonimisatie.

Bij verwerking van persoonsgegevens voor wetenschappelijke, historische of statistieke onderzoeks-

doeleinden mogen uitzonderingen worden gemaakt op het recht van toegang, rectificatie, restrictie en

bezwaar, rekening houdende met de hiervoor genoemde waarborgen.



Bij verwerking van persoonsgegevens voor archiveringsdoeleinden van algemeen belang mogen

uitzonderingen worden gemaakt op het recht van toegang, rectificatie, restrictie, overdraagbaarheid,

bezwaar en het recht om vergeten te worden, rekening houdende met de hiervoor genoemde waarborgen.

Art. 90 Geheimhoudingsplicht

Lidstaten mogen de bevoegdheden van de toezichthouder om toegang te verkrijgen tot alle informatie die

zij nodig heeft voor de uitvoering van haar taken en de bevoegdheid om toegang te krijgen tot

dienstruimten van verantwoordelijke of bewerker nader specificeren wanneer een verantwoordelijke of

betrokkene gehouden is aan een professionele geheimhoudingsplicht of soortgelijke verplichting tot

geheimhouding wanneer dit nodig en proportioneel is om het recht of bescherming van persoonsgegevens

in overeenstemming te brengen met het recht om geheimhouding.

Het gaat hier om het recht van de toezichthouder om toegang te krijgen tot alle persoonsgegevens en

informatie die nodig is in het uitvoeren van zijn taken en het krijgen van toegang tot het pand van

verantwoordelijke of bewerker inclusief de middelen en apparatuur gebruikt voor de verwerking.

Lidstaten stellen de Commissie op de hoogte van deze nadere voorwaarden en van enige andere bepaling

die invloed kan hebben op deze uitzonderingen.

Art. 91 Bestaande gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen

Gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen en gemeenschappen

mogen ook na inwerkingtreding van de verordening toegepast blijven worden, mits deze regels in

overeenstemming worden gebracht met bepalingen van deze verordening. De kerken en religieuze

instellingen die dergelijke bepalingen toepassen worden gecontroleerd door een onafhankelijke

toezichthouder die specifiek kan zijn.

Hoofdstuk X: Gedelegeerde handelingen en uitvoeringshandelingen

Art. 92 Uitoefening van de bevoegdheidsdelegatie

De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder

de in dit artikel vastgestelde voorwaarden. Delegaties van bevoegdheden met betrekking tot standaard

iconen en nadere invulling van het certificeringsmechanisme worden aan de Commissie toegekend voor

onbepaalde duur vanaf de datum van inwerkingtreding van deze verordening. Delegaties van

bevoegdheden met betrekking tot standaard iconen en nadere invulling van het certificeringsmechanisme

mogen op elk moment worden ingetrokken door het Europees Parlement of de Raad. Zodra de Commissie

een gedelegeerde bevoegdheid vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in

kennis.

De bevoegdheid om standaard iconen te ontwikkelen en nadere invulling van het certificeringsmechanisme

te geven mag alleen worden uitgeoefend indien noch het Europees Parlement, noch de Raad binnen een

termijn van twee maanden na de kennisgeving van de bevoegdheid aan het Europees Parlement en de Raad

daartegen bezwaar heeft gemaakt, of zij geen bezwaar zullen maken.

Art. 93 EDPB procedure

De Commissie wordt bijgestaan door een (European) Data Protection Board (EDPB).



Hoofdstuk XI: Slotbepalingen

Art. 94 Intrekking van Richtlijn 95/46/EG

De richtlijn wordt ingetrokken twee jaar na de twintigste dag na de bekendmaking van deze verordening in

het Publicatieblad van de EU. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze

verordening. Verwijzingen naar de artikel 29-werkgroep gelden als verwijzingen naar de EDPB.

Art. 95 Verhouding tot Richtlijn 2002/58/EG

Deze verordening legt natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking tot

de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronische

communicatiediensten in openbare communicatienetwerken in de EU, voor zover zij op grond van de

richtlijn privacy en elektronische communicatie onderworpen zijn aan specifieke verplichtingen met

dezelfde doelstelling.

Art. 96 Verhouding tot eerder vastgestelde overeenkomsten

Internationale overeenkomsten over de doorgifte van persoonsgegevens naar derde landen of

internationale organisaties die handelen in overeenstemming met EU-recht blijven geldig, totdat deze

worden aangevuld, vervangen of ingetrokken.

Art. 97 Evaluatie

De Commissie brengt vier jaar na het van kracht worden van deze verordening verslag uit aan het Europees

Parlement en de Raad over de evaluatie en de toetsing van deze verordening. Vervolgens brengt de

Commissie elke vier jaar verslag uit.

De Commissie brengt in het bijzonder verslag uit over de toepassing en de functionering van:

Sectie over de doorgifte van persoonsgegevens naar derde landen of internationale organisaties en adequaatheid beslissingen

Sectie VII over samenwerking en consistentie. De Commissie mag voor evaluatie informatie inwinnen bij de lidstaten en toezichthouders. De Commissie

zal bij de evaluaties rekening houden met de inzichten van het Europees Parlement, de Raad en ander

relevante organisaties.

Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna

worden de volgende verslagen om de vier jaar ingediend. De evaluaties zijn openbaar. Indien nodig dient de

Commissie passende voorstellen voor wijziging van de verordening in gelet op de ontwikkelingen in de

informatietechnologie en de stand van zaken in de informatiemaatschappij.

Art. 98 Beoordeling van andere EU-instrumenten voor gegevensbescherming

De Commissie zal aanvullende voorstellen doen over juridische instrumenten inzake de bescherming van

persoonsgegevens om uniforme en consistente bescherming van persoonsgegevens te garanderen.

Art. 99 Inwerkingtreding en toepassing

Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het

Publicatieblad van de EU en is zal 2 jaar na inwerkingtreding van toepassing zijn (2018).


PRIVACY COMPANY privacyverordening.pdf · project niet iedere twee jaar volledig herhaald hoeft te...

Documents

Transcript of PRIVACY COMPANY privacyverordening.pdf · project niet iedere twee jaar volledig herhaald hoeft te...