Privacy Wetgeving 2015 Incl Voorgestelde Meldplichten, Boetes en Concept Algemene Verordening...

Privacy wetgeving Inclusief voorgestelde meldplichten, boetes en concept algemene verordening gegevensbescherming

Superhero edition, v1.0 Simone Fennell, Rudolf Kroes, Frank Koppejan (red.)

Privacy wetgeving Inclusief voorgestelde meldplichten, boetes en concept algemene verordening gegevensbescherming. Superhero edition, v1.0. Simone Fennell, Rudolf Kroes, Frank Koppejan (red.) Productie:

aolf Legal Publishers Postbus 313 5061 KA Oisterwijk www.wolfpublishers.com Omslagontwerp: Annemarie van der Linde

Het ‘new’ icon is ontworpen door www.icons8.com en wordt ge-bruikt onder Creative Commons BY 3.0.

Captain privacy is ontworpen door Frank Koppejan.

Deze publicatie is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. © De redactie, 2015

http://www.icons8.com/

INLEIDING

1

INLEIDING In deze verzameling wetgeving zijn de belangrijkste wettelijke bepa-lingen over privacy opgenomen. We hebben daarbij besloten om lange begeleidende teksten zoals de memorie van toelichting niet op te nemen. Omdat wetgeving soms lastig leest door allerlei artikel-verwijzingen, hebben we de hulp van onze superheld Captain Privacy ingeroepen. Hij geeft bij verschillende artikelen kort en kernachtig aan wat de inhoud is van het wetsartikel waarnaar verwezen wordt. Als je de precieze details wilt weten, kun je natuurlijk gewoon bladeren naar de bron. Achter de artikelnummers heb-ben we tussen [vierkante haken] een korte omschrij-ving van het onderwerp van het artikel weergegeven. Deze toevoeging is door ons gedaan en heeft dus geen juridische waarde. Op het moment van schrijven is het wetsvoorstel 33.662 ‘Meldplicht datalekken en uitbreiding bestuurlijke boete-bevoegdheid Cbp’ ingediend bij de Eerste Kamer. We heb-ben voor het gemak de artikelen alvast in de Wet bescherming persoonsgegevens opgenomen. De teksten die dan gaan verval-len zijn doorgestreept. De in te voegen bepalingen uit het wets-voorstel worden /* als volgt */ aangegeven. Ook wordt de tekst uit het wetsvoorstel in een lichtere tint weergegeven. Hieronder geven we een voorbeeld. /*4. Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens. */ Na de tekst van de wet bescherming persoonsgegevens zijn twee over-zichten van de meldplicht opgenomen.

Iedereen heeft wat te verbergen. ;)

€ 810.000

INLEIDING

2

Als het wetsvoorstel in werking treedt, zal de Wet be-scherming persoonsgegevens verschillende boetedrei-gingen gaan bevatten. We vermelden in dat geval de maximale boete bij het artikel. Zo kun je meteen zien hoe groot het aan-komende financiële risico is. Staat de boetebepaling in de tekst van een artikel? Dan geldt de boetebepaling alleen voor dat betreffende lid. Staat de boetebepaling bovenaan bij de kop van het artikel? Dan geldt de boete voor alle onderdelen van het artikel. Zoals hierboven aangegeven zijn deze boetebepalingen nog niet van kracht. Op basis van wetsvoorstel 33.685 ‘verruiming mogelijkheden bestrijding financieel-economische criminaliteit’ kan de boete worden verhoogd als de ‘ gewone’ boete geen passende straf is. In dat geval zal na inwerking-treding van het wetsvoorstel een geldboete kunnen worden opgelegd tot ten hoogste 10% van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbeschikking. Het maximale bedrag van € 810.000 kan dan in dat geval dus nog (veel) verder worden ver-hoogd. Wij nemen in deze versie het bedrag van € 810.000 op. In enkele gevallen worden woorden of delen van artikelen schuin gedrukt. Deze markeringen zijn door ons toegevoegd om belangrijke elementen te benadrukken. Ze zijn slechts voor het leesgemak ingevoegd en hebben geen juridische betekenis. Op onze website www.privacycompany.eu is de laatste versie van deze verzamelde wetgeving te vinden. Zoek je de meest actuele versie van wetgeving raadpleeg dan altijd de officiële bron op www.wetten.nl. We hebben ervoor gekozen sectorale wetgeving niet op te nemen. De uit-gave wordt dan minder handzaam, terwijl de sectorspecifieke regels slechts voor een deel van de gebruikers relevant zijn. De nieuwe cookie-bepaling uit de Telecomwet is wel opgenomen, omdat deze brede impact heeft. We hebben de versie van de Europese Algemene Verordening die is aan-genomen door het Europees Parlement opgenomen. Deze versie is op het moment van schrijven nog onderwerp van verdere discussie. De tus-

€4.500

http://www.privacycompany.eu/

INLEIDING

3

senstanden hebben echter (nog) geen formele status. Wijzigingen ten op-zichte van de gepubliceerde tekst zijn zeker te verwachten. Zodra nieuwe relevante versies uitkomen, zullen wij een nieuwe versie van dit boekje uitgeven. Privacy Company gelooft in praktische hulpmiddelen voor organisaties om te voldoen aan de regels. We hopen dat je deze verzamelde wetge-ving nuttig vindt en wensen je veel plezier met het verder verdiepen in alle aspecten van het onderwerp privacy. Heb je suggesties voor verbetering van deze versie? Mis je wet-en regel-geving? Ben je op zoek naar een stage of een baan. Mail ons dan op [email protected]. De redactie, Simone Fennell, Rudolf Kroes en Frank Koppejan Maart 2015

5

INHOUDSOPGAVE INLEIDING 1 Inhoudsopgave 5 GRONDWET (deels) 7 HANDVEST VAN DE GRONDRECHTEN VAN DE EUROPESE UNIE (deels) 9 EUROPEES VERDRAG VOOR DE RECHTEN VAN DE MENS (deels) 10 WET BESCHERMING PERSOONSGEGEVENS 11

Hoofdstuk 1. Algemene bepalingen 11

Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens 14

Hoofdstuk 3. Gedragscodes 25

Hoofdstuk 4. Melding en voorafgaand onderzoek 26

Hoofdstuk 5. Informatieverstrekking aan de betrokkene /*en de meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het College*/ 30

Hoofdstuk 6. Rechten van de betrokkene 33

Hoofdstuk 7. Uitzonderingen en beperkingen 37

Hoofdstuk 8. Rechtsbescherming 38

Hoofdstuk 9. Toezicht 41

Hoofdstuk 10. Sancties 47

Hoofdstuk 11. Gegevensverkeer met landen buiten de Europese Unie 49

Hoofdstuk 12. Overgangs- en slotbepalingen 53

Nieuwe boetebevoegdheid - art. 66 Wbp – Schematisch overzicht 55 Nieuwe boetebevoegdheid - art. 75 Wbp – Schematisch overzicht 59 Brede Meldplicht Datalekken – ART. 34a WBP – Schematisch overzicht 61 WIJZIGING VAN DE TELECOMWET (MELDPLICHT) 67 Wet algemene bepalingen burgerservicenummer 69 WIJziging van de Telecomwet (cookiewet) 79

INHOUDSOPGAVE

6

ALGEMENE VERORDENING GEGEVENSBESCHERMING 81 CHAPTER I GENERAL PROVISIONS 81

CHAPTER II PRINCIPLES 85

CHAPTER III RIGHTS OF THE DATA SUBJECT 91

CHAPTER IV CONTROLLER AND PROCESSOR 104

CHAPTER V TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS 123

CHAPTER VI INDEPENDENT SUPERVISORY AUTHORITIES 132

CHAPTER VII CO-OPERATION AND CONSISTENCY 138

CHAPTER VIII REMEDIES, LIABILITY AND SANCTIONS 152

CHAPTER IX PROVISIONS RELATING TO SPECIFIC DATA PROCESSING SITUATIONS 157

CHAPTER X DELEGATED ACTS AND IMPLEMENTING ACTS 164

CHAPTER XI FINAL PROVISIONS 166

Annex 1 - Presentation of the particulars referred to in Article 13a 169

Europese Algemene Verordening Gegevensbescherming – Schematisch overzicht 172

7

GRONDWET (DEELS)

Artikel 10 [eerbiediging van de persoonlijke levenssfeer] 1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkin-

gen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer

in verband met het vastleggen en verstrekken van persoonsgege-vens.

3. De wet stelt regels inzake de aanspraken van personen op kennisne-ming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige ge-gevens.

Artikel 11 [onaantastbaarheid van het lichaam] Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op onaantastbaarheid van zijn lichaam.

Artikel 12 [binnentreden woning] 1. Het binnentreden in een woning zonder toestemming van de bewo-

ner is alleen geoorloofd in de gevallen bij of krachtens de wet be-paald, door hen die daartoe bij of krachtens de wet zijn aangewezen.

2. Voor het binnentreden overeenkomstig het eerste lid zijn vooraf-gaande legitimatie en mededeling van het doel van het binnentre-den vereist, behoudens bij de wet gestelde uitzonderingen.

3. Aan de bewoner wordt zo spoedig mogelijk een schriftelijk verslag van het binnentreden verstrekt. Indien het binnentreden in het be-lang van de nationale veiligheid of dat van de strafvordering heeft plaatsgevonden, kan volgens bij de wet te stellen regels de verstrek-king van het verslag worden uitgesteld. In de bij de wet te bepalen gevallen kan de verstrekking achterwege worden gelaten, indien het belang van de nationale veiligheid zich tegen verstrekking blijvend verzet.

GRONDWET, HANDVEST EU, EVRM

8

Artikel 13 [brief- telefoon- en telegraafgeheim] 1. Het briefgeheim is onschendbaar, behalve, in de gevallen bij de wet

bepaald, op last van de rechter. 2. Het telefoon- en telegraafgeheim is onschendbaar, behalve, in de

gevallen bij de wet bepaald, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.


9

HANDVEST VAN DE GRONDRECHTEN VAN DE EUROPESE UNIE (DEELS)

Artikel 7 [eerbiediging van de persoonlijke levenssfeer]

De eerbiediging van het privé-leven en van het familie- en gezinsle-ven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.

Artikel 8 [bescherming persoonsgegevens]

De bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doel-

einden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenie-der heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.

3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.


10

EUROPEES VERDRAG VOOR DE RECHTEN VAN DE MENS (DEELS)

Artikel 8 [eerbiediging van de persoonlijke levenssfeer] Recht op eerbiediging van privé familie- en gezinsleven

1. Een ieder heeft het recht op respect voor zijn privé leven, zijn familie-

en gezinsleven, zijn woning en zijn correspondentie. 2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoe-

fening van dit recht, dan voor zover bij wet is voorzien en in een de-mocratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch wel-zijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

11

WET BESCHERMING PERSOONSGEGEVENS Wet van 6 juli 2000, houdende regels inzake de bescherming van per-soonsgegevens (Wet bescherming persoonsgegevens)

HOOFDSTUK 1. ALGEMENE BEPALINGEN Artikel 1 [definities] In deze wet en de daarop berustende bepalingen wordt verstaan onder: a. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of

identificeerbare natuurlijke persoon; b. verwerking van persoonsgegevens: elke handeling of elk geheel van

handelingen met betrekking tot persoonsgegevens, waaronder in ie-der geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschik-kingstelling, samenbrengen, met elkaar in verband brengen, als-mede het afschermen, uitwissen of vernietigen van gegevens;

c. bestand: elk gestructureerd geheel van persoonsgegevens, onge-acht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende perso-nen;

d. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder an-der die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgege-vens vaststelt;

e. bewerker: degene die ten behoeve van de verantwoordelijke per-soonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

f. betrokkene: degene op wie een persoonsgegeven betrekking heeft; g. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de be-

werker, of enig persoon die onder rechtstreeks gezag van de verant-woordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

h. ontvanger: degene aan wie de persoonsgegevens worden verstrekt; i. toestemming van de betrokkene: elke vrije, specifieke en op informa-

tie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;

WET BESCHERMING PERSOONSGEGEVENS

12

j. Onze Minister: Onze Minister van Veiligheid en Justitie; k. het College bescherming persoonsgegevens of het College: het Col-

lege als bedoeld in artikel 51; l. functionaris: de functionaris voor de gegevensbescherming als be-

doeld in artikel 62; m. voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31; n. verstrekken van persoonsgegevens: het bekend maken of ter beschik-

king stellen van persoonsgegevens; o. verzamelen van persoonsgegevens: het verkrijgen van persoonsgege-

vens; p. de Kaderwet: de Kaderwet zelfstandige bestuursorganen; /* q. bindende aanwijzing: de zelfstandige last die wegens een

overtreding wordt opgelegd; r. zelfstandige last: de enkele last tot het verrichten van be-

paalde handelingen, bedoeld in artikel 5:2, tweede lid, van de Alge-mene wet bestuursrecht, ter bevordering van de naleving van wettelijke voorschriften. */

Artikel 2 [materiële reikwijdte, toepasselijkheid] 1. Deze wet is van toepassing op de geheel of gedeeltelijk geautomati-

seerde verwerking van persoonsgegevens, alsmede de niet geauto-matiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgeno-men.

2. Deze wet is niet van toepassing op verwerking van persoonsgege-vens:

a. ten behoeve van activiteiten met uitsluitend persoonlijke of huishou-delijke doeleinden;

b. door of ten behoeve van de inlichtingen- en veiligheidsdiensten, be-doeld in de Wet op de inlichtingen- en veiligheidsdiensten 2002;

c. ten behoeve van de uitvoering van de politietaak, bedoeld inde arti-kelen 3 en 4, eerste lid, van de Politiewet 2012;

d. die is geregeld bij of krachtens de Wet basisregistratie personen; e. ten behoeve van de uitvoering van de Wet justitiële en strafvorder-

lijke gegevens en f. ten behoeve van de uitvoering van de Kieswet.


13

3. Deze wet is niet van toepassing op verwerking van persoonsgege-vens door de krijgsmacht indien Onze Minister van Defensie daartoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving of bevordering van de internationale rechtsorde. Van de beslissing wordt zo spoedig mogelijk mededeling gedaan aan het College.

Artikel 3 [uitsluiting journalistieke, artistieke of literaire doelein-den] 1. Deze wet is niet van toepassing op de verwerking van persoonsgege-

vens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de ar-tikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.

2. Het verbod om persoonsgegevens als bedoeld in artikel 16 te verwer-ken is niet van toepassing voor zover dit noodzakelijk is voor de doel-einden als bedoeld in het eerste lid.

Artikel 4 [territoriale reikwijdte] 1. Deze wet is van toepassing op de verwerking van persoonsgegevens

in het kader van activiteiten van een vestiging van een verantwoor-delijke in Nederland.

2. Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.

3. Het is een verantwoordelijke als bedoeld in het tweede lid, verboden persoonsgegevens te verwer-ken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de bepalingen van deze wet. Voor de toepassing van deze wet en de daarop berus-tende bepalingen, wordt hij aangemerkt als de verantwoordelijke.

€ 20.250


14

Artikel 5 [minderjarigen] 1. Indien de betrokkene minderjarig is en de leeftijd van zestien jaren

nog niet heeft bereikt, of onder curatele is gesteld, dan wel ten be-hoeve van de betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist.

2. Een toestemming kan door de betrokkene of zijn wettelijk vertegen-woordiger te allen tijde worden ingetrokken.

HOOFDSTUK 2. VOORWAARDEN VOOR DE RECHTMATIGHEID VAN DE VERWERKING VAN PERSOONSGEGEVENS Paragraaf 1. De verwerking van persoonsgegevens in het alge-meen

Artikel 6 [behoorlijke en zorgvuldige verwerking] Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Artikel 7 [doeleinden] Persoonsgegevens worden voor welbepaalde, uitdrukke-lijk omschreven en gerechtvaardigde doeleinden verza-meld.

Artikel 8 [grondslagen voor verwerking] Persoonsgegevens mogen slechts worden verwerkt indien: a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming

heeft verleend; b. de gegevensverwerking noodzakelijk is voor de uitvoering van een

overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een over-eenkomst;

c. de gegevensverwerking noodzakelijk is om een wettelijke verplich-ting na te komen waaraan de verantwoordelijke onderworpen is;

d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

€ 810.000

€ 810.000


15

e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fun-damentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, preva-leert.

Artikel 9 [doelbinding] 1. Persoonsgegevens worden niet verder verwerkt op

een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

2. Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de verantwoordelijke in elk geval rekening met:

a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;

b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor de betrokkene; d. de wijze waarop de gegevens zijn verkregen en e. de mate waarin jegens de betrokkene wordt voorzien in passende

waarborgen. 3. Verdere verwerking van de gegevens voor historische, statistische of

wetenschappelijke doeleinden, wordt niet als onverenigbaar be-schouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.

4. De verwerking van persoonsgegevens blijft achter-wege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.

Artikel 10 [bewaren] 1. Persoonsgegevens worden niet langer bewaard in

een vorm die het mogelijk maakt de betrokkene te

€ 810.000

€ 810.000

€ 810.000


16

identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

2. Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid voor zover ze voor historische, statistische of weten-schappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doel-einden worden gebruikt.

Artikel 11 [data minimalisatie] 1. Persoonsgegevens worden slechts verwerkt voor zo-

ver zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake die-nend en niet bovenmatig zijn.

2. De verantwoordelijke treft de nodige maatregelen opdat persoons-gegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.

Artikel 12 [geheimhoudingsplicht] 1. Een ieder die handelt onder het gezag van de verant-

woordelijke of van de bewerker, alsmede de bewer-ker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behou-dens afwijkende wettelijke verplichtingen.

2. De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een ge-heimhoudingsplicht geldt, zijn verplicht tot ge-heimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wet-telijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voort-vloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.

272 WvSr: Klachtdelict

€ 810.000

€ 810.000


17

Artikel 13 [beveiliging] De verantwoordelijke legt passende technische en organisatorische maat-regelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen ga-randeren, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de ri-sico's die de verwerking en de aard van te beschermen ge-gevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere ver-werking van persoonsgegevens te voorkomen.

Artikel 14 [bewerker] 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve

laat verwerken door een bewerker, draagt hij zorg dat deze vol-doende waarborgen biedt ten aanzien van de technische en organi-satorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, /*en ten aanzien van de mel-ding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van per-soonsgegevens die door hem worden verwerkt.*/ De verantwoorde-lijke ziet toe op de naleving van die maatregelen.

2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waar-door een verbintenis ontstaat tussen de bewerker en de verantwoor-delijke.

3. De verantwoordelijke draagt zorg dat de bewerker a. de persoonsgegevens verwerkt in overeenstemming met artikel 12,

eerste lid en ; b. de verplichtingen nakomt die op de verantwoordelijke rusten inge-

volge artikel 13, /*en c. de verplichtingen nakomt die op de verantwoordelijke rus-

ten ten aanzien van de verplichting tot melding van een in-breuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van per-soonsgegevens die door hem worden verwerkt.*/

€ 810.000


18

4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b /*en c*/.

5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligings-maatregelen als bedoeld in artikel 13, /*en de verplichting tot melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van per-soonsgegevens die door hem worden verwerkt*/, schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.

Artikel 15 [verplichtingen verantwoordelijke] De verantwoordelijke draagt zorg voor de naleving van de verplichtin-gen, bedoeld in de artikelen 6 tot en met 12 en 14, tweede en vijfde lid van dit hoofdstuk.

Paragraaf 2. De verwerking van bijzondere per-soonsgegevens

Artikel 16 [verbod verwerking bijzondere per-soonsgegevens] De verwerking van persoonsgegevens betreffende ie-mands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede per-soonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over on-rechtmatig of hinderlijk gedrag in verband met een opge-legd verbod naar aanleiding van dat gedrag.

€ 810.000

Rechtmatige verwerking


19

Artikel 17 [uitzonderingen verbod verwerken gegevens godsdienst of levensovertuiging] 1. Het verbod om persoonsgegevens betreffende iemands godsdienst

of levensovertuiging te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:

a. kerkgenootschappen, zelfstandige onderdelen daarvan of andere genootschappen op geestelijke grondslag voor zover het gaat om gegevens van daartoe behorende personen;

b. instellingen op godsdienstige of levensbeschouwelijke grondslag, voor zover dit gelet op het doel van de instelling en voor de verwe-zenlijking van haar grondslag noodzakelijk is, of

c. andere instellingen voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.

2. In de gevallen als bedoeld in het eerste lid, onder a, is het verbod te-vens niet van toepassing op persoonsgegevens betreffende gods-dienst of levensovertuiging van de gezinsleden van de betrokkene voor zover:

a. het betreffende genootschap met die gezinsleden uit hoofde van haar doelstelling regelmatige contacten onderhoudt en

b. die gezinsleden daartegen geen schriftelijk bezwaar hebben ge-maakt.

3. In de gevallen als bedoeld in het eerste en tweede lid worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.

Artikel 18 [uitzonderingen verbod verwerken gegevens ras] Het verbod om persoonsgegevens betreffende iemands ras te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking ge-schiedt: a. met het oog op de identificatie van de betrokkene en slechts voor

zover dit voor dit doel onvermijdelijk is; b. met het doel personen van een bepaalde etnische of culturele min-

derheidsgroep een bevoorrechte positie toe te kennen ten einde fei-telijke nadelen verband houdende met de grond ras op te heffen of te verminderen en slechts indien:

1°. dit voor dat doel noodzakelijk is;


20

2°. de gegevens slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vast-gesteld kan worden of iemand tot een minderheidsgroep als bedoeld in de aanhef van onderdeel b behoort, en

3°. de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.

Artikel 19 [uitzonderingen verbod verwerken gegevens politieke gezindheid] 1. Het verbod om persoonsgegevens betreffende iemands politieke

gezindheid te verwerken als bedoeld in artikel 16, is niet van toepas-sing indien de verwerking geschiedt:

a. door instellingen op politieke grondslag betreffende hun leden of hun werknemers dan wel andere tot de instelling behorende perso-nen, voor zover dit gelet op het doel van de instellingnoodzakelijk is voor de verwezenlijking van haar grondslag, of

b. met het oog op de eisen die met betrekking tot politieke gezindheid in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.

2. In het geval als bedoeld in het eerste lid, onder a, worden geen per-soonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.

Artikel 20 [uitzonderingen verbod verwerken gegevens lidmaat-schap vakbond] 1. Het verbod om persoonsgegevens betreffende iemands lidmaat-

schap van een vakbond te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door de betreffende vakbond of de vakcentrale waarvan die bond een onderdeel vormt, voor zover dat gelet op de doelstelling van de vakbond of centrale noodzakelijk is.

2. In het geval als bedoeld in het eerste lid worden geen persoonsgege-vens aan derden verstrekt zonder toestemming van de betrokkene.


21

Artikel 21 [uitzonderingen verbod verwerken gegevens gezond-heid] 1. Het verbod om persoonsgegevens betreffende iemands gezondheid

te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:

a. hulpverleners, instellingen of voorzieningen voorgezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodza-kelijk is;

b. verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekerin-gen als bedoeld in artikel 1:1 van die wet, voorzover dat noodzakelijk is voor:

1°. de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of

2°. de uitvoering van de overeenkomst van verzekering; c. scholen voor zover dat met het oog op de speciale begeleiding van

leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;

d. een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de gecertificeerde instelling, bedoeld in artikel1.1 van de Jeugdwet en de rechtspersoon, bedoeld in artikel 256, eerste lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;

e. Onze Minister voor zover dat in verband met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzake-lijk is of

f. bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:

1°. een goede uitvoering van wettelijke voorschriften, pensioenregelin-gen of collectieve arbeidsovereenkomsten die voorzien in aanspra-ken die afhankelijk zijn van de gezondheidstoestand van de betrokkene of


22

2°. de reïntegratie of begeleiding van werknemers of uitkeringsgerech-tigden in verband met ziekte of arbeidsongeschiktheid.

2. In de gevallen als bedoeld in het eerste lid worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhou-ding zijn verplicht. Indien de verantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wet-telijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eer-ste lid bevoegd zijn tot verwerking daarvan.

3. Het verbod om andere persoonsgegevens als bedoeld in artikel 16 te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende ie-mands gezondheid als bedoeld in het eerste lid, onder a, met het oog op een goede behandeling of verzorging van de betrokkene.

4. Persoonsgegevens betreffende erfelijke eigenschappen mogen slechts worden verwerkt voor zover deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij:

a. een zwaarwegend geneeskundig belang prevaleert of b. de verwerking noodzakelijk is ten behoeve van wetenschappelijk on-

derzoek of statistiek. In het geval als bedoeld onder b, is artikel 23, eerste lid, onder a, en tweede lid, van overeenkomstige toepassing.

5. Bij algemene maatregel van bestuur kunnen omtrent de toepassing van het eerste lid, onder b en f, nadere regels worden gesteld.

Artikel 22 [uitzonderingen verbod verwerken strafrechtelijke ge-gevens] 1. Het verbod om strafrechtelijke persoonsgegevens te verwerken als

bedoeld in artikel 16, is niet van toepassing indien de verwerking ge-schiedt door organen die krachtens de wet zijn belast met de toepas-sing van het strafrecht, alsmede door verantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet jus-titiële en strafvorderlijke gegevens.


23

2. Het verbod is niet van toepassing op de verantwoordelijke die deze gegevens ten eigen behoeve verwerkt ter:

a. beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren of

b. bescherming van zijn belangen voor zover het gaat om strafbare fei-ten die zijn of op grond van feiten en omstandigheden naar verwach-ting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.

3. De verwerking van deze gegevens over personeel in dienst van de verantwoordelijke, vindt plaats overeenkomstig regels die zijn vast-gesteld in overeenstemming met de procedure als bedoeld in de Wet op de ondernemingsraden.

4. Het verbod is niet van toepassing wanneer deze gegevens ten be-hoeve van derden worden verwerkt:

a. door verantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherche-bureaus of

b. indien deze derde een rechtspersoon betreft die in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of

c. indien passende en specifieke waarborgen zijn getroffen en de pro-cedure is gevolgd, bedoeld in artikel 31.

5. Het verbod om andere persoonsgegevens als bedoeld in artikel 16, te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerkt.

6. Het verbod is niet van toepassing op verwerkingen van strafrechte-lijke gegevens door en ten behoeve van publiekrechtelijke samen-werkingsverbanden van verantwoordelijken of groepen van verantwoordelijken indien de verwerking noodzakelijk is voor de uit-voering van de taak van deze verantwoordelijken of groepen van ver-antwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.

7. Het tweede tot en met zesde lid is van overeenkomstige toepassing op persoonsgegevens betreffende een door de rechter opgelegd ver-bod naar aanleiding van onrechtmatig of hinderlijk gedrag.


24

8. Bij algemene maatregel van bestuur kunnen regels worden gesteld over de passende en specifieke waarborgen, bedoeld in het vierde lid, onder c.

Artikel 23 [algemene uitzonderingen verwerken bijzondere per-soonsgegevens] 1. Onverminderd de artikelen 17 tot en met 22 is het verbod om per-

soonsgegevens als bedoeld in artikel 16, te verwerken niet van toe-passing voor zover:

a. dit geschiedt met uitdrukkelijke toestemming van de betrokkene; b. de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; c. dit noodzakelijk is voor de vaststelling, de uitoefening of de verdedi-

ging van een recht in rechte; d. dit noodzakelijk is ter verdediging van de vitale belangen van de be-

trokkene of van een derde en het vragen van diens uitdrukkelijke toe-stemming onmogelijk blijkt;

e. dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplich-ting of

f. dit noodzakelijk is met het oog op een zwaarwegend algemeen be-lang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. Het College kan bij de verlening van ontheffing beperkingen en voorschriften opleggen;

g. de gegevens worden verwerkt door het College of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke le-venssfeer van de betrokkene niet onevenredig wordt geschaad.

2. Het verbod om persoonsgegevens als bedoeld in artikel 16, te ver-werken ten behoeve van wetenschappelijk onderzoek of statistiek is niet van toepassing voor zover:

a. het onderzoek een algemeen belang dient, b. de verwerking voor het betreffende onderzoek of de betreffende sta-

tistiek noodzakelijk is, c. het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een

onevenredige inspanning kost en


25

d. bij de uitvoering is voorzien in zodanige waarborgen dat de persoon-lijke levenssfeer van de betrokkene niet onevenredig wordt ge-schaad.

3. Verwerkingen als bedoeld in het eerste lid, onder f, worden bij de Eu-ropese Commissie gemeld. Onze Minister wie het aangaat verricht de melding indien de verwerking bij wet is voorzien. Het College ver-richt de melding indien het voor de verwerking ontheffing heeft ver-leend.

Artikel 24 [gebruik wettelijke identificatienummers (BSN)] 1. Een nummer dat ter identificatie van een persoon bij

wet is voorgeschreven, wordt bij de verwerking van persoonsgege-vens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

2. Bij algemene maatregel van bestuur kun-nen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden ge-geven over het gebruik van een zodanig nummer.

HOOFDSTUK 3. GEDRAGSCODES Artikel 25 [gedragscodes] 1. De organisatie of organisaties, die voornemens zijn een gedragscode

vast te stellen, kunnen het College verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector of sectoren van de samenleving waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van deze wet of van an-dere wettelijke bepalingen betreffende de verwerking van persoons-gegevens. Indien een gedragscode voorziet in beslechting van geschillen over de naleving ervan, kan het College de verklaring slechts afgeven indien is voorzien in waarborgen met betrekking tot de onafhankelijkheid.

€ 810.000

Zie Wet algemene be-palingen burgerservice-

nummer en Besluit burgerservicenummer


26

2. Het eerste lid is van overeenkomstige toepassing op wijzigingen of verlengingen van bestaande gedragscodes.

3. Het College neemt het verzoek slechts in behandeling, indien naar zijn oordeel de verzoeker of verzoekers voldoende representatief zijn en de betrokken sector of de sectoren in de code voldoende nauwkeurig zijn omschreven.

4. Een beslissing op een verzoek als bedoeld in het eerste lid, geldt als een besluit in de zin van de Algemene wet bestuursrecht. Op de voor-bereiding ervan is afdeling3.4 van die wet van toepassing.

5. De verklaring geldt voor de termijn waarvoor de gedragscode zal gaan gelden echter niet voor langer dan vijf jaar na het tijdstip waarop de verklaring is bekend gemaakt. Wordt de verklaring ge-vraagd voor een wijziging van een gedragscode waarvoor reeds eer-der een verklaring is afgegeven, dan geldt deze voor de duur van de eerder afgegeven verklaring.

6. De verklaring wordt, tezamen met de gedragscode waarop zij be-trekking heeft, door de zorg van het College in de Staatscourant ge-plaatst.

Artikel 26 [mogelijkheid nadere sectorale regels] 1. Bij algemene maatregel van bestuur kunnen voor

een bepaalde sector nadere regels worden ge-steld inzake de in de artikelen 6 tot en met 11 en 13 geregelde onderwerpen.

2. Het College geeft in zijn jaarverslag aan in hoe-verre naar zijn oordeel toepassing van het eerste lid wenselijk is.

HOOFDSTUK 4. MELDING EN VOORAFGAAND ONDERZOEK Paragraaf 1. De melding

Artikel 27 [melden verwerkingen bij toezichthouder] 1. Een geheel of gedeeltelijk geautomatiseerde verwer-

king van persoonsgegevens, die voor de verwezenlij-king van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld.

€4.500

Rechtmatige verwerking


27

2. Een niet geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene sa-menhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan een voorafgaand onderzoek.

3. De verantwoordelijke meldt de verwerking alvorens daarmee te be-ginnen bij het College of bij de functionaris.

Artikel 28 [inhoud melding] 1. De melding behelst een opgave van: a. de naam en het adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de ge-

gevens of categorieën van gegevens die daarop betrekking hebben; d. de ontvangers of categorieën van ontvangers aan wie de gegevens

kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Eu-

ropese Unie; f. een algemene beschrijving om een voorlopig oordeel te kunnen ge-

ven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van artikel 13 en 14, de beveiliging van de verwerking te waarborgen.

2. De melding behelst het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn of worden verzameld.

3. Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week gemeld. Wijzigingen in de opgave die be-trekking hebben op de onderdelen b tot en met f van het eerste lid, worden telkens binnen een jaar na de voorafgaande melding gemeld voor zover zij blijken van meer dan incidentele aard te zijn.

4. Een verwerking die afwijkt van hetgeen overeenkomstig het eerste lid, onder b tot en met f, is gemeld, wordt vastgelegd en bewaard gedurende ten minste drie jaren.

5. Bij of krachtens algemene maatregel van bestuur kunnen nadere re-gels worden gesteld over de wijze waarop de melding dient te ge-schieden.

€4.500


28

Artikel 29 [meldingsvrijstelling] 1. Bij algemene maatregel van bestuur kan worden bepaald dat daarbij

aan te geven verwerkingen van gegevens waarbij de inbreuk op de fundamentele rechten en vrijheden van de betrokkene onwaar-schijnlijk is, zijn vrijgesteld van de melding, bedoeld in artikel 27.

2. Daarbij worden vastgesteld: a. de doeleinden van de verwerking, b. de verwerkte gegevens of categorieën van verwerkte gegevens, c. de categorieën van betrokkenen, d. de ontvangers of categorieën ontvangers aan wie de gegevens wor-

den verstrekt, en e. de periode gedurende welke de gegevens worden bewaard. 3. Bij algemene maatregel van bestuur kan worden bepaald, indien dit

noodzakelijk is met het oog op de opsporing van strafbare feiten in een bepaald geval, dat daarbij aan te geven verwerkingen van gege-vens door verantwoordelijken die krachtens de wet met opsporing zijn belast, worden vrijgesteld van de melding. Daarbij kunnen com-penserende waarborgen ter bescherming van persoonsgegevens worden vastgesteld. De verwerkte gegevens kunnen slechts worden gebruikt voor de doeleinden die bij die algemene maatregel van be-stuur uitdrukkelijk zijn vermeld.

4. De verplichting tot melding is niet van toepassing op openbare regis-ters die bij de wet zijn ingesteld alsmede op verstrekkingen aan een bestuursorgaan ingevolge een wettelijke verplichting.

Artikel 30 [register gegevensverwerkingen] 1. Zowel het College als de functionaris houden

een register bij van de bij hen aangemelde ge-gevensverwerkingen. Het register bevat ten minste de inlichtingen die zijn opgegeven krachtens artikel 28, eerste lid, onder a tot en met e.

2. Het register kan door een ieder kosteloos wor-den geraadpleegd.

3. De verantwoordelijke verstrekt een ieder die daarom verzoekt de inlichtingen als bedoeld in

Naam/adres, doel, beschrijving, ont-vangers, doorgifte

buiten EU.


29

artikel 28, eerste lid, onder a tot en met e, omtrent de van de aan-melding vrijgestelde gegevensverwerkingen.

4. Het derde lid is niet van toepassing op: a. een gegevensverwerking die is vrijgesteld krachtens artikel 29, derde

lid; b. openbare registers die bij de wet zijn ingesteld.

Paragraaf 2. Voorafgaand onderzoek

Artikel 31 [voorafgaand onderzoek] 1. Het College stelt voorafgaand aan een verwerking een onderzoek in

indien de verantwoordelijke: a. een nummer ter identificatie van personen voornemens is te verwer-

ken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die worden verwerkt door een andere verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor de gevallen als omschreven in artikel 24;

b. voornemens is gegevens vast te leggen op grond van het gericht ver-zamelen van informatie door middel van eigen onderzoek zonder de betrokkene daarvan op de hoogte te stellen, of

c. voornemens is ten behoeve van derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken, an-ders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b.

3. Het eerste lid, onder b, is niet van toepassing op openbare registers die bij de wet zijn ingesteld.

4. Het eerste lid, onderdeel c, is niet van toepassing op gegevensver-werkingen die reeds door een andere verantwoordelijke voor voor-afgaand onderzoek zijn voorgelegd en ten aanzien waarvan het College een verklaring als bedoeld in artikel 32, vijfde lid, heeft afge-geven.

5. Bij wet of algemene maatregel van bestuur kunnen andere gege-vensverwerkingen die een bijzonder risico inhouden voor de per-soonlijke rechten en vrijheden van de betrokkene worden aangewezen waarop het eerste lid van toepassing is. Het College


30

geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel een derge-lijke aanwijzing wenselijk is.

6. Het College meldt een verwerking als bedoeld in het eerste lid, onder c, bij de Europese Commissie.

Artikel 32 [voorafgaande melding bij toezichthouder] 1. Een gegevensverwerking waarop artikel 31, eerste lid, van toepas-

sing is, wordt als zodanig door de verantwoordelijke bij het College gemeld.

2. De melding van een zodanige gegevensverwerking verplicht de ver-antwoordelijke de verwerking die hij voornemens is te verrichten, op te schorten totdat het onderzoek van het College is afgerond dan wel hij een bericht heeft ontvangen dat niet tot nader onderzoek wordt overgegaan.

3. In geval van een melding van een gegevensverwerking waarop arti-kel 31, eerste lid, van toepassing is, besluit het College schriftelijk binnen vier weken na de melding of het tot nader onderzoek over-gaat.

4. In het besluit tot nader onderzoek over te gaan geeft het College aan binnen welke termijn het voornemens is dit onderzoek te verrichten. Deze termijn bedraagt niet langer dan twintig weken.

5. Het nader onderzoek, bedoeld in het vierde lid, leidt tot een verkla-ring omtrent de rechtmatigheid van de gegevensverwerking.

6. De verklaring van het College geldt als een besluit in de zin van de Algemene wet bestuursrecht. Op de voorbereiding ervan is afde-ling3.4 van die wet van toepassing.

HOOFDSTUK 5. INFORMATIEVERSTREKKING AAN DE BETROKKENE /*EN DE MELDPLICHT BIJ INBREUKEN OP DE BEVEILIGING VAN PERSOONSGEGEVENS AAN HET COLLEGE*/ Artikel 33 [voorafgaande informatieverstrekking] 1. Indien persoonsgegevens worden verkregen bij de

betrokkene, deelt de verantwoordelijke vóór het mo-ment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daar-van reeds op de hoogte is.

€ 810.000


31

2. De verantwoordelijke deelt de betrokkene zijn identiteit en de doel-einden van de verwerking waarvoor de gegevens zijn bestemd, mede.

3. De verantwoordelijke verstrekt nadere informatie voor zover dat ge-let op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwer-king te waarborgen.

Artikel 34 [informatieverstrekking aan betrokkene] 1. Indien persoonsgegevens worden verkregen op een

andere wijze dan bedoeld in artikel 33, deelt de ver-antwoordelijke de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij deze reeds daarvan op de hoogte is:

a. op het moment van vastlegging van hem betreffende gegevens, of b. wanneer de gegevens bestemd zijn om te worden verstrekt aan een

derde, uiterlijk op het moment van de eerste verstrekking. 2. De verantwoordelijke deelt de betrokkene zijn identi-

teit en de doeleinden van de verwerking mede. 3. De verantwoordelijke verstrekt nadere informatie

voor zover dat gelet op de aard van de gegevens, de omstandighe-den waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwer-king te waarborgen.

4. Het eerste lid is niet van toepassing indien mededeling van de infor-matie aan de betrokkene onmogelijk blijkt of een onevenredige in-spanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

5. Het eerste lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te infor-meren over het wettelijk voorschrift dat tot de vastlegging of ver-strekking van de hem betreffende gegevens heeft geleid.

€ 810.000

€ 20.250

€ 20.250


32

/*Artikel 34a [meldplicht datalekken] 1. De verantwoordelijke stelt het College onverwijld in

kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nade-lige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatrege-len om de negatieve gevolgen van de inbreuk te beperken.

4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze ge-volgen te verhelpen.

5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconsta-teerde en de feitelijke gevolgen daarvan voor de verwerking van per-soonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoor-ziening is gewaarborgd.

6. Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of on-toegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.

7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waar-schijnlijk ongunstige gevolgen zal hebben voor de persoonlijke le-venssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.

8. De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel

€ 810.000


33

ernstige nadelige gevolgen heeft voor de bescherming van per-soonsgegevens. Het overzicht bevat in ieder geval feiten en gege-vens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische com-municatiedienst een kennisgeving heeft gedaan als bedoeld in arti-kel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.

10. Het tweede en zevende lid zijn niet van toepassing op financiële on-dernemingen als bedoeld in de Wet op het financieel toezicht.

11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.*/

HOOFDSTUK 6. RECHTEN VAN DE BETROKKENE Artikel 35 [recht op inzage] 1. De betrokkene heeft het recht zich vrije-

lijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verant-woordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.

2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrij-ving van het doel of de doeleinden van de verwerking, de catego-rieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

3. Voordat een verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem be-treffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.

4. Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

€ 810.000 behalve 1e volzin lid 1


34

Artikel 36 [recht gegevens verbeteren, aanvullen, verwijderen, af-schermen] 1. Degene aan wie overeenkomstig artikel 35 kennis is gegeven van

hem betreffende persoonsgegevens, kan de verantwoordelijke ver-zoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doel-einden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden ver-werkt. Het verzoek bevat de aan te brengen wijzigingen.

2. De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een wei-gering is met redenen omkleed.

3. De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscher-ming zo spoedig mogelijk wordt uitgevoerd.

4. Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, dan treft hij de voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of af-scherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel.

5. Het bepaalde in het eerste tot en met vierde lid is niet van toepassing op bij de wet ingestelde openbare registers, indien in die wet een bij-zondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is opgenomen.

Artikel 37 [uitzondering op schriftelijke vorm] 1. Indien een gewichtig belang van de verzoeker dit eist, voldoet de ver-

antwoordelijke aan een verzoek als bedoeld in de artikelen 35 en 36, in een andere dan schriftelijke vorm, die aan dat belang is aangepast.

2. De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

3. De verzoeken, bedoeld in de artikelen 35 en 36, worden ten aanzien van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden gedaan door

€ 810.000

€ 810.000

€ 810.000


35

hun wettelijke vertegenwoordigers. De betrokken mededeling ge-schiedt eveneens aan de wettelijke vertegenwoordigers.

Artikel 38 [kennisgeving betrokkene] 1. De verantwoordelijke die naar aanleiding van een ver-

zoek op grond van artikel 36 persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbete-ring, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.

2. De verantwoordelijke doet aan de verzoeker, bedoeld in artikel 36, desgevraagd opgave van degenen aan wie hij de mededeling heeft gedaan.

Artikel 39 [vergoeding inzagerecht] 1. De verantwoordelijke kan voor een mededeling als

bedoeld in artikel 35 een bij of krachtens algemene maatregel van bestuur vast te stellen vergoeding van kosten verlangen die ten hoogste EUR 5 bedraagt.

2. De vergoeding wordt teruggegeven in geval de verantwoordelijke op verzoek van de betrokkene, op aanbeveling van het College of op be-vel van de rechter tot verbetering, aanvulling, verwijdering of af-scherming is overgegaan.

3. Het bedrag genoemd in het eerste lid kan in bijzondere gevallen bij algemene maatregel van bestuur worden gewijzigd.

Artikel 40 [recht van verzet] 1. Indien gegevens het voorwerp zijn van verwerking

op grond van artikel 8, onder e en f, kan de betrok-kene daartegen bij de verantwoordelijke te allen tijde verzet aantekenen in verband met zijn bij-zondere persoonlijke omstandigheden.

2. De verantwoordelijke beoordeelt binnen vier weken na ontvangst

€ 810.000

€ 810.000

€ 810.000

Publiekrechte-lijke taak be-

stuursorgaan of gerechtvaardigd

belang.


36

van het verzet of het verzet gerechtvaardigd is. Indien het verzet ge-rechtvaardigd is beëindigt hij terstond de verwerking.

3. De verantwoordelijke kan voor het in behandeling nemen van een verzet een vergoeding van kosten verlangen, die niet hoger mag zijn dan een bij of krachtens algemene maatregel van be-stuur vast te stellen bedrag. De vergoeding wordt te-ruggegeven in geval het verzet gegrond wordt bevonden.

4. Dit artikel is niet van toepassing op openbare registers die bij de wet zijn ingesteld.

Artikel 41 [verzet in geval commerciële of charitatieve doelen] 1. Indien gegevens worden verwerkt in verband met de totstandbren-

ging of de instandhouding van een directe relatie tussen de verant-woordelijke of een derde en de betrokkene met het oog op werving voor commerciële of charitatieve doelen, kan de betrokkene daarte-gen bij de verantwoordelijke te allen tijde kosteloos verzet aanteke-nen.

2. In geval van verzet treft de verantwoordelijke de maatregelen om deze vorm van verwerking terstond te beëindigen. De verantwoordelijke doet aan de be-trokkene desgevraagd binnen vier weken opgave van de genomen maatregelen. Indien de kennisgeving niet binnen vier weken kan worden gedaan, deelt de verantwoordelijke uiterlijk vier weken na de datum van ontvangst van het verzoek mede binnen welke termijn de kennisgeving wel kan worden gedaan.

3. De verantwoordelijke die persoonsgegevens ver-werkt voor het in het eerste lid bedoelde doel, neemt passende maatregelen om betrokkenen de mogelijk-heden bekend te maken tot het doen van verzet.

4. De verantwoordelijke die persoonsgegevens verwerkt voor het in het eerste lid bedoelde doel, draagt zorg dat, indien daartoe recht-streeks een boodschap aan de betrokkene wordt toegezonden, deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verzet.

€ 810.000

€ 810.000

€ 810.000


37

Artikel 42 [besluit op basis van geautomatiseerde verwerking] 1. Niemand kan worden onderworpen aan een besluit

waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat be-sluit alleen wordt genomen op grond van een geautomatiseerde ver-werking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.

2. Het eerste lid is niet van toepassing, indien het daar bedoelde besluit: a. wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst en 1°. aan het verzoek van de betrokkene is voldaan of 2°. passende maatregelen zijn genomen ter bescherming van zijn ge-

rechtvaardigd belang, of b. zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd

die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene.

3. Een passende maatregel als bedoeld in het tweede lid, onder a, is ge-troffen indien de betrokkene in de gelegenheid is gesteld omtrent het besluit als bedoeld in het eerste lid, zijn zienswijze naar voren te brengen.

4. In het geval, bedoeld in het tweede lid, deelt de ver-antwoordelijke de betrokkene de logica mee die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.

HOOFDSTUK 7. UITZONDERINGEN EN BEPERKINGEN Artikel 43 [uitzonderingen, restbepaling] De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34, /*34a, tweede lid*/ en 35 buiten toe-passing laten voor zover dit noodzakelijk is in het belang van: a. de veiligheid van de staat; b. de voorkoming, opsporing en vervolging van straf-

bare feiten; c. gewichtige economische en financiële belangen

van de staat en andere openbare lichamen;

€ 810.000

€ 810.000

Doelbinding, inlichtin-gen verstrekken, infor-

matie verstrekken, meldplicht datalekken.


38

d. het toezicht op de naleving van wettelijke voorschriften die zijn ge-steld ten behoeve van de belangen, bedoeld onder b en c, of

e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Artikel 44 [uitzondering wetenschappelijk onderzoek of statistiek] 1. Indien een verwerking plaatsvindt door instellin-

gen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn ge-troffen om te verzekeren dat de persoonsgege-vens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden ge-bruikt, kan de verantwoordelijke een mededeling als bedoeld in artikel 34 achterwege laten en wei-geren aan een verzoek als bedoeld in artikel 35 te voldoen.

2. Indien een verwerking plaatsvindt van persoonsgegevens die deel uitmaken van archiefbescheiden die ingevolge de artikelen 12 of 13 van de Archiefwet 1995 zijn overgebracht naar een archiefbewaar-plaats, kan de verantwoordelijke een mededeling als bedoeld in arti-kel 34 achterwege laten.

HOOFDSTUK 8. RECHTSBESCHERMING

Artikel 45 [besluit in de zin van de Awb] Een beslissing op een verzoek als bedoeld in de artikelen 30, derde lid, 35, 36 en 38, tweede lid, alsmede een beslissing naar aanleiding van de aan-tekening van verzet als bedoeld in de artikelen 40 of 41 gelden voor zover deze is genomen door een bestuursorgaan als een besluit in de zin van de Algemene wet bestuursrecht.

Inzageverzoek


39

Artikel 46 [verzoekschriftprocedure] 1. Indien een beslissing als bedoeld in artikel 45 is

genomen door een ander dan een bestuursor-gaan, kan de belanghebbende zich tot de rechtbank wenden met het schriftelijk ver-zoek, de verantwoordelijke te bevelen alsnog een verzoek als bedoeld in de artikelen 30, derde lid, 35, 36 of 38, tweede lid, toe of af te wijzen dan wel een verzet als bedoeld in de ar-tikelen 40 of 41 al dan niet te honoreren.

2. Het verzoekschrift moet worden ingediend binnen zes weken na ont-vangst van het antwoord van de verantwoordelijke. Indien de verant-woordelijke niet binnen de gestelde termijn heeft geantwoord, moet het verzoekschrift worden ingediend binnen zes weken na afloop van die termijn.

3. De rechtbank wijst het verzoek toe, voor zover zij dit gegrond oord-eelt. Alvorens de rechtbank beslist, stelt zij zo nodig de belangheb-benden in de gelegenheid hun zienswijze naar voren te brengen.

4. De indiening van het verzoekschrift behoeft niet door een advocaat te geschieden.

5. De derde afdeling van de vijfde titel van het Tweede Boek van het Wetboek van Burgerlijke Rechtsvordering is van overeenkomstige toepassing.

6. De rechtbank kan partijen en anderen verzoeken binnen een door haar te bepalen termijn schriftelijke inlichtingen te geven en onder hen berustende stukken in te zenden. De verantwoordelijke en be-langhebbende zijn verplicht aan dit verzoek te voldoen. De artikelen 8:45, tweede en derde lid, en 8:29 van de Algemene wet bestuurs-recht zijn van overeenkomstige toepassing.

Artikel 47 [toezichthouder kan bemiddelen of adviseren] 1. De belanghebbende kan zich ook binnen de termijn bepaald voor het

beroep op grond van de Algemene wet bestuursrecht, dan wel die, bedoeld in artikel 46, tweede lid, tot het College wenden met het ver-zoek te bemiddelen of te adviseren in zijn geschil met de verant-woordelijke, dan wel gebruik maken van een geschillenbeslechting-sregeling op grond van een gedragscode ten aanzien waarvan een

Inlichtingen, in-zage, verbeteren, aanvullen, verwij-

deren, afschermen


40

verklaring is afgegeven als bedoeld in artikel 25, eerste lid. In dat ge-val kan in afwijking van artikel 6:7 van de Algemene wet bestuurs-recht het beroep nog worden ingesteld, dan wel de procedure ingevolge artikel 46 nog aanhangig worden gemaakt nadat de be-langhebbende van het College of ingevolge een geschillenbeslech-tingsregeling op grond van een gedragscode ten aanzien waarvan een verklaring is afgegeven als bedoeld in artikel 25, eerste lid, be-richt heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.

2. Tijdens de behandeling van het beroep en de procedure, bedoeld in het eerste lid, kunnen de instanties die zijn belast met de behande-ling van het geschil, het advies van het College inwinnen.

Artikel 48 [afschrift geschilbehandeling aan toezichthouder] De instanties die zijn belast met de behandeling van het geschil, zenden afschrift van hun uitspraak aan het College.

Artikel 49 [schadevergoeding] 1. Indien iemand schade lijdt doordat ten opzichte van hem in strijd

wordt gehandeld met de bij of krachtens deze wet gegeven voor-schriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.

2. Voor nadeel dat niet in vermogensschade bestaat, heeft de bena-deelde recht op een naar billijkheid vast te stellen schadevergoeding.

3. De verantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid be-doelde voorschriften. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.

4. De verantwoordelijke of de bewerker kan geheel of gedeeltelijk wor-den ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 50 [mogelijkheid verbod of herstel] 1. Indien de verantwoordelijke of de bewerker handelt in strijd met het

bij of krachtens deze wet bepaalde en een ander daardoor schade lijdt of dreigt te lijden, kan de rechter hem op vordering van die ander


41

zodanig gedrag verbieden en hem bevelen maatregelen te treffen tot herstel van de gevolgen van dat gedrag.

2. Een verwerking kan niet ten grondslag worden gelegd aan een vor-dering van een rechtspersoon als bedoeld in artikel 1:2, derde lid, van de Algemene wet bestuursrecht of artikel 3:305a van het Burgerlijk Wetboek, voor zover degene die door deze verwerking wordt getrof-fen, daartegen bezwaar heeft.

HOOFDSTUK 9. TOEZICHT Paragraaf 1. Het College bescherming persoonsgegevens

Artikel 51 [de toezichthouder] 1. Er is een College bescherming persoonsgegevens dat tot taak heeft

toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het College toe-zicht op de verwerking van persoonsgegevens in Nederland, wan-neer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de Europese Unie.

2. Het College wordt om advies gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens.

3. De Kaderwet is van toepassing op het College, behoudens de in deze wet genoemde uitzonderingen.

/*4. Het College wordt in het maatschappelijk verkeer aange-duid als: Autoriteit persoonsgegevens.*/

/*Artikel 51a [samenwerkingsprotocollen andere toezicht-houders] 1. Het College is bevoegd om in het belang van een efficiënt en

effectief toezicht op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscou-rant.


42

2. Het College en de toezichthouders, bedoeld in het eerste lid, zijn be-voegd uit eigen beweging en desgevraagd verplicht aan elkaar de ge-gevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van hun taak.*/

Artikel 52 [taken toezichthouder en onafhankelijkheid] 1. Het College vervult overigens de taken, hem bij wet en ingevolge

verdrag opgedragen. 2. Het College vervult zijn taken in onafhankelijkheid.

Artikel 53 [samenstelling en benoeming College] 1. Het College bestaat uit een voorzitter en ten hoogste twee andere

leden. Bij het College kunnen voorts buitengewone leden worden benoemd. Bij de benoeming van buitengewone leden wordt sprei-ding over de onderscheidene sectoren van de maatschappij nage-streefd.

2. De voorzitter moet voldoen aan de bij of krachtens artikel 5 van de Wet rechtspositie rechterlijke ambtenaren gestelde vereisten voor benoembaarheid tot rechter in een rechtbank.

3. De voorzitter, de andere leden en de buitengewone leden worden bij koninklijk besluit, op voordracht van Onze Minister, benoemd voor een tijdvak van vijf jaar. De leden kunnen eenmaal worden herbe-noemd voor een tijdvak van vijf jaar. Op eigen verzoek worden zij door Onze Minister ontslagen. Artikel 12 van de Kaderwet is niet van toepassing.

4. Er is een Raad van advies die het College adviseert over algemene aspecten van de bescherming van persoonsgegevens. De leden zijn afkomstig uit de onderscheidene sectoren van de maatschappij en worden benoemd door Onze Minister op voordracht van het College. De leden worden benoemd voor ten hoogste vier jaar. Herbenoe-ming kan twee maal en telkens voor ten hoogste vier jaar plaatsvin-den. Bij of krachtens algemene maatregel van bestuur wordt de vergoeding van de kosten aan de leden vastgesteld.


43

Artikel 54 [disciplinaire maatregelen] De artikelen 46c, 46d, tweede lid, 46f, 46g, 46i, met uitzondering van het eerste lid, onderdeel c, 46j, 46l, eerste en derde lid, 46m, 46n, 46o en 46p van de Wet rechtspositie rechterlijke ambtenaren zijn van overeenkom-stige toepassing, met dien verstande dat: a. de disciplinaire maatregel als bedoeld in artikel 46c, eerste lid, ten aanzien van de leden van het College door de voorzitter van het College wordt opgelegd; b. het in artikel 46c, eerste lid, onderdeel b, genoemde verbod zich in een onderhoud of een gesprek in te laten met partijen of haar advocaten of gemachtigden of een bijzondere inlichting of schriftelijk stuk van hen aan te nemen niet op de leden van het College van toepassing is. Artikel 12, tweede lid, van de Kaderwet is niet van toepassing.

Artikel 55 [rechtspositie leden College] De rechtspositie van de voorzitter, de andere leden en de buitengewone leden wordt geregeld bij ministeriële regeling.

Artikel 56 [secretariaat en bestuursreglement] 1. Het College heeft een secretariaat, waarvan de ambtenaren door

Onze Minister, op voordracht van de voorzitter, worden benoemd, geschorst en ontslagen.

2. De voorzitter geeft leiding aan de werkzaamheden van het College en van het secretariaat.

3. Het College stelt een bestuursreglement vast. Dit bevat in ieder ge-val regels over het financiële beheer en de administratieve organisa-tie, alsmede over werkwijzen en procedures met het oog op een goede en zorgvuldige uitoefening van de verschillende taken. Daar-bij wordt voorzien in waarborgen tegen vermenging van de toezicht-houdende, adviserende en sanctionerende taak van het College. Tevens kan het een nadere regeling geven van de Raad van advies, als bedoeld in artikel 53, vierde lid.

Artikel 57 [vertegenwoordiging College] 1. Het College wordt vertegenwoordigd door de voorzitter en de an-

dere leden, dan wel door een van hen.


44

2. De leden stellen een verdeling van taken vast en betrekken hierbij zoveel mogelijk de buitengewone leden.

Artikel 58 [jaarverslag toezenden aan fg] Het jaarverslag, bedoeld in artikel 18 van de Kaderwet, wordt toegezon-den aan de functionarissen voor de gegevensbescherming, bedoeld in ar-tikel 62, en algemeen verkrijgbaar gesteld.

Artikel 59 [uitzondering verstrekken inlichtingen aan minister] Artikel 20 van de Kaderwet is niet van toepassing indien het College de informatie van derden heeft verkregen onder de voorwaarde dat het ge-heime karakter daarvan wordt gehandhaafd.

Artikel 59a [geen mogelijkheid opstellen beleidsregels of vernieti-gen besluit door minister] 1. De artikelen 21 en 22 van de Kaderwet zijn niet van toepassing op het

College. 2. Artikel 23 van de Kaderwet vindt slechts toepassing ten aanzien van

het door het College gevoerde financiële beheer en de administra-tieve organisatie.

Artikel 60 [onderzoek en voorlopige bevindingen] 1. Het College kan ambtshalve of op verzoek van een belanghebbende,

een onderzoek instellen naar de wijze waarop ten aanzien van gege-vensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet.

2. Het College brengt zijn voorlopige bevindingen ter kennis van de ver-antwoordelijke of de groep van verantwoordelijken die bij het onder-zoek zijn betrokken en stelt hen in de gelegenheid hun zienswijze daarop te geven. Houden de voorlopige bevindingen verband met de uitvoering van enige wet, dan brengt het College deze tevens ter kennis van Onze Minister die het aangaat.

3. In geval van een onderzoek, ingesteld op verzoek van een belang-hebbende, doet het College aan deze mededeling van zijn bevindin-gen, tenzij zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan


45

wel gewichtige belangen van anderen dan de verzoeker, de verant-woordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het mededeling van zijn bevindingen ach-terwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt.

Artikel 61 [toezicht op naleving] 1. Met het toezicht op de naleving als bedoeld in artikel 51, eerste lid

zijn belast de leden en buitengewone leden van het College, de amb-tenaren van het secretariaat van het College, alsmede de bij besluit van het College aangewezen personen.

2. De in het eerste lid bedoelde personen zijn bevoegd een woning te betreden zonder toestemming van de bewoner.

3. De in het eerste lid bedoelde personen behoeven voor de uitoefening van de in het tweede lid omschreven bevoegdheid de uitdrukkelijke en bijzondere volmacht van het College, onverminderd het bepaalde in artikel 2 van de Algemene wet op het binnentreden.

4. Het College is bevoegd tot oplegging van een last onder bestuurs-dwang ter handhaving van artikel 5:20, eerste lid, van de Algemene wet bestuursrecht, voor zover het betreft de verplichting tot het ver-lenen van medewerking aan een bij of krachtens het eerste lid aan-gewezen ambtenaar.

5. Geen beroep is mogelijk op een geheimhoudingsplicht, voor zover inlichtingen of medewerking wordt verlangd in verband met de ei-gen betrokkenheid bij de verwerking van persoonsgegevens.

6. Het College is desgevraagd verplicht aan de toezichthoudende auto-riteiten van de andere lidstaten van de Europese Unie alle medewer-king te verlenen voor zover dat noodzakelijk is voor de uitvoering van hun taken.

Paragraaf 2. De functionaris voor de gegevensbescherming

Artikel 62 [functionaris voor de gegevensbescherming] Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolge hoofdstuk 9 en 10 van deze wet.


46

Artikel 63 [benoeming en functies fg] 1. Als functionaris kan slechts worden benoemd een natuurlijke per-

soon die voor de vervulling van zijn taak over toereikende kennis be-schikt en voldoende betrouwbaar kan worden geacht.

2. De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organi-satie die hem heeft benoemd. Hij ondervindt geen nadeel van de uit-oefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoorde-lijke gevolg dient te geven aan hetgeen in de tweede volzin is be-paald.

3. De functionaris oefent zijn taken eerst uit nadat de verantwoorde-lijke of de organisatie die hem heeft benoemd, hem heeft aange-meld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.

4. De functionaris is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend ge-worden, tenzij de betrokkene in bekendmaking toestemt.

Artikel 64 [toezicht door fg] 1. De functionaris ziet toe op de verwerking van persoonsgegevens

overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de ver-antwoordelijke die hem heeft benoemd of door de verantwoordelij-ken die zijn aangesloten bij de organisatie die hem heeft benoemd.

2. Indien op de verwerking een krachtens artikel 25 vastgestelde ge-dragscode van toepassing is, strekt het toezicht mede uit tot de na-leving van deze code.

3. De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over be-voegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel5.2 van de Algemene wet bestuursrecht.

4. De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die wor-den verwerkt. In gevallen van twijfel overlegt hij met het College.


47

HOOFDSTUK 10. SANCTIES Paragraaf 1. Bestuursdwang

Artikel 65 [last onder dwangsom] Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen.

Paragraaf 2. Bestuurlijke boeten

Artikel 66 [bestuurlijke boete] Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste EUR 4 500 ter zake van overtreding van het bij of krachtens artikel 27, 28 of 79, eerste lid, bepaalde. /*1. Het College kan een bestuurlijke boete opleggen van ten hoogste het

bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.

2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eer-ste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Al-gemene wet bestuursrecht.

3. Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.

4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid.

5. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23,


48

vierde lid, van het Wetboek van Strafrecht in geval van niet-nako-ming van een bindende aanwijzing. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.*/

Artikel 67 [Vervallen per 01-07-2009]

/*Artikel 67 [overleg minister bij vaststellen beleidsregel] Het College overlegt voorafgaand aan het vaststellen van een beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen met Onze Minis-ter en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.*/

Artikel 68 [Vervallen per 01-07-2009] Artikel 69 [Vervallen per 01-07-2009] Artikel 70 [Vervallen per 01-07-2009]

Artikel 71 [opschorting bestuurlijke boete] De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar /*- of beroeps*/ter-mijn is verstreken of, indien bezwaar is gemaakt, /*respectievelijk beroep is ingesteld*/, op het bezwaar /*respectievelijk het beroep*/ is beslist.

Artikel 72 [Vervallen per 01-07-2009] Artikel 73 [Vervallen per 01-07-2009] Artikel 74 [Vervallen per 01-01-2014]

Paragraaf 3. Strafrechtelijke sancties


49

Artikel 75 [strafrechtelijke boetes en gevan-genisstraf] 1. De verantwoordelijke die in strijd han-

delt met hetgeen bij of krachtens arti-kel 4, derde lid, 27, 28, /*of*/ 78, tweede lid, onder a, of 79, eerste lid, is be-paald, wordt gestraft met geldboete van de derde categorie.

2. De verantwoordelijke die een feit als be-doeld in het eerste lid, opzettelijk begaat, wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie.

3. De in het eerste lid strafbaar gestelde feiten zijn overtredingen. De in het tweede lid strafbaar gestelde feiten zijn misdrijven.

4. Met de opsporing van de in dit artikel om-schreven feiten zijn behalve de bij of krach-tens artikel 141 van het Wetboek van Strafvordering aangewezen ambtenaren belast de door Onze Minister daartoe aangewezen ambtenaren van het secretariaat van het College.

HOOFDSTUK 11. GEGEVENSVERKEER MET LANDEN BUITEN DE EUROPESE UNIE Artikel 76 [doorgifte aan landen buiten de EU] 1. Persoonsgegevens die aan een verwerking worden

onderworpen of die bestemd zijn om na hun door-gifte te worden verwerkt, worden slechts naar een land buiten de Eu-ropese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt.

2. In afwijking van het eerste lid kunnen persoonsgegevens die aan een verwerking worden onderworpen of die zijn bestemd om na hun doorgifte te worden verwerkt naar een land buiten de Europese Unie worden doorgegeven, indien dat land partij is bij de op 2 mei 1992 te Oporto totstandgekomen Overeenkomst betreffende de Europese Economische Ruimte (Trb. 1992, 132), tenzij uit een besluit van de

€ 810.000

Aanwijzen persoon of instantie in NL die namens hem

handelt. Verboden verstrekking buiten EU of ingetrokken vergunning door-

gifte derde landen.

Officieren van Justi-tie, politie, mare-

chausse, bijzondere opsporingsambtena-

ren.


50

Commissie van de Europese Gemeenschappen of de Raad van de Eu-ropese Unie voortvloeit dat deze doorgifte is beperkt of verboden.

3. Het passend karakter van het beschermingsniveau wordt beoor-deeld gelet op de omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn. In het bij-zonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde of de doeleinden en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de regels van het beroepsle-ven en de veiligheidsmaatregelen die in die landen worden nage-leefd.

Artikel 77 [doorgifte in geval van onvoldoende be-scherming] 1. In afwijking van artikel 76 kan een doorgifte of een ca-

tegorie van doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau, plaatsvinden indien:

a. de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;

b. de doorgifte noodzakelijk is voor de uitvoering van een overeen-komst tussen de betrokkene en de verantwoordelijke, of voor het ne-men van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

c. de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst;

d. de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;

e. de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of

f. de doorgifte geschiedt vanuit een register dat bij wettelijk voor-schrift is ingesteld en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden

€ 810.000


51

geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging;

g. gebruik wordt gemaakt van een modelcontract als bedoeld in artikel 26, vierde lid, van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwer-king van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281).

2. In afwijking van het eerste lid, kan Onze Minister, gehoord het Col-lege, een vergunning geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Aan de vergunning worden de nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de funda-mentele rechten en vrijheden van personen, alsmede de uitoefening van de daarmee verband houdende rechten te waarborgen.

Artikel 78 [in kennis stellen Europese Commissie] 1. Onze Minister stelt de Commissie van de Europese Gemeenschap-

pen in kennis van: a. de gevallen waarin, naar zijn oordeel, een derde land geen waarbor-

gen voor een passend beschermingsniveau biedt in de zin van artikel 76, eerste lid, en

b. van een vergunning als bedoeld in artikel 77, tweede lid. 2. Indien zulks voortvloeit uit een besluit van de Com-

missie van de Europese Gemeenschappen of de Raad van de Europese Unie, bepaalt Onze Minister van Jus-titie bij ministeriële regeling of bij besluit dat:

a. de doorgifte naar een land buiten de Europese Unie is verboden, of, b. een op grond van artikel 77, tweede lid, verleende vergunning wordt

ingetrokken of gewijzigd. 3. Aan een derde land, waarvan de Commissie van de

Europese Gemeenschappen of de Raad van de Euro-pese Unie heeft vastgesteld dat het waarborgen voor een passend beschermingsniveau biedt kunnen, onverminderd het overigens bij of krachtens deze wet bepaalde, persoonsgegevens worden doorgegeven.

€ 20.250

€ 810.000


52

4. In afwijking van het derde lid kan de doorgifte van persoonsgegevens naar een derde land waarvan de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie heeft vastgesteld dat het waarborgen voor een passend beschermingsniveau biedt, door Onze Minister van Justitie bij ministeriële regeling of bij besluit, gehoord het College, worden opgeschort, teneinde personen bij de verwerking van per-soonsgegevens te beschermen in de gevallen waarin:

a. een bevoegde autoriteit in het derde land tot de conclusie is geko-men dat de desbetreffende ontvanger in strijd met de toepasselijke normen voor gegevensbescherming handelt;

b. het zeer waarschijnlijk is dat niet aan de normen voor gegevensbe-scherming wordt voldaan, er gegronde redenen zijn om aan te ne-men dat de bevoegde autoriteit in het derde land niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade aan de betrokkene inhoudt en het College vol-doende inspanningen heeft geleverd om de in het derde land geves-tigde verantwoordelijke in kennis te stellen van zijn bevindingen en hem gelegenheid heeft geboden op die bevindingen te reageren.

5. De ministeriële regeling, onderscheidenlijk het besluit, bedoeld in het vierde lid, blijft van kracht tot vaststaat dat de normen voor ge-gevensverwerking worden nageleefd en het College daarvan in ken-nis is gesteld door de desbetreffende bevoegde autoriteit, in een geval als bedoeld in het vierde lid, onder a, dan wel het College dit heeft vastgesteld in een geval als bedoeld in het vierde lid, onder b. Het College brengt zijn bevindingen ter kennis van Onze Minister van Justitie.

6. De in het eerste lid, onder a en b, bedoelde kennisgevingen worden gepubliceerd in de Staatscourant.

€ 810.000


53

HOOFDSTUK 12. OVERGANGS- EN SLOTBEPALINGEN

Artikel 79 [overgangsbepaling] 1. Binnen een jaar na inwerkingtreding van deze wet

worden de gegevensverwerkingen die op dat tijdstip reeds plaatsvonden, in overeenstemming gebracht met deze wet en worden deze gemeld als bedoeld in artikel 27 bij het College of de functionaris. Bij algemene maatregel van bestuur kan de termijn, bedoeld in de eerste volzin, worden verlengd tot ten hoogste drie jaren voor wat betreft de verplichting tot melding.

2. Voor de aanpassing van de verwerking van bijzondere gegevens aan paragraaf 2 van hoofdstuk 2 geldt een termijn van drie jaren met dien verstande dat voor verwerkingen die al plaatsvonden en noodzake-lijk zijn voor de uitvoering van overeenkomsten tot stand gekomen voor het tijdstip van inwerkingtreding van deze wet, niet opnieuw toestemming behoeft te worden gevraagd als bedoeld in artikel 23, eerste lid, onder a.

3. Artikel 32, tweede lid, is niet van toepassing op de verwerkingen als bedoeld in artikel 31, eerste en derde lid, die reeds plaatsvonden op het tijdstip van inwerkingtreding van de wet, onderscheidenlijk van de wet of de algemene maatregel van bestuur waarbij zij zijn aange-wezen.

Artikel 80 [verslag doeltreffendheid wet] Onze Ministers van Justitie en van Binnenlandse Zaken en Koninkrijksre-laties zenden binnen vijf jaren na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.

Artikel 81 [intrekking Wpr] De Wet persoonsregistraties wordt ingetrokken.

Artikel 82 [inwerkingtreding] Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip.

Artikel 83 [naam wet] Deze wet wordt aangehaald als: Wet bescherming persoonsgegevens.

€ 4.500

55

NIEUWE BOETEBEVOEGDHEID - ART. 66 WBP – SCHEMATISCH OVERZICHT

■ Artikel 66 Wbp lid 1: 1. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wet-boek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.

Art. 23, lid 4, Sr Geldboete van de vierde categorie: € 20.250,-

Art. 4, lid 3, Wbp Verantwoordelijken zonder vestiging in de EU moeten een vertegenwoordiger binnen de EU aanstellen.

Art. 78, lid 2, aanhef & onder a Wbp

Doorgifte naar een niet-EU-land in strijd met hetgeen be-paald door de Minister van Justitie bij besluit of ministeri-ele regeling.

■ Artikel 66 Wbp lid 2: 2. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wet-boek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.

Art. 23, lid 4, Sr Geldboete van de zesde categorie: € 810.000,-

Art. 6 Wbp “Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.“

Art. 7 Wbp “Persoonsgegevens worden voor welbepaalde, uitdrukke-lijk omschreven en gerechtvaardigde doeleinden verza-meld.“

Art. 9, lid 1, Wbp “Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.“

Art. 9, lid 4, Wbp Verwerking van persoonsgegevens in strijd met geheim-houdingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift.

Art. 10, lid 1, Wbp Persoonsgegevens langer bewaren dan in noodzakelijk voor doeleinden verzamelingen.

WET BESCHERMING PERSOONSGEGEVENS – OVERZICHT ART. 66 & 75

56

Art. 11 Wbp Dataminimalisatie, doelbinding en eis van juistheid van persoonsgegevens.

Art. 12 Wbp (Medewerkers van) verantwoordelijke en bewerker ver-werken de gegevens slechts in opdracht van de verant-woordelijke en hebben een geheimhoudingsplicht.

Art. 13 Wbp Passende technische en organisatorische maatregelen te-gen verlies en onrechtmatige verwerking.

Art. 16 Wbp Verbod verwerking van bijzondere persoonsgegevens.

Art. 24 Wbp Verbod verwerking van bij wet voorgeschreven nummer ter identificatie (bijvoorbeeld BSN).

Art. 33 Wbp Informatieplicht bij verkrijging van persoonsgegevens van betrokkene zelf.

Art. 34, lid 1, Wbp Informatieplicht bij verkrijging van persoonsgegevens an-ders dan van betrokkene.

Art. 34, lid 2, Wbp “De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking mede.”

Art. 34, lid 3, Wbp Verplichting tot verstrekking van nadere informatie.

Art. 34a Wbp (nieuw) Meldplicht datalekken: verantwoordelijke stelt CBP onverwijld in kennis van inbreuken op de beveiliging (als bedoeld in art. 13) indien deze inbreuk leidt tot (de aan-zienlijke kans op) ernstige nadelige gevolgen voor de be-scherming van persoonsgegevens of waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke le-venssfeer. Een melding bevat ten minste de aard van de inbreuk, de instanties waar meer informatie over de in-breuk kan worden verkregen en de aanbevolen maatrege-len om de negatieve gevolgen van de inbreuk te beperken en omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de ver-werking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. [Voor uitzonderingen, mel-ding aan betrokkene, documentatieplicht zie art. 34a Wbp.]

Art. 35, lid 1, 2e vol-zin, Wbp

Verzoek om inzage van betrokkene; “De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsge-gevens worden verwerkt.”


57

Art. 35, lid 2, Wbp Inhoudelijke eisen aan mededeling; een melding bevat: volledig overzicht begrijpelijke vorm, omschrijving van doel of doeleinden van de verwerking, categorieën van ge-gevens waarop de verwerking betrekking heeft en (cate-gorieën van) ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Art. 35, lid 3, Wbp In kennis stellen van derden-belanghebbenden.

Art. 35, lid 4, Wbp “Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautoma-tiseerde verwerking van hem betreffende gegevens.”

Art. 36, lid 2, Wbp Correctieverzoek; “De verantwoordelijke bericht de ver-zoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.”

Art. 36, lid 3, Wbp “De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.”

Art. 36, lid 4, Wbp Informatieplicht aan betrokkene indien persoonsgege-vens onmogelijk gecorrigeerd kunnen worden.

Art. 38 Wbp Kennisgeving correctie aan derden aan wie de persoons-gegevens voorafgaand aan de correctie zijn verstrekt.

Art. 39 Wbp (teruggave van) Tegemoetkoming van de kosten in geval van inzageverzoek van ten hoogste €5,-

Art. 40, lid 2, Wbp Recht van verzet; “De verantwoordelijke beoordeelt bin-nen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is beëindigt hij terstond de verwerking”

Art. 40, lid 3, Wbp Verantwoordelijke kan vergoeding vragen voor in behan-deling nemen van verzet die wordt vergoed in geval verzet gegrond wordt bevonden.

Art. 41, lid 2, Wbp Werving voor commercieel of charitatief doel; absoluut recht van verzet; kennisgeving binnen vier weken na ont-vangst verzoek.

Art. 41, lid 3, Wbp Werving voor commercieel of charitatief doel; verplichting tot vermelden recht van verzet.

Art. 42, lid 1, Wbp Verbod op geautomatiseerde individuele besluitvorming.


58

Art. 42, lid 4, Wbp “In het geval, bedoeld in het tweede lid [uitzonderingen verbod, red.], deelt de verantwoordelijke de betrokkene de logica mee die ten grondslag ligt aan de geautomati-seerde verwerking van hem betreffende gegevens.”

Art. 76 Wbp Doorgifte naar niet EU-landen; slechts indien passend be-schermingsniveau is gewaarborgd.

Art. 77 Wbp Criteria voor doorgifte naar niet EU-landen zonder pas-send beschermingsniveau.

Art. 78, lid 3, Wbp Doorgifte aan een land waarvan Commissie of Raad heb-ben bepaald dat een passend beschermingsniveau wordt geboden.

Art. 78, lid 4, Wbp Doorgifte aan een land als bedoeld in het derde lid kan als-nog worden opgeschort op last van de Minister van Justi-tie.

Art. 5:20 Awb Verplichting tot medewerking

■ Artikel 66 Wbp leden 3, 4 & 5: 3. Het College legt geen bestuurlijke boete op wegens overtreding van het be-paalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan na-dat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. 4. Het derde lid is niet van toepassing indien de overtreding opzettelijk is ge-pleegd of het gevolg is van ernstig verwijtbare nalatigheid. 5. Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wet-boek van Strafrecht in geval van niet-nakoming van een bindende aanwijzing. Ar-tikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.

Art. 23, lid 4, Sr Geldboete van de zesde categorie: € 810.000,-

Art. 23, lid 7, Sr Bij veroordeling van een rechtspersoon kan, onder om-standigheden, een geldboete worden opgelegd tot ten hoogste 10% van de jaaromzet van de rechtspersoon in het boekjaar voorafgaande aan de uitspraak of strafbe-schikking.

Versie 1.00. februari 2015. Gebaseerd op versie Kamerstukken 33 662. Wijzigingen in wetsvoorstel zijn mogelijk. Document is met zorg sa-mengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative com-mons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente ver-sie beschikbaar op www.PrivacyCompany.eu



59

NIEUWE BOETEBEVOEGDHEID - ART. 75 WBP – SCHEMATISCH OVERZICHT

■ Artikel 75 Wbp lid 1: 1. De verantwoordelijke die in strijd handelt met hetgeen bij of krachtens artikel 4, derde lid of 78, tweede lid, is bepaald, wordt gestraft met geldboete van de derde categorie.

Art. 4, lid 3, Wbp Het is een verantwoordelijke als bedoeld in het tweede lid, verboden persoonsgegevens te verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de bepalingen van deze wet. Voor de toepassing van deze wet en de daarop be-rustende bepalingen, wordt hij aangemerkt als de verant-woordelijke. [art 4 lid 2: verantwoordelijke zonder vestiging binnen de EU]

Art. 78, lid 2, Wbp 2. Indien zulks voortvloeit uit een besluit van de Commis-sie van de Europese Gemeenschappen of de Raad van de Europese Unie, bepaalt Onze Minister van Justitie bij mi-nisteriële regeling of bij besluit dat:

a. de doorgifte naar een land buiten de Europese Unie is verboden, of,

b. een op grond van artikel 77, tweede lid, verleende ver-gunning wordt ingetrokken of gewijzigd. [art 77 lid 2: vergunning voor doorgifte]

Geldboete 3e catego-rie

€ 8.100,-

■ Artikel 75 Wbp leden 2, 3 & 4: 2. De verantwoordelijke die een feit als bedoeld in het eerste lid, opzettelijk be-gaat, wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geld-boete van de vierde categorie. 3. De in het eerste lid strafbaar gestelde feiten zijn overtredingen. De in het tweede lid strafbaar gestelde feiten zijn misdrijven. 4. Met de opsporing van de in dit artikel omschreven feiten zijn behalve de bij of krachtens artikel 141 van het Wetboek van Strafvordering aangewezen ambtena-ren belast de door Onze Minister daartoe aangewezen ambtenaren van het se-cretariaat van het College.

Geldboete 4e catego-rie

€ 20.250,-

Art. 141 Sv Met de opsporing van strafbare feiten zijn belast:


60

a. de officieren van justitie; b. de ambtenaren van politie, bedoeld in artikel 2, onder

a, van de Politiewet 2012, en de ambtenaren van po-litie, bedoeld in artikel 2, onder c en d, van die wet, voor zover zij zijn aangesteld voor de uitvoering van de politietaak;

c. de door Onze Minister van Veiligheid en Justitie in overeenstemming met Onze Minister van Defensie aangewezen militairen van de Koninklijke mare-chaussee;

d. de opsporingsambtenaren van de bijzondere opspo-ringsdiensten, bedoeld in artikel 2 van de Wet op de bijzondere opsporingsdiensten.

Versie 1.00. februari 2015. Gebaseerd op versie Kamerstukken 33 662. Wijzigingen in wetsvoorstel zijn mogelijk. Document is met zorg sa-mengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative com-mons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente ver-sie beschikbaar op www.PrivacyCompany.eu


61

BREDE MELDPLICHT DATALEKKEN – ART. 34A WBP – SCHEMATISCH OVERZICHT

■ Artikel 34a Wbp 1. De verantwoordelijke stelt het College onverwijld in kennis van een in-

breuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem wor-den verwerkt.

2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene on-verwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de in-breuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de in-breuk kan worden verkregen en de aanbevolen maatregelen om de nega-tieve gevolgen van de inbreuk te beperken.

4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de ver-werking van persoonsgegevens en de maatregelen die de verantwoorde-lijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoor-lijke en zorgvuldige informatievoorziening is gewaarborgd.

6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoor-delijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anders-zins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nade-lige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrok-kene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.

8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit over-zicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

WET BESCHERMING PERSOONSGEGEVENS – OVERZICHT ART. 34A

62

9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoe-danigheid als aanbieder van een openbare elektronische communicatie-dienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.

10. Het tweede en zevende lid zijn niet van toepassing op financiële onderne-mingen als bedoeld in de Wet op het financieel toezicht.

11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.

Art. 13 Wbp Passende technische en organisatorische maatregelen te-gen verlies en onrechtmatige verwerking.

11.3a, lid 1 en 2 Tw 1. De aanbieder van een openbare elektro-nische communicatiedienst stelt /* het College bescherming persoonsgegevens. */de Autoriteit Consument en Markt onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn ver-werkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie.

2. De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsge-gevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levens-sfeer.

Art. 11.3 Tw 1. De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangebo-den netwerken en diensten. De maatregelen garan-deren, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

2. De maatregelen als bedoeld in het eerste lid omvat-ten in elk geval:


63

a. waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens,

b. de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, ver-strekking, wijziging, verlies, vernietiging, en

c. de invoering van een veiligheidsbeleid met be-trekking tot de verwerking van persoonsgege-vens.

3. De in artikel 11.2 bedoelde aanbieders dragen er zorg voor dat de abonnees worden geïnformeerd over: a. bijzondere risico's voor de doorbreking van de

veiligheid of de beveiliging van het aangeboden netwerk of de aangeboden dienst;

b. de eventuele middelen waarmee de onder a be-doelde risico's kunnen worden tegengegaan, voor zover het andere maatregelen betreft dan die welke de aanbieder op grond van het eerste lid gehouden is te treffen, alsmede een indicatie van de verwachte kosten.

4. Bij of krachtens algemene maatregel van bestuur kunnen de in artikel 11.2 bedoelde aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers nadere verplichtingen en beperkingen worden opgelegd ten behoeve van de veiligheid en beveiliging van de door hen aange-boden netwerken en diensten.

Art. 11.2 Tw Onverminderd de Wet bescherming persoonsgege-vens en het overigens bij of krachtens deze wet bepaalde dragen de aanbieder van een openbaar elektronisch com-municatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor de bescher-ming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk, onderscheidenlijk zijn dienst.

Art. 1:1 Wft financiële onderneming: a.een afwikkelonderneming; b.een bank; c.een beheerder van een beleggingsinstelling;


64

d.een beheerder van een icbe; e.een beleggingsinstelling; f.een beleggingsonderneming; g.een betaaldienstverlener; h.een bewaarder; i.een bewaarder van een icbe; j.een clearinginstelling; k.een entiteit voor risico-acceptatie; l.een financiëledienstverlener; m.een financiële instelling; n.een icbe; o.een pensioenbewaarder; p.een premiepensioeninstelling; q.een verzekeraar; of r.een wisselinstelling.

Wat te doen? Stel CBP onverwijld in kennis bij een inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige ge-volgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.

Stel betrokkene in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal heb-ben voor diens persoonlijke levenssfeer.

Hou een overzicht bij van ernstige inbreuken met daarin feiten en gegevens omtrent de aard van de inbreuk en de tekst van de kennisgeving aan de be-trokkene.

Wat is de inhoud van de melding aan het CBP?

Aard van de inbreuk.

De instanties waar meer informatie over de inbreuk kan worden verkregen

Aanbevolen maatregelen om de negatieve gevol-gen van de inbreuk te beperken.

Een beschrijving van de geconstateerde en de ver-moedelijke gevolgen van de inbreuk voor de ver-werking van persoonsgegevens.

De maatregelen die de verantwoordelijke heeft ge-troffen of voorstelt te treffen om deze gevolgen te verhelpen.

Wat is de inhoud van de melding aan de betrokkene(n)?

De kennisgeving aan de betrokkene wordt op zoda-nige wijze gedaan dat, rekening houdend met de


65

aard van de inbreuk, de geconstateerde en de feite-lijke gevolgen daarvan voor de verwerking van per-soonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

Melding aan de betrokkene hoeft niet als er pas-sende organisatorische en technische maatregelen zijn genomen waardoor de verkregen gegevens on-begrijpelijk of ontoegankelijk zijn (encryptie, anoni-misering enz.).

Let op! Het CBP kan alsnog melding gelasten!

Versie 1.00. Maart 2015. Gebaseerd op versie Kamerstukken 33 662-A. Wijzigingen in wetsvoorstel zijn mogelijk. Document is met zorg sa-mengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative com-mons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente ver-sie beschikbaar op www.PrivacyCompany.eu


67

WIJZIGING VAN DE TELECOMWET (MELDPLICHT)

Artikel 11.3a [inkennisstelling] 1. De aanbieder van een openbare elektronische com-

municatiedienst stelt de Autoriteit Consument en Markt /* het College Bescherming Persoonsgegevens */ onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elek-tronische communicatiedienst in de Europese Unie.

2. De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoons-gegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

3. De kennisgeving aan de Autoriteit Consument en Markt /* het College Bescherming Persoonsgegevens*/ en de persoon wiens persoonsge-gevens het betreft, omvat in ieder geval de aard van de inbreuk in ver-band met persoonsgegevens, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De kennisge-ving aan de Autoriteit Consument en Markt /* het College Bescher-ming Persoonsgegevens */ omvat tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voor-stelt of heeft getroffen om de inbreuk aan te pakken.

4. Indien de aanbieder van een openbare elektronische communicatie-dienst geen kennisgeving als bedoeld in het tweede lid doet, kan de Autoriteit Consument en Markt /* het College Bescherming Per-soonsgegevens */, indien het van oordeel is dat de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal heb-ben voor de persoonlijke levenssfeer van de persoon wiens persoons-gegevens het betreft, van de aanbieder verlangen dat hij die persoon alsnog in kennis stelt van de inbreuk.

5. De kennisgeving, bedoeld in het tweede lid, is niet vereist indien de aanbieder naar het oordeel van de Autoriteit Consument en Markt /* het College Bescherming Persoonsgegevens */ gepaste technische

€ 450.000

WIJZIGING VAN DE TELECOMWET (MELDPLICHT)

68

beschermingsmaatregelen heeft genomen waardoor de persoonsge-gevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht heeft op toegang tot die gegevens.

6. De aanbieder van een openbare elektronische communicatiedienst houdt een overzicht bij van alle inbreuken in verband met persoons-gegevens. Dit overzicht bevat in elk geval de feiten en de in het derde lid bedoelde gegevens.

7. Bij of krachtens algemene maatregel van bestuur kunnen nadere re-gels worden gegeven met betrekking tot de in dit artikel bedoelde ei-sen met betrekking tot het verstrekken van informatie en de kennisgeving.

69

WET ALGEMENE BEPALINGEN BURGERSERVICENUMMER Hoofdstuk 1. Algemene bepalingen Artikel 1 [definities] In deze wet en de daarop berustende bepalingen wordt verstaan onder:

a. Onze Minister: Onze Minister van Binnenlandse Zaken en Ko-ninkrijksrelaties;

b. burgerservicenummer: het als zodanig overeenkomstig deze wet aan een natuurlijke persoon toegekend nummer;

c. overheidsorgaan: 1°. een orgaan van een rechtspersoon die krachtens publiekrecht is

ingesteld, of 2°. een ander persoon of college, met enig openbaar gezag bekleed; d. gebruiker: 1°. een overheidsorgaan; 2°. ieder ander dan een overheidsorgaan of degene aan wie het bur-

gerservicenummer is toegekend, voor zover deze werkzaamhe-den verricht waarbij het gebruik door hem of haar van het burgerservicenummer bij of krachtens de wet is voorgeschreven;

e. beheervoorziening: de beheervoorziening, bedoeld in artikel 3; f. nummerregister: het nummerregister dat deel uitmaakt van de

beheervoorziening; g. sociaal-fiscaalnummer: het nummer dat is toegekend op grond

van artikel 47b van de Algemene wet inzake rijksbelastingen zo-als dat artikel luidde op de dag voorafgaand aan de inwerkingtre-ding van de Wet basisregistratie personen.

Artikel 2 Het burgerservicenummer bevat geen informatie over de persoon aan wie het is toegekend.

WET ALGEMENE BEPALINGEN BURGERSERVICENUMMER

70

Hoofdstuk 2. Nummerbeheer Paragraaf 1. De beheervoorziening Artikel 3 [beheervoorziening] 1. Onze Minister draagt zorg voor de inrichting en de instandhou-

ding van een beheervoorziening, waarvan deel uitmaken: a. voorzieningen met behulp waarvan nummers die als burgerservi-

cenummer kunnen worden toegekend, worden aangemaakt en ter beschikking worden gesteld;

b. het nummerregister; c. voorzieningen met behulp waarvan het nummerregister kan wor-

den geraadpleegd; d. voorzieningen met behulp waarvan de daartoe bestemde regi-

straties kunnen worden geraadpleegd teneinde na te gaan: 1°. of aan een bepaalde persoon reeds een burgerservicenummer is

toegekend en zo ja, welk burgerservicenummer; 2°. aan welke persoon een bepaald burgerservicenummer is toege-

kend; 3°. of het Nederlandse document, met behulp waarvan een persoon

zich identificeert, een document is als bedoeld in artikel 1, eerste lid, onder 1°, 2° of 4°, van de Wet op de identificatieplicht;

e. voorzieningen met behulp waarvan aan een college van burge-meester en wethouders, onderscheidenlijk Onze Minister, gege-vens worden verstrekt, die noodzakelijk zijn voor de uitvoering van artikel 8, tweede lid, tweede volzin.

2. Bij of krachtens algemene maatregel van bestuur worden nadere

regels gesteld met betrekking tot de inrichting, de instandhou-ding, de werking en de beveiliging van de beheervoorziening.

Paragraaf 2. Het nummerregister Artikel 4 [nummerregister] 1. Het nummerregister bevat: a. de aangemaakte nummers, bedoeld in artikel 3, eerste lid, onder


71

a, en b. de bij algemene maatregel van bestuur te bepalen administra-

tieve gegevens, die op deze nummers betrekking hebben. 2. Bij of krachtens de maatregel, bedoeld in het eerste lid, onder b,

worden tevens regels gesteld omtrent het opnemen, wijzigen en verwijderen van de administratieve gegevens.

Artikel 5 [inlichtingen omtrent toekenning] 1. Een college van burgemeester en wethouders verschaft Onze Mi-

nister onverwijld de inlichtingen omtrent de toekenning, die voor de bijhouding van het nummerregister van belang zijn.

2. Bij ministeriële regeling worden regels gesteld omtrent de in het eerste lid bedoelde inlichtingen.

Artikel 6 Bij of krachtens algemene maatregel van bestuur kunnen verplichtingen worden geregeld van overheidsorganen om aan Onze Minister de inlich-tingen te verschaffen die voor de bijhouding van het nummerregister van belang zijn.

Hoofdstuk 3. Aanmaken en toekennen van burgerservicenummers Artikel 7 [eenmalig aanmaken en toekennen] Onze Minister draagt er zorg voor dat een nummer dat als burgerservi-cenummer kan worden toegekend slechts éénmaal wordt aangemaakt en ter beschikking gesteld aan een bestuursorgaan dat bevoegd is het nummer toe te kennen.

Artikel 8 [onmiddelijke toekenning] 1. Het college van burgemeester en wethouders, onderscheidenlijk

Onze Minister, kent onmiddellijk na de inschrijving van een per-soon als ingezetene, onderscheidenlijk niet-ingezetene, in de ba-sisregistratie personen, aan de ingeschrevene een burgerservicenummer toe, tenzij aan hem reeds een burgerservi-cenummer is toegekend.

2. Het burgerservicenummer wordt toegekend uit de nummers die


72

op grond van artikel 7 ter beschikking zijn gesteld. Indien aan de ingeschrevene reeds een sociaal-fiscaalnummer is toegekend, wordt, in afwijking van de eerste volzin, dit nummer aan hem als burgerservicenummer toegekend.

3. Een burgerservicenummer wordt foutloos en slechts éénmaal toegekend.

4. In verband met de uitvoering van dit artikel maakt het bestuurs-orgaan dat het burgerservicenummer toekent, gebruik van de voorzieningen, bedoeld in artikel 3, eerste lid, onder c, d en e.

5. Bij of krachtens algemene maatregel van bestuur worden regels gesteld omtrent de uitvoering van dit artikel, waaronder regels betreffende de verplichtingen van overheidsorganen om gege-vens te verstrekken die voor de uitvoering noodzakelijk zijn. De maatregel bepaalt in ieder geval welke gegevens in verband met de uitvoering van dit artikel worden verstrekt aan het bestuursor-gaan dat het burgerservicenummer toekent.

Artikel 9 [kennisgeving toekenning] 1. Het bestuursorgaan dat een burgerservicenummer heeft toege-

kend, stelt degene aan wie het nummer is toegekend daarvan binnen vier weken na de toekenning in kennis onder vermelding van het desbetreffende burgerservice-nummer.

2. Bij minderjarigen jonger dan 16 jaar en bij onder curatele gestel-den geschiedt de kennisgeving aan de ouders, voogden of verzor-gers, onderscheidenlijk aan de curator.

3. Bij ministeriële regeling worden nadere regels gesteld omtrent de in het eerste lid bedoelde kennisgeving.

Hoofdstuk 4. Algemene bepalingen betreffende het gebruik van het burgerservicenummer en de beheervoorziening Paragraaf 1. Het gebruik van het burgerservicenummer Artikel 10 [gebruik] Overheidsorganen kunnen bij het verwerken van persoonsgegevens in


73

het kader van de uitvoering van hun taak gebruik maken van het burger-servicenummer, met inachtneming van hetgeen bij of krachtens dit hoofdstuk is bepaald.

Artikel 11 [uitwisselen] 1. Bij het uitwisselen van persoonsgegevens tussen gebruikers on-

derling, waarbij een persoonsnummer wordt gebruikt als middel om persoonsgegevens in verband te brengen met een persoon aan wie een burgerservicenummer is toegekend, wordt het bur-gerservicenummer van die persoon vermeld.

2. Het eerste lid is niet van toepassing voor zover: a. ten behoeve van de desbetreffende gegevensverwerking bij of

krachtens wet het gebruik van een ander persoonsnummer dan het burgerservicenummer is voorgeschreven;

b. sprake is van bijzondere omstandigheden waarin het gebruik van het burgerservicenummer in een individueel geval onwenselijk is met het oog op de bescherming van de persoonlijke levenssfeer van de betrokkene, de opsporing of vervolging van strafbare fei-ten dan wel de veiligheid van de staat.

Artikel 12 [juistheid van gegevens] Indien bij het verwerken van persoonsgegevens een burgerservicenum-mer wordt gebruikt, vergewist de gebruiker zich ervan dat het burgerser-vicenummer betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt.

Artikel 13 [geen ander nummer] Degene aan wie een burgerservicenummer is toegekend, dan wel diens wettelijk vertegenwoordiger, kan niet worden verplicht bij het verstrek-ken van persoonsgegevens aan een gebruiker een ander persoonsnum-mer te verstrekken dan het burgerservicenummer dat aan hem, onderscheidenlijk aan degene die hij vertegenwoordigt, is toegekend.


74

Paragraaf 2. Het verstrekken van inlichtingen aan gebruikers Artikel 14 Aan een gebruiker worden op zijn verzoek uit het nummerregister de in-lichtingen verstrekt, die hij nodig heeft in verband met het gebruik van een burgerservicenummer.

Artikel 15 1. Aan een overheidsorgaan worden in verband met de uitvoering

van artikel 12 op zijn verzoek uit de registraties, bedoeld in artikel 3, eerste lid, onder d, de gegevens verstrekt, die hij nodig heeft teneinde na te gaan:

a. of aan een bepaalde persoon reeds een burgerservicenummer is toegekend en zo ja, welk burgerservicenummer;

b. aan welke persoon een bepaald burgerservicenummer is toege-kend;

c. of het Nederlandse document, met behulp waarvan een persoon zich identificeert, een document is als bedoeld in artikel 1, eerste lid, onder 1°, 2° of 4°, van de Wet op de identificatieplicht.

2. Met betrekking tot een gebruiker, niet zijnde een overheidsor-

gaan, is het eerste lid, aanhef en onder c, van overeenkomstige toepassing.

3. Bij of krachtens de wet kunnen gevallen worden geregeld, waarin een gebruiker, niet zijnde een overheidsorgaan, in verband met de uitvoering van artikel 12 bevoegd dan wel gehouden is een re-gistratie als bedoeld in artikel 3, eerste lid, onder d, te raadplegen teneinde na te gaan:

a. of aan een bepaalde persoon reeds een burgerservicenummer is toegekend en zo ja, welk burgerservicenummer;

b. aan welke persoon een bepaald burgerservicenummer is toege-kend.

4. In de gevallen, bedoeld in het derde lid, is het eerste lid van over-

eenkomstige toepassing.


75

Artikel 16 1. Bij of krachtens algemene maatregel van bestuur worden nadere

regels gesteld betreffende de voorwaarden waaronder en de wijze waarop gebruikers in verband met de uitvoering van deze paragraaf gebruik kunnen maken van:

a. het nummerregister; b. de voorzieningen, bedoeld in artikel 3, eerste lid, onder d. 2. Bij of krachtens de maatregel, bedoeld in het eerste lid, worden

regels gesteld omtrent de verplichtingen van overheidsorganen om gegevens te verstrekken die voor de uitvoering van deze pa-ragraaf noodzakelijk zijn. De maatregel bepaalt in ieder geval welke gegevens in verband met de uitvoering van deze paragraaf aan een gebruiker worden verstrekt.

3. Bij of krachtens de maatregel, bedoeld in het eerste lid, worden in ieder geval regels gesteld betreffende de beveiliging van de technische voorzieningen, waarmee de gebruikers kunnen aan-sluiten op de beheervoorziening.

Paragraaf 3. Sectorale berichtenvoorzieningen Artikel 17 1. Bij algemene maatregel van bestuur, op voordracht van Onze Mi-

nister die het aangaat, kan worden bepaald dat bij of krachtens de maatregel aangewezen gebruikers of categorieën van gebrui-kers uitsluitend door tussenkomst van een bij de algemene maat-regel van bestuur ingestelde sectorale berichtenvoorziening gebruik kunnen maken van de voorzieningen, bedoeld in artikel 3, eerste lid, onder c en d. De maatregel bepaalt wie met betrek-king tot de sectorale berichtenvoorziening de verantwoordelijke is.

2. Bij de algemene maatregel van bestuur, bedoeld in het eerste lid, kan tevens worden bepaald dat voor bij of krachtens de maatre-gel aangewezen gebruikers of categorieën van gebruikers een bevoegdheid of een verplichting geldt als bedoeld in artikel 15, derde lid.


76

3. De verantwoordelijke, bedoeld in het eerste lid, tweede volzin, levert de inlichtingen, bedoeld in artikel 14, alsmede de gege-vens, bedoeld in artikel 15, eerste lid, door aan de gebruiker die door tussenkomst van de sectorale berichtenvoorziening de in-lichtingen, onderscheidenlijk de gegevens, verzocht.

4. De artikelen 14 en 15, eerste lid, zijn van overeenkomstige toe-passing op de verantwoordelijke, bedoeld in het eerste lid, tweede volzin.

5. De verantwoordelijke, bedoeld in het eerste lid, tweede volzin, gaat na of degene die door tussenkomst van de sectorale berich-tenvoorziening toegang tot een voorziening als bedoeld in artikel 3, eerste lid, onder c of d, verlangt een krachtens het eerste lid aangewezen gebruiker is dan wel behoort tot een daartoe krach-tens het eerste lid aangewezen categorie van gebruikers.

6. Bij of krachtens de algemene maatregel van bestuur, bedoeld in het eerste lid, worden nadere regels gesteld met betrekking tot de inrichting, de instandhouding, de werking en de beveiliging van de sectorale berichtenvoorziening.

Hoofdstuk 5. Bescherming van persoonsgegevens, toezicht en controle Artikel 18 1. Onze Minister draagt zorg voor de inrichting en de instandhou-

ding van een voorziening met behulp waarvan voor eenieder al-gemene informatie beschikbaar wordt gesteld met betrekking tot:

a. het gebruik van burgerservicenummers; b. de gegevensverwerkingen van gebruikers, waarbij burgerservice-

nummers worden gebruikt. 2. Overheidsorganen verschaffen Onze Minister desgevraagd de in-

lichtingen betreffende gegevensverwerkingen, die van belang zijn voor de uitvoering van het eerste lid.

3. Bij of krachtens algemene maatregel van bestuur kunnen nadere


77

regels worden gesteld met betrekking tot de verplichting, be-doeld in het tweede lid.

Artikel 19 Onze Minister benoemt een functionaris voor de gegevensbescher-ming als bedoeld in artikel 62 van de Wet bescherming persoonsge-gevens, die toeziet op de verwerking van persoonsgegevens in verband met de uitvoering van deze wet, voor zover Onze Minister voor deze gegevensverwerkingen de verantwoordelijke is.20 [Verval-len per 01-10-2012] Artikel 21 1. Onze Minister verricht eens per drie jaar een onderzoek naar de

inrichting, de werking en de beveiliging van de beheervoorzie-ning.

2. De bestuursorganen die burgerservicenummers toekennen, ver-schaffen Onze Minister desgevraagd de inlichtingen betreffende de toekenning van burgerservicenummers.

3. Onze Minister die het aangaat verricht eens per drie jaar een on-derzoek naar de inrichting, de werking en de beveiliging van een sectorale berichtenvoorziening als bedoeld in artikel 17, eerste lid, die onder zijn verantwoordelijkheid valt.

4. Bij of krachtens algemene maatregel van bestuur, op voordracht van Onze Minister, onderscheidenlijk Onze Minister die het aan-gaat in overeenstemming met Onze Minister, worden nadere re-gels gesteld met betrekking tot de beoordelingscriteria en de wijze van uitvoering van de onderzoeken, bedoeld in het eerste, onderscheidenlijk het derde lid.

Hoofdstuk 6. Overgangs- en slotbepalingen Artikel 22 1. Het sociaal-fiscaalnummer dat op het moment van inwerkingtre-

ding van dit artikel is toegekend aan een persoon die is ingeschre-ven in de GBA van een gemeente, wordt aangemerkt als diens burgerservicenummer. Artikel 9 is niet van toepassing.


78

2. Op het tijdstip waarop artikel 3, eerste lid, aanhef en onder b, in werking treedt, worden in het nummerregister opgenomen:

a. de burgerservicenummers, bedoeld in het eerste lid, alsmede de op die nummers betrekking hebbende administratieve gegevens;

b. de sociaal-fiscale nummers die voor het tijdstip, bedoeld in de aanhef, zijn toegekend en waarop het eerste lid niet van toepas-sing is, alsmede de op die nummers betrekking hebbende admi-nistratieve gegevens.

Artikel 23 1. Ten aanzien van de personen aan wie op grond van deze wet een

burgerservicenummer is toegekend, wordt de vermelding van het sociaal-fiscaalnummer in enige registratie of op enig docu-ment gelijkgesteld met de vermelding van het burgerservice-nummer.

2. Het eerste lid is van overeenkomstige toepassing ten aanzien van de vermelding van het begrip sociaal-fiscaalnummer in enig wet-telijk voorschrift.

Artikel 24 [Wijzigt de Wet gemeentelijke basisadministratie persoonsgegevens.]

Artikel 25 De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld, waarbij onderscheid kan worden gemaakt tussen categorieën van gebruikers.

Artikel 26 Deze wet wordt aangehaald als: Wet algemene bepalingen burgerservi-cenummer.

79

WIJZIGING VAN DE TELECOMWET (COOKIEWET) Aangenomen op 03-02-2015. Op 23-02-2015 was de datum van inwer-kingtreding nog niet bekend. Artikel 11.7a 1 [cookiewet] 1. Onverminderd de Wet bescherming persoonsgegevens is het via een

elektronisch communicatienetwerk opslaan van of toegang verkrij-gen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:

a. is voorzien van duidelijke en volledige informatie overeenkomstig de Wet bescherming persoonsgegevens, in ieder geval over de doelein-den waarvoor deze informatie wordt gebruikt, en

b. daarvoor toestemming heeft verleend. 2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van

toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk informatie wordt opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen infor-matie.

3. Het bepaalde in het eerste lid is niet van toepassing indien het de op-slag of toegang betreft:

a. met als uitsluitend doel de communicatie over een elektronisch com-municatienetwerk uit te voeren,

b. die strikt noodzakelijk is om de door de abonnee of gebruiker ge-vraagde dienst van de informatiemaatschappij te leveren of – mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de in-formatiemaatschappij.

4. Een handeling als bedoeld in het eerste lid, die tot doel heeft gege-vens over het gebruik van verschillende diensten van de informatie-maatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren zodat de betrokken gebruiker of abonnee anders behandeld kan worden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens.

COOKIEWET

80

5. De toegang van de gebruiker tot een dienst van de informatiemaat-schappij die wordt geleverd door of namens een krachtens publiek-recht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van toestemming als bedoeld in het eerste lid.

6. Bij of krachtens algemene maatregel van bestuur kunnen in overeen-stemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten en de in het derde lid genoemde uitzonderin-gen. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

81

ALGEMENE VERORDENING GEGEVENSBESCHERMING Hieronder is de versie van de Europese Algemene Verordening die is aan-genomen door het Europees Parlement opgenomen. Deze versie is op het moment van schrijven nog onderwerp van verdere politieke discussie. De tussenstanden hebben echter (nog) geen formele status. Wijzigingen ten opzichte van de gepubliceerde tekst zijn zeker te verwachten. Onder-werp van de politieke discussie zijn onder meer de inrichting van de ‘one stop shop’ (hoofdstuk VII) en de noodzaak voor doelbinding bij het ver-dere gebruik van reeds verkregen persoonsgegevens. De tijd zal leren in welke vorm Europees Parlement, de Raad en de Europese Commissie tot een finale versie van de Verordening gaan komen. Houd dus goed de ont-wikkelingen in de gaten. Zodra nieuwe relevante versies van de Verorde-ning uitkomen, zullen wij een nieuwe versie van dit boekje uitgeven. De laatste versie van dit boekje is te vinden op onze website (www.privacy-company.eu). Om het boekje handzaam te houden hebben we de overwegingen die vooraf gaan aan de artikelen weggelaten. De volledige tekst van deze ver-sie inclusief overwegingen, is te vinden op http://bit.ly/19gIcZQ. Zoek je de meest actuele versie van de Verordening, raadpleeg dan altijd de offi-ciële bron.

CHAPTER I GENERAL PROVISIONS

Article 1 Subject matter and objectives [definities] 1. This Regulation lays down rules relating to the protection of individ-

uals with regard to the processing of personal data and rules relating to the free movement of personal data.

2. This Regulation protects the fundamental rights and freedoms of natural persons, and in particular their right to the protection of per-sonal data.

3. The free movement of personal data within the Union shall neither be restricted nor prohibited for reasons connected with the protec-tion of individuals with regard to the processing of personal data.

http://bit.ly/19gIcZQ

ALGEMENE VERORDENING GEGEVENSBESCHERMING

82

Article 2 Material scope [materiële reikwijdte] 1. This Regulation applies to the processing of personal data wholly or

partly by automated means, irrespective of the method of pro-cessing, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.

2. This Regulation does not apply to the processing of personal data: (a) in the course of an activity which falls outside the scope of Union law; (b) (deleted) (c) by the Member States when carrying out activities which fall within

the scope of Chapter 2 of Title V of the Treaty on European Union; (d) by a natural person in the course of an exclusively personal or house-

hold activity. This exemption also shall apply to a publication of per-sonal data where it can be reasonably expected that it will be only accessed by a limited number of persons;

(e) by competent public authorities for the purposes of prevention, in-vestigation, detection or prosecution of criminal offences or the ex-ecution of criminal penalties.

2. This Regulation shall be without prejudice to the application of Di-rective 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive.

Article 3 Territorial scope [territoriale reikwijdte] 1. This Regulation applies to the processing of personal data in the con-

text of the activities of an establishment of a controller or a processor in the Union, whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of such data subjects. 3. This Regulation applies to the processing of personal data by a con-

troller not established in the Union, but in a place where the national law of a Member State applies by virtue of public international law.


83

Article 4 Definitions [definities] For the purposes of this Regulation: (1) (deleted) (2) 'personal data' means any information relating to an identified or

identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by ref-erence to an identifier such as a name, an identification number, lo-cation data, unique identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social or gender identity of that person; (2a) 'pseudonymous data' means personal data that cannot be at-tributed to a specific data subject without the use of additional infor-mation, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-at-tribution; (2b) ‘encrypted data’ means personal data, which through technolog-ical protection measures is rendered unintelligible to any person who is not authorised to access it;

(3) 'processing' means any operation or set of operations which is per-formed upon personal data or sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, erasure or destruction; (3a) 'profiling' means any form of automated processing of personal data intended to evaluate certain personal aspects relating to a nat-ural person or to analyse or predict in particular that natural person’s performance at work, economic situation, location, health, personal preferences, reliability or behaviour;

(4) 'filing system' means any structured set of personal data which are accessible according to specific criteria, whether centralized, decen-tralized or dispersed on a functional or geographical basis;

(5) 'controller' means the natural or legal person, public authority, agency or any other body which alone or jointly with others deter-mines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by Un-ion law or Member State law, the controller or the specific criteria for


84

his nomination may be designated by Union law or by Member State law;

(6) 'processor' means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;

(7) 'recipient' means a natural or legal person, public authority, agency or any other body to which the personal data are disclosed; (7a) ‘third party’ means any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;

(8) 'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agree-ment to personal data relating to them being processed;

(9) 'personal data breach' means the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.

(10) 'genetic data' means all personal data relating to the genetic charac-teristics of an individual which have been inherited or acquired as they result from an analysis of a biological sample from the individual in question, in particular by chromosomal, desoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis or analysis of any other ele-ment enabling equivalent information to be obtained;

(11) 'biometric data' means any personal data relating to the physical, physiological or behavioural characteristics of an individual which al-low their unique identification, such as facial images, or dactylo-scopic data;

(12) ‘data concerning health’ means any personal data which relates to the physical or mental health of an individual, or to the provision of health services to the individual;

(13) 'main establishment' means the place of establishment of the under-taking or group of undertakings in the Union, whether controller or processor, where the main decisions as to the purposes, conditions and means of the processing of personal data are taken. The follow-ing objective criteria may be considered among others: The location


85

of the controller or processor's headquarters; the location of the en-tity within a group of undertakings which is best placed in terms of management functions and administrative responsibilities to deal with and enforce the rules as set out in this Regulation; the location where effective and real management activities are exercised deter-mining the data processing through stable arrangements;

(14) ‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller, represents the controller with regard to the obligations of the controller under this Regulation;

(15) ‘enterprise’ means any entity engaged in an economic activity, irre-spective of its legal form, thus including, in particular, natural and le-gal persons, partnerships or associations regularly engaged in an economic activity;

(16) 'group of undertakings' means a controlling undertaking and its con-trolled undertakings;

(17) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State of the Union for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings;

(18) 'child' means any person below the age of 18 years; (19) 'supervisory authority' means a public authority which is established

by a Member State in accordance with Article 46.

CHAPTER II PRINCIPLES

Article 5 Principles relating to personal data processing [algemene verwerkingsprincipes] Personal data shall be: (a) processed lawfully, fairly and in a transparent manner in relation to

the data subject (lawfulness, fairness and transparency); (b) collected for specified, explicit and legitimate purposes and not fur-

ther processed in a way incompatible with those purposes (purpose limitation);


86

(c) adequate, relevant, and limited to the minimum necessary in relation to the purposes for which they are processed; they shall only be pro-cessed if, and as long as, the purposes could not be fulfilled by pro-cessing information that does not involve personal data (data minimisation);

(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (accuracy).

(e) kept in a form which permits direct or indirect identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the data will be processed solely for histor-ical, statistical or scientific research or for archive purposes in accord-ance with the rules and conditions of Articles 83 and 83a and if a periodic review is carried out to assess the necessity to continue the storage, and if appropriate technical and organizational measures are put in place to limit access to the data only for these purposes (storage minimisation);

(ea) processed in a way that effectively allows the data subject to exercise his or her rights (effectiveness);

(eb) processed in a way that protects against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (integrity);

(f) processed under the responsibility and liability of the controller, who shall ensure and be able to demonstrate the compliance with the provisions of this Regulation (accountability).

Article 6 Lawfulness of processing [rechtmatigheid] 1. Processing of personal data shall be lawful only if and to the extent

that at least one of the following applies: (a) the data subject has given consent to the processing of their personal

data for one or more specific purposes; (b) processing is necessary for the performance of a contract to which

the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;


87

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(d) processing is necessary in order to protect the vital interests of the data subject;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or in case of disclosure, by the third party to whom the data is disclosed, and which meet the reasonable ex-pectations of the data subject based on his or her relationship with the controller, except where such interests are overridden by the in-terests or fundamental rights and freedoms of the data subject which require protection of personal data. This shall not apply to pro-cessing carried out by public authorities in the performance of their tasks.

2. Processing of personal data which is necessary for the purposes of historical, statistical or scientific research shall be lawful subject to the conditions and safeguards referred to in Article 83.

3. The basis of the processing referred to in points (c) and (e) of para-graph 1 must be provided for in:

(a) Union law, or (b) law of the Member State to which the controller is subject. a. The law of the Member State must meet an objective of public inter-

est or must be necessary to protect the rights and freedoms of oth-ers, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued. Within the limits of this Regulation, the law of the Member State may provide details of the lawfulness of processing, particularly as regards data controllers, the purpose of processing and purpose limitation, the nature of the data and the data subjects, processing measures and procedures, recipients, and the duration of storage.

4. (deleted) 5. (deleted)


88

Article 7 Conditions for Consent [ondubbelzinnige toestemming] 1. Where processing is based on consent, the controller shall bear the

burden of proof for the data subject's consent to the processing of their personal data for specified purposes.

2. If the data subject's consent is given in the context of a written dec-laration which also concerns another matter, the requirement to give consent must be presented clearly distinguishable in its appearance from this other matter. Provisions on the data subject’s consent which are partly in violation of this Regulation are fully void.

3. Notwithstanding other legal grounds for processing, the data sub-ject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of pro-cessing based on consent before its withdrawal. It shall be as easy to withdraw consent as to give it. The data subject shall be informed by the controller if withdrawal of consent may result in the termination of the services provided or of the relationship with the controller.

4. Consent shall be purpose-limited and shall lose its validity when the purpose ceases to exist or as soon as the processing of personal data is no longer necessary for carrying out the purpose for which they were originally collected. The execution of a contract or the provision of a service shall not be made conditional on the consent to the pro-cessing of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1), point (b).

Article 8 Processing of personal data of a child [minderjarige] 1. For the purposes of this Regulation, in relation to

the offering of goods or services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the ex-tent that consent is given or authorised by the child's parent or legal guardian. The controller shall make reasonable efforts to verify such consent, tak-ing into consideration available technology without causing otherwise unnecessary processing of per-sonal data.

De leeftijd van 13 jaar sluit aan bij het

Amerikaanse COPPA; Children’s

Online Privacy Protection Act.


89

1a. Information provided to children, parents and legal guardians in or-der to express consent, including about the controller’s collection and use of personal data, should be given in a clear language appro-priate to the intended audience.

2. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a con-tract in relation to a child.

3. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices for the methods of verifying consent referred to in paragraph 1, in accord-ance with Article 66.

4. (deleted)

Article 9 Special categories of data [bijzondere gegevens] 1. The processing of personal data, revealing race or ethnic origin, po-

litical opinions, religion or philosophical beliefs, sexual orientation or gender identity, trade-union membership and activities, and the pro-cessing of genetic or biometric data or data concerning health or sex life, administrative sanctions, judgments, criminal or suspected of-fences, convictions, or related security measures shall be prohibited.

2. Paragraph 1 shall not apply if one of the following applies: (a) the data subject has given consent to the processing of those per-

sonal data for one or more specified purposes, subject to the condi-tions laid down in Articles 7 and 8, except where Union law or Member State law provide that the prohibition referred to in para-graph 1 may not be lifted by the data subject, or

1. (aa) processing is necessary for the performance or execution of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(b) processing is necessary for the purposes of carrying out the obliga-tions and exercising specific rights of the controller in the field of em-ployment law in so far as it is authorised by Union law or Member State law or collective agreements providing for adequate safe-guards for the fundamental rights and the interests of the data sub-ject such as right to non-discrimination, subject to the conditions and safeguards referred to in Article 82; or


90

(c) processing is necessary to protect the vital interests of the data sub-ject or of another person where the data subject is physically or le-gally incapable of giving consent; or

(d) processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other nonprofit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed outside that body without the consent of the data subjects;

(e) the processing relates to personal data which are manifestly made public by the data subject; or

(f) processing is necessary for the establishment, exercise or defence of legal claims; or

(g) processing is necessary for the performance of a task carried out for reasons of high public interest, on the basis of Union law, or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable measures to safeguard the fundamental rights and the interests of the data subject; or

(h) processing of data concerning health is necessary for health pur-poses and subject to the conditions and safeguards referred to in Ar-ticle 81; or

(i) processing is necessary for historical, statistical or scientific research purposes subject to the conditions and safeguards referred to in Ar-ticle 83; or

2. (i a) processing is necessary for archive services subject to the condi-tions and safeguards referred to in Article 83a; or

(j) processing of data relating to administrative sanctions, judgments, criminal offences, convictions or related security measures is carried out either under the control of official authority or when the pro-cessing is necessary for compliance with a legal or regulatory obliga-tion to which a controller is subject, or for the performance of a task carried out for important public interest reasons, and in so far as au-thorised by Union law or Member State law providing for adequate safeguards for the fundamental rights and the interests of the data


91

subject. Any register of criminal convictions shall be kept only under the control of official authority.

3. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices for the processing of the special categories of personal data referred to in paragraph 1 and the exemptions laid down in paragraph 2, in accord-ance with Article 66.

Article 10 Processing not allowing identification [identificatie ver-boden] 1. If the data processed by a controller do not permit the controller or

processor to directly or indirectly identify a natural person, or consist only of pseudonymous data, the controller shall not process or ac-quire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation.

2. Where the data controller is unable to comply with a provision of this Regulation because of paragraph 1, the controller shall not be obliged to comply with that particular provision of this Regulation. Where as a consequence the data

4. controller is unable to comply with a request of the data subject, it shall inform the data subject accordingly.

CHAPTER III RIGHTS OF THE DATA SUBJECT

SECTION 1 TRANSPARENCY ANDMODALITIES

Article 10a General principles for data subject rights [klantrechten] 1. The basis of data protection is clear and unambiguous rights for the

data subject which shall be respected by the data controller. The pro-visions of this Regulation aim to strengthen, clarify, guarantee and where appropriate, codify these rights.

2. Such rights include, inter alia, the provision of clear and easily under-standable information regarding the processing of his or her per-sonal data, the right of access, rectification and erasure of their data, the right to obtain data, the right to object to profiling, the right to lodge a complaint with the competent data protection authority and to bring legal proceedings as well as the right to compensation and


92

damages resulting from an unlawful processing operation. Such rights shall in general be exercised free of charge. The data controller shall respond to requests from the data subject within a reasonable period of time.

Article 11 Transparent information and communication 1. The controller shall have concise, transparent, clear and easily acces-

sible policies with regard to the processing of personal data and for the exercise of data subjects' rights.

2. The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, in particular for any information addressed specifically to a child.

Article 12 Procedures and mechanisms for exercising the rights of the data subject [uitoefenen van klantrechten] 1. Where personal data are processed by automated means, the con-

troller shall also provide means for requests to be made electroni-cally where possible.

2. The controller shall inform the data subject without undue delay and, at the latest within 40 calendar days of receipt of the request, whether or not any action has been taken pursuant to Article 13 and Articles 15 to 19 and shall provide the requested information. This period may be prolonged for a further month, if several data subjects exercise their rights and their cooperation is necessary to a reasona-ble extent to prevent an unnecessary and disproportionate effort on the part of the controller. The information shall be given in writing and, where possible, the data controller may provide remote access to a secure system which would provide the data subject with direct access to their personal data. Where the data subject makes the re-quest in electronic form, the information shall be provided in elec-tronic form where possible, unless otherwise requested by the data subject.

3. If the controller does not take action on the request of the data sub-ject, the controller shall inform the data subject of the reasons for the inaction and on the possibilities of lodging a complaint to the super-visory authority and seeking a judicial remedy.


93

4. The information and the actions taken on requests referred to in par-agraph 1 shall be free of charge. Where requests are manifestly ex-cessive, in particular because of their repetitive character, the controller may charge a reasonable fee taking into account the ad-ministrative costs for providing the information or taking the action requested. In that case, the controller shall bear the burden of prov-ing the manifestly excessive character of the request.


Article 13 Notification requirement in the event of rectification and erasure [informatieplicht] The controller shall communicate any rectification or erasure carried out in accordance with Articles 16 and 17 to each recipient to whom the data have been transferred, unless this proves impossible or involves a dispro-portionate effort. The controller shall inform the data subject about those recipients if the data subject requests this.

Article 13a Standardised information policies [informatiebeleid] 1. Where personal data relating to a data subject are collected, the con-

troller shall provide the data subject with the following particulars before providing information pursuant to Article 14:

(a) whether personal data are collected beyond the minimum necessary for each specific purpose of the processing;

(b) whether personal data are retained beyond the minimum necessary for each specific purpose of the processing;

(c) whether personal data are processed for purposes other than the purposes for which they were collected;

(d) whether personal data are disseminated to commercial third parties; e) whether personal data are sold or rented out;

(e) whether personal data are retained in encrypted form. 2. The particulars referred to in paragraph 1 shall be presented pursu-

ant to Annex X in an aligned tabular format, using text and symbols, in the following three columns:

(a) the first column depicts graphical forms symbolising those particu-lars;


94

(b) the second column contains essential information describing those particulars;

(c) the third column depicts graphical forms indicating whether a spe-cific particular is met.

3. The information referred to in paragraphs 1 and 2 shall be presented in an easily visible and clearly legible way and shall appear in a lan-guage easily understood by the consumers of the Member States to whom the information is provided. Where the particulars are pre-sented electronically, they shall be machine readable.

4. Additional particulars shall not be provided. Detailed explanations or further remarks regarding the particulars referred to in paragraph 1 may be provided together with the other information requirements pursuant to Article 14.

5. The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in ac-cordance with Article 86 for the purpose of further specifying the particulars referred to in paragraph 1 and their presentation as re-ferred to in paragraph 2 and in Annex1.

SECTION 2 INFORMATION AND ACCESS TO DATA

Article 14 Information to the data subject [informatieplicht] 1. Where personal data relating to a data subject are collected, the con-

troller shall provide the data subject with at least the following infor-mation, after the particulars pursuant to Article 13a have been provided:

(a) the identity and the contact details of the controller and, if any, of the controller's representative, of the data protection officer;

(b) the purposes of the processing for which the personal data are in-tended, as well as information regarding the security of the pro-cessing of personal data, including the contract terms and general conditions where the processing is based on point (b) of Article 6(1) and where applicable, information on how they implement and meet the requirements of point f of Article 6(1);

(c) the period for which the personal data will be stored, or if this is not possible, the criteria used to determine this period;


95

(d) the existence of the right to request from the controller access to and rectification or erasure of the personal data concerning the data sub-ject to object to the processing of such personal data, or to obtain data;

(e) the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;

(f) the recipients or categories of recipients of the personal data; (g) where applicable, that the controller intends to transfer the data to

a third country or international organisation and on the existence or absence of an adequacy decision by the Commission, or in case of transfers referred to in Article 42, Article 43, or point (h) of Article 44(1), reference to the appropriate safeguards and the means to ob-tain a copy of them;

(ga) where applicable, information about the existence of profiling, of measures based on profiling, and the envisaged effects of profiling on the data subject;

(gb) meaningful information about the logic involved in any automated processing;

(h) any further information which is necessary to guarantee fair pro-cessing in respect of the data subject, having regard to the specific circumstances in which the personal data are collected or processed, in particular the existence of certain processing activities and opera-tions for which a personal data impact assessment has indicated that there may be a high risk; (ha) where applicable, information whether personal data was pro-vided to public authorities during the last consecutive 12-month pe-riod.

2. Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the infor-mation referred to in paragraph 1, whether the provision of personal data is mandatory or optional, as well as the possible consequences of failure to provide such data.

2a. In deciding on further information which is necessary to make the processing fair under 1(h), controllers shall have regard to any rele-vant guidance under Article 38.


96

3. Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the infor-mation referred to in paragraph 1, from which source the specific personal data originate. If personal data originates from publicly available sources, a general indication may be given.

4. The controller shall provide the information referred to in paragraphs 1, 2 and 3:

(a) at the time when the personal data are obtained from the data sub-ject or without undue delay where the above is not feasible; or

(aa) on request by a body, organization or association referred to in Arti-cle 73;

(b) where the personal data are not collected from the data subject, at the time of the recording or within a reasonable period after the col-lection, having regard to the specific circumstances in which the data are collected or otherwise processed, or, if a transfer to another re-cipient is envisaged, and at the latest at the time of the first transfer, or, if the data are to be used for communication with the data subject concerned, at the latest at the time of the first communication to that data subject; or

(bb) only on request where the data are processed by a small or micro en-terprise which processes personal data only as an ancillary activity.

5. Paragraphs 1 to 4 shall not apply, where: (a) the data subject has already the information referred to in para-

graphs 1, 2 and 3; or (b) the data are processed for historical, statistical or scientific research

purposes subject to the conditions and safeguards referred to in Ar-ticles 81 and 83, are not collected from the data subject and the pro-vision of such information proves impossible or would involve a disproportionate effort and the controller has published the infor-mation for anyone to retrieve; or

(c) the data are not collected from the data subject and recording or dis-closure is expressly laid down by law to which the controller is sub-ject, which provides appropriate measures to protect the data subject's legitimate interests, considering the risks represented by the processing and the nature of the personal data; or

(d) the data are not collected from the data subject and the provision of such information will impair the rights and freedoms of other natural


97

persons, as defined in Union law or Member State law in accordance with Article 21.

(da) the data are processed in the exercise of his profession by, or are en-trusted or become known to, a person who is subject to an obligation of professional secrecy regulated by Union or Member State law or to a statutory obligation of secrecy, unless the data is collected di-rectly from the data subject.

6. In the case referred to in point (b) of paragraph 5, the controller shall provide appropriate measures to protect the data subject's rights or legitimate interests.


Article 15 Right to access and to obtain data for the data subject [klantrechten] 1. Subject to Article 12(4), the data subject shall have the right to obtain

from the controller at any time, on request, confirmation as to whether or not personal data relating to the data subject are being processed, and in clear and plain language, the following infor-mation:

(a) the purposes of the processing for each category of personal data; (b) the categories of personal data concerned; (c) the recipients to whom the personal data are to be or have been dis-

closed, including to recipients in third countries; (d) the period for which the personal data will be stored, or if this is not

possible, the criteria used to determine this period; (e) the existence of the right to request from the controller rectification

or erasure of personal data concerning the data subject or to object to the processing of such personal data;

(f) the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;

(g) (deleted) (h) the significance and envisaged consequences of such processing; (ha) meaningful information about the logic involved in any automated

processing;


98

(hb) without prejudice to Article 21, in the event of disclosure of personal data to a public authority as a result of a public authority request, confirmation of the fact that such a request has been made.

2. The data subject shall have the right to obtain from the controller communication of the personal data undergoing processing. Where the data subject makes the request in electronic form, the infor-mation shall be provided in an electronic and structured format, un-less otherwise requested by the data subject. Without prejudice to Article 10, the controller shall take all reasonable steps to verify that the person requesting access to the data is the data subject.

2a. Where the data subject has provided the personal data where the personal data are processed by electronic means, the data subject shall have the right to obtain from the controller a copy of the pro-vided personal data in an electronic and interoperable format which is commonly used and allows for further use by the data subject with-out hindrance from the controller from whom the personal data are withdrawn. Where technically feasible and available, the data shall be transferred directly from controller to controller at the request of the data subject.

2b. This Article shall be without prejudice to the obligation to delete data when no longer necessary under Article 5(1)(e).

2c. There shall be no right of access in accordance with paragraphs 1 and 2 when data within the meaning of Article 14(5)(da) are concerned, except if the data subject is empowered to lift the secrecy in question and acts accordingly. 3. (deleted) 4. (deleted)

SECTION 3 RECTIFICATION AND ERASURE

Article 16 Right to rectification [klantrechten, wijzigen ] The data subject shall have the right to obtain from the controller the rec-tification of personal data relating to them which are inaccurate. The data subject shall have the right to obtain completion of incomplete personal data, including by providing a supplementary statement.


99

Article 17 Right to erasure [klantrechten, wissen] 1. The data subject shall have the right to obtain from the controller the

erasure of personal data relating to them and the abstention from further dissemination of such data, and to obtain from third parties the erasure of any links to, or copy or replication of that data, where one of the following grounds applies:

(a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period con-sented to has expired, and where there is no other legal ground for the processing of the data;

(c) the data subject objects to the processing of personal data pursuant to Article 19;

1. (ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be erased;

(d) the data has been unlawfully processed. 1a. The application of paragraph 1 shall be dependent upon the ability of

the data controller to verify that the person requesting the erasure is the data subject.

2. Where the controller referred to in paragraph 1 has made the per-sonal data public without a justification based on Article 6(1), it shall take all reasonable steps to have the data erased, including by third parties, without prejudice to Article 77. The controller shall inform the data subject, where possible, of the action taken by the relevant third parties.

3. The controller and, where applicable, the third party shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary:

(a) for exercising the right of freedom of expression in accordance with Article 80;

(b) for reasons of public interest in the area of public health in accord-ance with Article 81;

(c) for historical, statistical and scientific research purposes in accord-ance with Article 83;


100

(d) for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Mem-ber State laws shall meet an objective of public interest, respect the right to the protection of personal data and be proportionate to the legitimate aim pursued;

(e) in the cases referred to in paragraph4. 4. Instead of erasure, the controller shall restrict processing of personal

data in such a way that it is not subject to the normal data access and processing operations and can not be changed anymore, where:

(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data;

(b) the controller no longer needs the personal data for the accomplish-ment of its task but they have to be maintained for purposes of proof;

(c) the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead;

(ca) a court or regulatory authority based in the Union has ruled as final and absolute that the data concerned must be restricted;

(d) the data subject requests to transmit the personal data into another automated processing system in accordance with paragraphs 2a of Article 15;

1. (da) the particular type of storage technology does not allow for erasure and has been installed before the entry into force of this Reg-ulation.

5. Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject's consent, or for the

2. protection of the rights of another natural or legal person or for an objective of public interest.

6. Where processing of personal data is restricted pursuant to para-graph 4, the controller shall inform the data subject before lifting the restriction on processing.

7. (deleted) 8. Where the erasure is carried out, the controller shall not otherwise

process such personal data. 8a. The controller shall implement mechanisms to ensure that the time

limits established for the erasure of personal data and/or for a peri-odic review of the need for the storage of the data are observed.


101

9. The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in ac-cordance with Article 86 for the purpose of further specifying:

(a) the criteria and requirements for the application of paragraph 1 for specific sectors and in specific data processing situations;

(b) the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2;

(c) the criteria and conditions for restricting the processing of personal data referred to in paragraph4.

Article 18 (deleted, content moved to Article 15(2b))

SECTION 4 RIGHT TO OBJECT AND PROFILING

Article 19 Right to object [recht van verzet] 1. The data subject shall have the right to object at any time to the

processing of personal data which is based on points (d) and (e) of Article 6(1), unless the controller demonstrates compelling le-gitimate grounds for the processing which override the interests or fundamental rights and freedoms of the data subject.

2. Where the processing of personal data is based on point (f) of Article 6(1), the data subject shall have at any time and without any further justification, the right to object free of charge in gen-eral or for any particular purpose to the processing of their per-sonal data.

2a. The right referred to in paragraph 2 shall be explicitly offered to the data subject in an intelligible manner and form, using clear and plain language, in particular if addressed specifically to a child, and shall be clearly distinguishable from other information.

2b. In the context of the use of information society services, and not-withstanding Directive 2002/58/EC, the right to object may be exer-cised by automated means using a technical standard which allows the data subject to clearly express his or her wishes.

3. Where an objection is upheld pursuant to paragraphs 1 and 2, the controller shall no longer use or otherwise process the personal data concerned for the purposes determined in the objection.


102

Article 20 Profiling [profilering] 1. Without prejudice to the provisions in Article 6 every natural person

shall have the right to object to profiling in accordance with Article 19. The data subject shall be informed about the right to object to profiling in a highly visible manner.

2. Subject to the other provisions of this Regulation, a person may be subjected to profiling which leads to measures producing legal ef-fects concerning the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject only if the processing:

(a) is necessary for the entering into, or performance of, a contract, where the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied, provided that suitable measures to safeguard the data subject's legitimate in-terests have been adduced; or

(b) is expressly authorized by a Union or Member State law which also lays down suitable measures to safeguard the data subject's legiti-mate interests;

(c) is based on the data subject's consent, subject to the conditions laid down in Article 7 and to suitable safeguards.

3. Profiling that has the effect of discriminating against individuals on the basis of race or ethnic origin, political opinions, religion or beliefs, trade union membership, sexual orientation or gender identity, or that results in measures

4. which have such effect, shall be prohibited. The controller shall im-plement effective protection against possible discrimination result-ing from profiling. Profiling shall not be based solely on the special categories of personal data referred to in Article 9.

5. (deleted) 6. Profiling which leads to measures producing legal effects concerning

the data subject or does similarly significantly affect the interests, rights or freedoms of the concerned data subject shall not be based solely or predominantly on automated processing and shall include human assessment, including an explanation of the decision reached after such an assessment. The suitable measures to safeguard the


103

data subject's legitimate interests referred to in paragraph 2 shall in-clude the right to obtain human assessment and an explanation of the decision reached after such assessment.

5a. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with Article 66 paragraph 1(b) for further specifying the criteria and conditions for profiling pursuant to paragraph2.

SECTION 5 RESTRICTIONS

Article 21 Restrictions [berperkingen] 1. Union or Member State law may restrict by way of a legislative meas-

ure the scope of the obligations and rights in Articles 11 to 19 and Article 32, when such a restriction meets a clearly defined objective of public interest, respects the essence of the right to protection of personal data, is proportionate to the legitimate aim pursued and re-spects the fundamental rights and interests of the data subject and is a necessary and proportionate measure in a democratic society to safeguard:

(a) public security; (b) the prevention, investigation, detection and prosecution of criminal

offences; (c) taxation matters; (d) the prevention, investigation, detection and prosecution of breaches

of ethics for regulated professions; (e) a monitoring, inspection or regulatory function in the framework of

the exercise of a competent public authority in cases referred to in (a), (b), (c) and (d);

(f) the protection of the data subject or the rights and freedoms of oth-ers.

2. In particular, any legislative measure referred to in paragraph 1 must be necessary and proportionate in a democratic society and shall contain specific provisions at least as to:

(a) the objectives to be pursued by the processing; (b) the determination of the controller; (c) the specific purposes and means of processing; (d) the safeguards to prevent abuse or unlawful access or transfer;


104

(e) the right of data subjects to be informed about the restriction. 2a. Legislative measures referred to in paragraph 1 shall neither permit

nor oblige private controllers to retain data additional to those strictly necessary for the original purpose.

CHAPTER IV CONTROLLER AND PROCESSOR

SECTION 1 GENERAL OBLIGATIONS

Article 22 Responsibility and accountability of the controller [ver-antwoordelijkheid en aansprakelijkheid van de verantwoordelijke] 1. The controller shall adopt appropriate policies and implement appro-

priate and demonstrable technical and organizational measures to ensure and be able to demonstrate in a transparent manner that the processing of personal data is performed in compliance with this Regulation, having regard to the state of the art, the nature of per-sonal data processing, the context, scope and purposes of the pro-cessing, the risks for the rights and freedoms of the data subjects and the type of the organization, both at the time of the determination of the means for processing and at the time of the processing itself.

3. 1a. Having regard to the state of the art and the cost of implementa-tion, the controller shall take all reasonable steps to implement com-pliance policies and procedures that persistently respect the autonomous choices of data subjects. These compliance policies shall be reviewed at least every two years and updated where neces-sary.

2. (deleted) 3. The controller shall be able to demonstrate the adequacy and effec-

tiveness of the measures referred to in paragraphs 1 and2. Any regu-lar general reports of the activities of the controller, such as the obligatory reports by publicly traded companies, shall contain a sum-mary description of the policies and measures referred to in para-graph1.

3a. The controller shall have the right to transmit personal data inside the Union within the group of undertakings the controller is part of, where such processing is necessary for legitimate internal adminis-trative purposes between connected business areas of the group of


105

undertakings and an adequate level of data protection as well as the interests of the data subjects are safeguarded by internal data pro-tection provisions or equivalent codes of conduct ass referred to in Article 38.

4. (deleted)

Article 23 Data protection by design and by default [privacy by de-sign en default] 1. Having regard to the state of the art, current technical knowledge,

international best practices and the risks represented by the data processing, the controller and the processor, if any, shall, both at the time of the determination of the purposes and means for processing and at the time of the processing itself, implement appropriate and proportionate technical and organisational measures and proce-dures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject, in particular with regard to the principles laid out in Article5. Data protection by design shall have particular regard to the entire lifecycle management of personal data from collection to processing to deletion, systematically focusing on comprehensive procedural safeguards regarding the accuracy, confidentiality, integrity, physi-cal security and deletion of personal data. Where the controller has carried out a data protection impact assessment pursuant to Article 33, the results shall be taken into account when developing those measures and procedures.

1a. In order to foster its widespread implementation in different eco-nomic sectors, data protection by design shall be a prerequisite for public procurement tenders according to the Directive of the Euro-pean Parliament and of the Council on public procurement as well as according to the Directive of the European Parliament and of the Council on procurement by entities operating in the water, energy, transport and postal services sector (Utilities Directive).

2. The controller shall ensure that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected, retained or disseminated beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular,


106

those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals and that data subjects are able to control the distribution of their personal data.


Article 24 Joint controllers [gezamenlijke verantwoordelijkheid] Where several controllers jointly determines the purposes and means of the processing of personal data, the joint controllers shall determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the procedures and mechanisms for exercising the rights of the data subject, by means of an arrangement be-tween them. The arrangement shall duly reflect the joint controllers' re-spective effective roles and relationships vis-à-vis data subjects, and the essence of the arrangement shall be made available for the data subject. In case of unclarity of the responsibility, the controllers shall be jointly and severally liable.

Article 25 Representatives of controllers not established in the Union [vertegenwoordiging] 1. In the situation referred to in Article 3(2), the controller shall desig-

nate a representative in the Union. 2. This obligation shall not apply to: (a) a controller established in a third country where the Commission has

decided that the third country ensures an adequate level of protec-tion in accordance with Article 41; or

(b) a controller processing personal data which relates to less than 5000 data subjects during any consecutive 12-month period and not pro-cessing special categories of personal data as referred to in Article 9(1), location data or data on children or employees in large-scale fil-ing systems; or

(c) a public authority or body; or (d) a controller only occasionally offering goods or services to data sub-

jects in the Union, unless the processing of personal data concerns special categories of personal data as referred to in Article 9(1), loca-tion data or data on children or employees in large-scale filing sys-tems.


107

4. The representative shall be established in one of those Member States where the offering of goods or services to the data subjects, or the monitoring of them, take place.

5. The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the con-troller itself.

Article 26 Processor [bewerker] 1. Where processing is to be carried out on behalf of a controller, the

controller shall choose a processor providing sufficient guarantees to implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the require-ments of this Regulation and ensure the protection of the rights of the data subject, in particular in respect of the technical security measures and organizational measures governing the processing to be carried out and shall ensure compliance with those measures.

2. The carrying out of processing by a processor shall be governed by a contract or other legal act binding the processor to the controller. The controller and the processor shall be free to determine respec-tive roles and tasks with respect to the requirements of this Regula-tion, and shall provide that the processor shall:

(a) process personal data only on instructions from the controller, unless otherwise required by Union law or Member State law;

(b) employ only staff who have committed themselves to confidentiality or are under a statutory obligation of confidentiality;

(c) take all required measures pursuant to Article 30; (d) determine the conditions for enlisting another processor only with

the prior permission of the controller, unless otherwise determined. (e) insofar as this is possible given the nature of the processing, create

in agreement with the controller the appropriate and relevant tech-nical and organisational requirements for the fulfilment of the con-troller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;

(f) assist the controller in ensuring compliance with the obligations pur-suant to Articles 30 to 34, taking into account the nature of pro-cessing and the information available to the processor;


108

(g) return all results to the controller after the end of the processing, not process the personal data otherwise and delete existing copies un-less Union or Member State law requires storage of the data;

(h) make available to the controller all information necessary to demon-strate compliance with the obligations laid down in this Article and allow on-site inspections;

3. The controller and the processor shall document in writing the con-troller's instructions and the processor's obligations referred to in paragraph2.

3a. The sufficient guarantees referred to in paragraph 1 may be demon-strated by adherence to codes of conduct or certification mecha-nisms pursuant to Articles 38 or 39 of this Regulation.

4. If a processor processes personal data other than as instructed by the controller or becomes the determining party in relation to the pur-poses and means of data processing, the processor shall be consid-ered to be a controller in respect of that processing and shall be subject to the rules on joint controllers laid down in Article 24.

5. (deleted)

Article 27 Processing under the authority of the controller and pro-cessor [verwerken onder verantwoordelijkheid] The processor and any person acting under the authority of the controller or of the processor who has access to personal data shall not process them except on instructions from the controller, unless required to do so by Union or Member State law.

Article 28 Documentation 1. Each controller and processor shall maintain regularly updated doc-

umentation necessary to fulfill the requirements laid down in this Regulation.

2. In addition, each controller and processor shall maintain documen-tation of the following information:

(a) the name and contact details of the controller, or any joint controller or processor, and of the representative, if any;

(b) the name and contact details of the data protection officer, if any; (ba) the name and contact details of the controllers to whom personal

data are disclosed, if any.


109

(d) (deleted) (e) (deleted) (f) (deleted) (g) (deleted) (h) (deleted) (i) (deleted) 3. (deleted) 4. (deleted) 5. (deleted) 6. (deleted)

Article 29 Co-operation with the supervisory authority [samen-werking met de toezichthouder] 1. The controller and, if any, the processor and, if any, the representa-

tive of the controller, shall co-operate, on request, with the supervi-sory authority in the performance of its duties, in particular by providing the information referred to in point (a) of Article 53(2) and by granting access as provided in point (b) of that paragraph.

2. In response to the supervisory authority's exercise of its powers un-der Article 53(2), the controller and the processor shall reply to the supervisory authority within a reasonable period to be specified by the supervisory authority. The reply shall include a description of the measures taken and the results achieved, in response to the remarks of the supervisory authority.

SECTION 2 DATA SECURITY

Article 30 Security of processing [beveiliging] 1. The controller and the processor shall implement appropriate tech-

nical and organisational measures to ensure a level of security appro-priate to the risks represented by the processing and the nature of the personal data to be protected, taking into account the results of a data protection impact assessment pursuant to Article 33, having regard to the state of the art and the costs of their implementation.

1a. Having regard to the state of the art and the cost of implementation, such a security policy shall include:


110

(a) the ability to ensure that the integrity of the personal data is vali-dated;

(b) the ability to ensure the ongoing confidentiality, integrity, availabil-ity and resilience of systems and services processing personal data;

(c) the ability to restore the availability and access to data in a timely manner in the event of a physical or technical incident that impacts the availability, integrity and confidentiality of information systems and services;

(d) in the case of sensitive personal data processing according to Articles 8 and 9, additional security measures to ensure situational aware-ness of risks and the ability to take preventive, corrective and miti-gating action in near real time against vulnerabilities or incidents detected that could pose a risk to the data;

(e) a process for regularly testing, assessing and evaluating the effec-tiveness of security policies, procedures and plans put in place to en-sure ongoing effectiveness.

2. The measures referred to in paragraph 1 shall at least: (a) ensure that personal data can be accessed only by authorised per-

sonnel for legally authorised purposes; (b) protect personal data stored or transmitted against accidental or un-

lawful destruction, or accidental loss or alteration, and unauthorised or unlawful storage, processing, access or disclosure; and

(c) ensure the implementation of a security policy with respect to the processing of personal data.

3. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with Article 66 paragraph 1(b) for the technical and organiza-tional measures referred to in paragraphs 1 and 2, including the determinations of what constitutes the state of the art, for specific sectors and in specific data processing situations, in particular taking account of developments in technology and solutions for privacy by design and data protection by default.

4. (deleted)


111

Article 31 Notification of a personal data breach to the supervisory authority [meldplicht datalekken] 1. In the case of a personal data breach, the controller shall without un-

due delay notify the personal data breach to the supervisory author-ity.

2. The processor shall alert and inform the controller without undue de-lay after the establishment of a personal data breach.

3. The notification referred to in paragraph 1 must at least: (a) describe the nature of the personal data breach including the cate-

gories and number of data subjects concerned and the categories and number of data records concerned;

(b) communicate the identity and contact details of the data protection officer or other contact point where more information can be ob-tained;

(c) recommend measures to mitigate the possible adverse effects of the personal data breach;

(d) describe the consequences of the personal data breach; (e) describe the measures proposed or taken by the controller to ad-

dress the personal data breach and mitigate its effects. The information may if necessary be provided in phases. 4. The controller shall document any personal data breaches, compris-

ing the facts surrounding the breach, its effects and the remedial ac-tion taken. This documentation must be sufficient to enable the supervisory authority to verify compliance with this Article and with Article 30. The documentation shall only include the information necessary for that purpose.

4a. The supervisory authority shall keep a public register of the types of breaches notified.

5. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with Article 66 paragraph 1(b) for establishing the data breach and determining the undue delay referred to in paragraphs 1 and 2 and for the particular circumstances in which a controller and a pro-cessor is required to notify the personal data breach.

6. (deleted)


112

Article 32 Communication of a personal data breach to the data subject [communicatie met betrokkenen] 1. When the personal data breach is likely to adversely affect the pro-

tection of the personal data, the privacy, the rights or the legitimate interests of the data subject, the controller shall, after the notifica-tion referred to in Article 31, communicate the personal data breach to the data subject without undue delay.

2. The communication to the data subject referred to in paragraph 1 shall be comprehensive and use clear and plain language. It shall de-scribe the nature of the personal data breach and contain at least the information and the recommendations provided for in points (b), (c) and (d) of Article 31(3) and information about the rights of the data subject, including redress.

3. The communication of a personal data breach to the data subject shall not be required if the controller demonstrates to the satisfac-tion of the supervisory authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the personal data breach. Such technological protection measures shall render the data unintelligi-ble to any person who is not authorised to access it.

4. Without prejudice to the controller's obligation to communicate the personal data breach to the data subject, if the controller has not al-ready communicated the personal data breach to the data subject of the personal data breach, the supervisory authority, having consid-ered the likely adverse effects of the breach, may require it to do so.

5. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with Article 66 paragraph 1(b) as to the circumstances in which a personal data breach is likely to

1. adversely affect the personal data or the privacy, the rights or the le-gitimate interests of the data subject referred to in paragraph1.

6. (deleted)


113

SECTION 3 LIFECYCLE DATA PROTECTION MANAGEMENT

Article 32a Respect to Risk [risico] 1. The controller, or where applicable the processor, shall carry out a

risk analysis of the potential impact of the intended data processing on the rights and freedoms of the data subjects, assessing whether its processing operations are likely to present specific risks.

2. The following processing operations are likely to present specific risks:

(a) processing of personal data relating to more than 5000 data subjects during any consecutive 12-month period;

(b) processing of special categories of personal data as referred to in Ar-ticle 9(1), location data or data on children or employees in large scale filing systems;

(c) profiling on which measures are based that produce legal effects concerning the individual or similarly significantly affect the individ-ual;

(d) processing of personal data for the provision of health care, epidemi-ological researches, or surveys of mental or infectious diseases, where the data are processed for taking measures or decisions re-garding specific individuals on a large scale;

(e) automated monitoring of publicly accessible areas on a large scale; (f) other processing operations for which the consultation of the data

protection officer or supervisory authority is required pursuant to point (b) of Article 34(2);

(g) where a personal data breach would likely adversely affect the pro-tection of the personal data, the privacy, the rights or the legitimate interests of the data subject;

(h) the core activities of the controller or the processor consist of pro-cessing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects;

(i) where personal data are made accessible to a number of persons which cannot reasonably be expected to be limited.

3. According to the result of the risk analysis:


114

(a) where any of the processing operations referred to in paragraph 2 (a) or (b) exist, controllers not established in the Union shall desig-nate a representative in the Union in line with the requirements and exemptions laid down in Article 25;

(b) where any of the processing operations referred to in paragraph 2 (a), (b) or (h) exist, the controller shall designate a data protection officer in line with the requirements and exemptions laid down in Ar-ticle 35;

(c) where any of the processing operations referred to in paragraph 2 (a), (b), (c), (d), (e), (f), (g) or (h) exist, the controller or the processor acting on the controller's behalf shall carry out a data protection im-pact assessment pursuant to Article 33;

(d) where processing operations referred to in paragraph 2 (f) exist, the controller shall consult the data protection officer, or in case a data protection officer has not been appointed, the supervisory authority pursuant to Article 34.

4. The risk analysis shall be reviewed at the latest after one year, or im-mediately, if the nature, the scope or the purposes of the data pro-cessing operations change significantly. Where pursuant to paragraph 3 (c) the controller is not obliged to carry out a data pro-tection impact assessment, the risk analysis shall be documented.

Article 33 Data protection impact assessment [PIAs] 1. Where required pursuant to point c of Article 32a(3) the controller or

the processor acting on the controller's behalf shall carry out an as-sessment of the impact of the envisaged processing operations on the rights and freedoms of the data subjects, especially their right to protection of personal data. A single assessment shall be sufficient to address a set of similar processing operations that present similar risks.

2. (deleted, content moved to Article 32a(2))) 3. The assessment shall have regard to the entire lifecycle manage-

ment of personal data from collection to processing to deletion. It shall contain at least

(a) a systematic description of the envisaged processing operations, the purposes of the processing and, if applicable, the legitimate interests pursued by the controller,


115

(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;

(c) an assessment of the risks to the rights and freedoms of data sub-jects, including the risk of discrimination being embedded in or rein-forced by the operation,

(d) a description of the measures envisaged to address the risks and minimise the volume of personal data which is processed,

(e) a list of safeguards, security measures and mechanisms to ensure the protection of personal data, such as pseudonymisation, and to demonstrate compliance with this Regulation, taking into account the rights and legitimate interests of data subjects and other persons concerned;

(f) a general indication of the time limits for erasure of the different cat-egories of data;

(g) an explanation which data protection by design and default practices pursuant to Article 23 have been implemented;

(h) a list of the recipients or categories of recipients of the personal data; (i) where applicable, a list of the intended transfers of data to a third

country or an international organisation, including the identification of that third country or international organisation and, in case of transfers referred to in point (h) of Article 44(1), the documentation of appropriate safeguards;

(j) an assessment of the context of the data processing. 3a. If the controller or the processor has designated a data protection

officer, he or she shall be involved in the impact assessment proceed-ing.

3b. The assessment shall be documented and lay down a schedule for regular periodic data protection compliance reviews pursuant to Ar-ticle 33a(1). The assessment shall be updated without undue delay, if the results of the data protection compliance review referred to in Article 33a show compliance inconsistencies.

The controller and the processor and, if any, the controller's repre-sentative, shall make the assessment available, on request, to the su-pervisory authority.


116

Article 33a Data protection compliance review [compliance review] 1. At the latest two years after the carrying out of an impact assess-

ment pursuant to Article 33(1), the controller or the processor acting on the controller's behalf shall carry out a compliance review. This compliance review shall demonstrate that the processing of personal data is performed in compliance with the data protection impact as-sessment.

2. The compliance review shall be carried out periodically at least once every two years, or immediately when there is a change in the spe-cific risks presented by the processing operations.

3. Where the compliance review results show compliance inconsisten-cies, the compliance review shall include recommendations on how to achieve full compliance.

4. The compliance review and its recommendations shall be docu-mented. The controller and the processor and, if any, the controller's representative, shall make the compliance review available, on re-quest, to the supervisory authority.

5. If the controller or the processor has designated a data protection officer, he or she shall be involved in the compliance review proceed-ing.

Article 34 Prior consultation [voorafgaand onderzoek] 1. (deleted) 2. The controller or processor acting on the controller's behalf shall

consult the data protection officer, or in case a data protection of-ficer has not been appointed, the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to miti-gate the risks involved for the data subjects where:

(a) a data protection impact assessment as provided for in Article 33 in-dicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or

(b) the data protection officer or the supervisory authority deems it nec-essary to carry out a prior consultation on processing operations that are likely to


117

1. present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and speci-fied according to paragraph4.

2. Where the competent supervisory authority determines in accord-ance with its power that the intended processing does not comply with this Regulation, in particular where risks are insufficiently iden-tified or mitigated, it shall prohibit the intended processing and make appropriate proposals to remedy such incompliance.

3. The European Data Protection Board shall establish and make public a list of the processing operations which are subject to prior consul-tation pursuant to paragraph2.

6. The controller or processor shall provide the supervisory authority, on request, with the data protection impact assessment pursuant to Article 33 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of per-sonal data of the data subject and of the related safeguards.

7. Member States shall consult the supervisory authority in the prepa-ration of a legislative measure to be adopted by the national parlia-ment or of a measure based on such a legislative measure, which defines the nature of the processing, in order to ensure the compli-ance of the intended processing with this Regulation and in particu-lar to mitigate the risks involved for the data subjects.

SECTION 4 DATA PROTECTION OFFICER

Article 35 Designation of the data protection officer [functionaris gegevensbescherming] 1. The controller and the processor shall designate a data protection

officer in any case where: (a) the processing is carried out by a public authority or body; or (b) the processing is carried out by a legal person and relates to more

than 5000 data subjects in any consecutive 12-month period or (c) the core activities of the controller or the processor consist of pro-

cessing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects; or.


118

(d) the core activities of the controller or the processor consist of pro-cessing special categories of data pursuant to Article 9(1), location data or data on children or employees in large scale filing systems.

2. A group of undertakings may appoint a main responsible data pro-tection officer, provided it is ensured that a data protection officer is easily accessible from each establishment.

3. Where the controller or the processor is a public authority or body, the data protection officer may be designated for several of its enti-ties, taking account of the organisational structure of the public au-thority or body.

4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may designate a data protection officer.

5. The controller or processor shall designate the data protection of-ficer on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37. The necessary level of expert knowledge shall be determined in particular according to the data processing carried out and the protection required for the personal data processed by the controller or the processor.

6. The controller or the processor shall ensure that any other profes-sional duties of the data protection officer are compatible with the person's tasks and duties as data protection officer and do not result in a conflict of interests.

7. The controller or the processor shall designate a data protection of-ficer for a period of at least four years in case of an employee or two years in case of an external service contractor. The data protection officer may be reappointed for further terms. During their term of office, the data protection officer may only be dismissed if the data protection officer no longer fulfils the conditions required for the per-formance of their duties.

8. The data protection officer may be employed by the controller or processor, or fulfil his or her tasks on the basis of a service contract.

9. The controller or the processor shall communicate the name and contact details of the data protection officer to the supervisory au-thority and to the public.


119

10. Data subjects shall have the right to contact the data protection of-ficer on all issues related to the processing of the data subject’s data and to request exercising the rights under this Regulation.

11. (deleted)

Article 36 Position of the data protection officer [positive van de functionaris gegevensbescherming] 1. The controller or the processor shall ensure that the data protection

officer is properly and in a timely manner involved in all issues which relate to the protection of personal data.

2. The controller or processor shall ensure that the data protection of-ficer performs the duties and tasks independently and does not re-ceive any instructions as regards the exercise of the function. The data protection officer shall directly report to the executive manage-ment of the controller or the processor. The controller or processor shall for this purpose designate an executive management member who shall be responsible for the compliance with the provisions of this Regulation.

3. The controller or the processor shall support the data protection of-ficer in performing the tasks and shall provide all means, including staff, premises, equipment and any other resources necessary to carry out the duties and tasks referred to in Article 37, and to main-tain his or her professional knowledge.

4. Data protection officers shall be bound by secrecy concerning the identity of data subjects and concerning circumstances enabling data subjects to be identified, unless they are released from that ob-ligation by the data subject.

Article 37 Tasks of the data protection officer [taken van de func-tionaris gegevensbescherming] 1. The controller or the processor shall entrust the data protection of-

ficer at least with the following tasks: (a) to raise awareness, to inform and advise the controller or the proces-

sor of their obligations pursuant to this Regulation, in particular with regard to technical and organisational measures and procedures, and to document this activity and the responses received;


120

(b) to monitor the implementation and application of the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, the training of staff in-volved in the processing operations, and the related audits;

(c) to monitor the implementation and application of this Regulation, in particular as to the requirements related to data protection by de-sign, data protection by default and data security and to the infor-mation of data subjects and their requests in exercising their rights under this Regulation;

(d) to ensure that the documentation referred to in Article 28 is main-tained;

(e) to monitor the documentation, notification and communication of personal data breaches pursuant to Articles 31 and 32;

(f) to monitor the performance of the data protection impact assess-ment by the controller or processor and the application for prior con-sultation, if required pursuant Articles 32a, 33 and 34;

(g) to monitor the response to requests from the supervisory authority, and, within the sphere of the data protection officer's competence, co-operating with the supervisory authority at the latter's request or on the data protection officer’s own initiative;

(h) to act as the contact point for the supervisory authority on issues re-lated to the processing and consult with the supervisory authority, if appropriate, on his/her own initiative.;

(i) to verify the compliance with this Regulation under the prior consul-tation mechanism laid out in Article 34;

(j) to inform the employee representatives on data processing of the employees.

2. (deleted)

SECTION 5 CODES OF CONDUCT AND CERTIFICATION

Article 38 Codes of conduct [codes of conduct] 1. The Member States, the supervisory authorities and the Commission

shall encourage the drawing up of codes of conduct or the adoption of codes of conduct drawn up by a supervisory authority intended to


121

contribute to the proper application of this Regulation, taking ac-count of the specific features of the various data processing sectors, in particular in relation to:

(a) fair and transparent data processing; (aa) respect for consumer rights; (b) the collection of data; (c) the information of the public and of data subjects; (d) requests of data subjects in exercise of their rights; (e) information and protection of children; (f) transfer of data to third countries or international organisations; (g) mechanisms for monitoring and ensuring compliance with the code

by the controllers adherent to it; (h) out-of-court proceedings and other dispute resolution procedures

for resolving disputes between controllers and data subjects with re-spect to the processing of personal data, without prejudice to the rights of the data subjects pursuant to Articles 73 and 75.

2. Associations and other bodies representing categories of controllers or processors in one Member State which intend to draw up codes of conduct or to amend or extend existing codes of conduct may submit them to an opinion of the supervisory authority in that Member State. The supervisory authority shall without undue delay give an opinion in whether the processing under the draft code of conduct or the amendment is in compliance with this Regulation. The supervi-sory authority shall seek the views of data subjects or their represent-atives on these drafts.

3. Associations and other bodies representing categories of controllers or processors in several Member States may submit draft codes of conduct and amendments or extensions to existing codes of conduct to the Commission.

4. The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in ac-cordance with Article 86 for deciding that the codes of conduct and amendments or extensions to existing codes of conduct submitted to it pursuant to paragraph 3 are in line with this Regulation and have general validity within the Union. This delegated act shall confer en-forceable rights on data subjects.


122

5. The Commission shall ensure appropriate publicity for the codes which have been decided as having general validity in accordance with paragraph4.

Article 39 Certification [certificering] 1. (deleted) 1a. Any controller or processor may request any supervisory authority in

the Union, for a reasonable fee taking into account the administra-tive costs, to certify that the processing of personal data is per-formed in compliance with this Regulation, in particular with the principles set out in Article 5, 23 and 30, the obligations of the con-troller and the processor, and the data subject’s rights.

1b. The certification shall be voluntary, affordable, and available via a process that is transparent and not unduly burdensome.

1c. The supervisory authorities and the European Data Protection Board shall cooperate under the consistency mechanism pursuant to Arti-cle 57 to guarantee a harmonised data protection certification mech-anism including harmonised fees within the Union.

1d. During the certification procedure, the supervisory authority may ac-credit specialised third party auditors to carry out the auditing of the controller or the processor on their behalf. Third party auditors shall have sufficiently qualified staff, be impartial and free from any con-flict of interests regarding their duties. Supervisory authorities shall revoke accreditation, if there are reasons to believe that the auditor does not fulfil its duties correctly. The final certification shall be pro-vided by the supervisory authority.

1e. Supervisory authorities shall grant controllers and processors, who pursuant to the auditing have been certified that they process per-sonal data in compliance with this Regulation, the standardised data protection mark named "European Data Protection Seal".

1f. The "European Data Protection Seal" shall be valid for as long as the data processing operations of the certified controller or processor continue to fully comply with this Regulation.

1g. Notwithstanding paragraph 1f, the certification shall be valid for maximum five years.


123

1h. The European Data Protection Board shall establish a public elec-tronic register in which all valid and invalid certificates which have been issued in the Member States can be viewed by the public.

2. (deleted) 2a. The European Data Protection Board may on its own initiative certify

that a data protection-enhancing technical standard is compliant with this Regulation.

3. The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board and consulting with stakeholders, in particular industry and non-governmental organisa-tions, delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the data protec-tion certification mechanisms referred to in paragraph 1-1h, includ-ing requirements for accreditation of auditors, conditions for granting and withdrawal, and requirements for recognition within the Union and in third countries. These delegated acts shall confer enforceable rights on data subjects.

CHAPTER V TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS

Article 40 General principle for transfers [principes van doorgifte] Any transfer of personal data which are undergoing processing or are in-tended for processing after transfer to a third country or to an interna-tional organisation may only take place if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation.

Article 41 Transfers with an adequacy decision [doorgifte] 1. A transfer may take place where the Commission has decided that

the third country, or a territory or a processing sector within that third country, or the international organisation in question ensures an adequate level of protection. Such transfer shall not require any specific authorisation.


124

2. When assessing the adequacy of the level of protection, the Com-mission shall give consideration to the following elements:

(a) the rule of law, relevant legislation in force, both general and sec-toral, including concerning public security, defence, national security and criminal law as well as the implementation of this legislation, the professional rules and security measures which are complied with in that country or by that international organisation, jurisprudential precedents, as well as effective and enforceable rights including ef-fective administrative and judicial redress for data subjects, in partic-ular for those data subjects residing in the Union whose personal data are being transferred;

(b) the existence and effective functioning of one or more independent supervisory authorities in the third country or international organisa-tion in question responsible for ensuring compliance with the data protection rules, including sufficient sanctioning powers, for assist-ing and advising the data subjects in exercising their rights and for co-operation with the supervisory authorities of the Union and of Member States; and

(c) the international commitments the third country or international or-ganisation in question has entered into, in particular any legally bind-ing conventions or instruments with respect to the protection of personal data.

3. The Commission shall be empowered to adopt delegated acts in ac-cordance with Article 86 to decide that a third country, or a territory or a processing sector within that third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2. Such delegated acts shall provide for a sun-set clause if they concern a processing sector and shall be revoked according to paragraph 5 as soon as an adequate level of protection according to this Regulation is no longer ensured.

4. The delegated act shall specify its territorial and sectoral application, and, where applicable, identify the supervisory authority mentioned in point (b) of paragraph2.

4a. The Commission shall, on an on-going basis, monitor developments in third countries and international organisations that could affect the elements listed in paragraph 2 where a delegated act pursuant to paragraph 3 has been adopted.


125

5. The Commission shall be empowered to adopt delegated acts in ac-cordance with Article 86 to decide that a third country, or a territory or a processing sector within that third country, or an international organisation does not ensure or no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, in particular in cases where the relevant legislation, both general and sectoral, in force in the third country or international organisation, does not guarantee effective and enforceable rights including effec-tive administrative and judicial redress for data subjects, in particular for those data subjects residing in the Union whose personal data are being transferred.

6. Where the Commission decides pursuant to paragraph 5, any trans-fer of personal data to the third country, or a territory or a processing sector within that third country, or the international organisation in question shall be prohibited, without prejudice to Articles 42 to 44. At the appropriate time, the Commission shall enter into consulta-tions with the third country or international organisation with a view to remedying the situation resulting from the Decision made pursu-ant to paragraph 5 of this Article.

6a. Prior to adopting a delegated act pursuant to paragraphs 3 and 5, the Commission shall request the European Data Protection Board to provide an opinion on the adequacy of the level of protection. To that end, the Commission shall provide the European Data Protection Board with all necessary documentation, including correspondence with the government of the third country, territory or processing sec-tor within that third country or the international organisation.

7. The Commission shall publish in the Official Journal of the European Union and on its website a list of those third countries, territories and processing sectors within a third country and international organisa-tions where it has decided that an adequate level of protection is or is not ensured.

8. Decisions adopted by the Commission on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC shall remain in force until five years after the entry into force of this Regulation unless amended, replaced or repealed by the Commission before the end of this pe-riod.


126

Article 42 Transfers by way of appropriate safeguards [doorgifte, passende maatregelen] 1. Where the Commission has taken no decision pursuant to Article 41,

or decides that a third country, or a territory or processing sector within that third country, or an international organisation does not ensure an adequate level of protection in accordance with Article 41(5), a controller or processor may not transfer personal data to a third country, territory or an international organisation unless the controller or processor has adduced appropriate safeguards with re-spect to the protection of personal data in a legally binding instru-ment.

2. The appropriate safeguards referred to in paragraph 1 shall be pro-vided for, in particular, by:

(a) binding corporate rules in accordance with Article 43; or (aa) a valid “European Data Protection Seal” for the controller and the re-

cipient in accordance with paragraph 1e of Article 39; (c) (deleted) (d) standard data protection clauses adopted by a supervisory authority

in accordance with the consistency mechanism referred to in Article 57 when declared generally valid by the Commission pursuant to point (b) of Article 62(1); or

(e) contractual clauses between the controller or processor and the re-cipient of the data authorised by a supervisory authority in accord-ance with paragraph4.

3. A transfer based on standard data protection clauses, a “European Data Protection Seal” or binding corporate rules as referred to in points (a), (aa) or (c) of paragraph 2 shall not require any specific au-thorisation.

4. Where a transfer is based on contractual clauses as referred to in point (d) of paragraph 2 of this Article the controller or processor shall obtain prior authorisation of the contractual clauses from the supervisory authority. If the transfer is related to processing activi-ties which concern data subjects in another Member State or other Member States, or substantially affect the free movement of per-sonal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57.


127

5. Authorisations by a supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until two years after the en-try into force of this Regulation unless amended, replaced or re-pealed by that supervisory authority before the end of this period.

Article 43 Transfers by way of binding corporate rules [bindende bedrijfsvoorschriften] 1. The supervisory authority shall in accordance with the consistency

mechanism set out in Article 58 approve binding corporate rules, provided that they:

(a) are legally binding and apply to and are enforced by every member within the controller’s group of undertakings and those external sub-contractors that are covered by the scope of the binding corporate rules, and include their employees;

(b) expressly confer enforceable rights on data subjects; (c) fulfil the requirements laid down in paragraph2. 1a. With regard to employment data, the representatives of the employ-

ees shall be informed about and, in accordance with Union or Mem-ber State law and practice, be involved in the drawing-up of binding corporate rules pursuant to Article 43.

2. The binding corporate rules shall at least specify: (a) the structure and contact details of the group of undertakings and its

members and those external subcontractors that are covered by the scope of the binding corporate rules;

(b) the data transfers or set of transfers, including the categories of per-sonal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or coun-tries in question;

(c) their legally binding nature, both internally and externally; (d) the general data protection principles, in particular purpose limita-

tion, data minimisation, limited retention periods, data quality, data protection by design and by default, legal basis for the processing, processing of sensitive personal data; measures to ensure data secu-rity; and the requirements for onward transfers to organisations which are not bound by the policies;

(e) the rights of data subjects and the means to exercise these rights, including the right not to be subject to a measure based on profiling


128

in accordance with Article 20, the right to lodge a complaint before the competent supervisory authority and before the competent courts of the Member States in accordance with Article 75, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;

(f) the acceptance by the controller established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member of the group of undertakings not established in the Union; the controller or the processor may only be exempted from this liability, in whole or in part, if he proves that that member is not responsible for the event giving rise to the damage;

(g) how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in accordance with Article 11;

(h) the tasks of the data protection officer designated in accordance with Article 35, including monitoring within the group of undertak-ings the compliance with the binding corporate rules, as well as mon-itoring the training and complaint handling;

(i) the mechanisms within the group of undertakings aiming at ensuring the verification of compliance with the binding corporate rules;

(j) the mechanisms for reporting and recording changes to the policies and reporting these changes to the supervisory authority;

(k) the co-operation mechanism with the supervisory authority to en-sure compliance by any member of the group of undertakings, in par-ticular by making available to the supervisory authority the results of the verifications of the measures referred to in point (i) of this para-graph.

3. The Commission shall be empowered to adopt delegated acts in ac-cordance with Article 86 for the purpose of further specifying the for-mat, procedures, criteria and requirements for binding corporate rules within the meaning of this Article, in particular as regards the criteria for their approval, including transparency for data subjects, the application of points (b), (d), (e) and (f) of paragraph 2 to binding

4. corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned.

5. (deleted)


129

Article 43a Transfers or disclosures not authorised by Union law [ongeautoriseerde doorgifte] 1. No judgment of a court or tribunal and no decision of an administra-

tive authority of a third country requiring a controller or processor to disclose personal data shall be recognized or be enforceable in any manner, without prejudice to a mutual legal assistance treaty or an international agreement in force between the requesting third coun-try and the Union or a Member State.

2. Where a judgment of a court or tribunal or a decision of an adminis-trative authority of a third country requests a controller or processor to disclose personal data, the controller or processor and, if any, the controller's representative, shall notify the supervisory authority of the request without undue delay and must obtain prior authorisation for the transfer or disclosure by the supervisory authority.

3. The supervisory authority shall assess the compliance of the re-quested disclosure with the Regulation and in particular whether the disclosure is necessary and legally required in accordance with Arti-cle 44(1)(d) and (e) and (5). Where data subjects from other Member States are affected, the supervisory authority shall apply the con-sistency mechanism referred to in Article 57.

4. The supervisory authority shall inform the competent national au-thority of the request. Without prejudice to Article 21, the controller or processor shall also inform the data subjects of the request and of the authorisation by the supervisory authority and where applicable inform the data subject whether personal data was provided to pub-lic authorities during the last consecutive 12-month period, pursuant to point (ha) of Article 14(1).

5. (deleted)

Article 44 Derogations [uitzonderingen] 1. In the absence of an adequacy decision pursuant to Article 41 or of

appropriate safeguards pursuant to Article 42, a transfer or a set of transfers of personal data to a third country or an international or-ganisation may take place only on condition that:

(a) the data subject has consented to the proposed transfer, after having been informed of the risks of such transfers due to the absence of an adequacy decision and appropriate safeguards; or


130

(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; or

(c) the transfer is necessary for the conclusion or performance of a con-tract concluded in the interest of the data subject between the con-troller and another natural or legal person; or

(d) the transfer is necessary for important grounds of public interest; or (e) the transfer is necessary for the establishment, exercise or defence

of legal claims; or (f) the transfer is necessary in order to protect the vital interests of the

data subject or of another person, where the data subject is physi-cally or legally incapable of giving consent; or

(g) the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the ex-tent that the conditions laid down in Union or Member State law for consultation are fulfilled in the particular case; or

(h) deleted 2. A transfer pursuant to point (g) of paragraph 1 shall not involve the

entirety of the personal data or entire categories of the personal data contained in the register. When the register is intended for consulta-tion by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients.

3. (deleted) 4. Points (b) and (c) of paragraph 1 shall not apply to activities carried

out by public authorities in the exercise of their public powers. 5. The public interest referred to in point (d) of paragraph 1 must be

recognised in Union law or in the law of the Member State to which the controller is subject.

6. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with Article 66

7. paragraph 1(b) for the purpose of further the criteria and require-ments for data transfers on the basis of paragraph1.


131

Article 45 International co-operation for the protection of personal data [internationale samenwerking] 1. In relation to third countries and international organisations, the

Commission and supervisory authorities shall take appropriate steps to:

(a) develop effective international co-operation mechanisms to ensure the enforcement of legislation for the protection of personal data;

(b) provide international mutual assistance in the enforcement of legis-lation for the protection of personal data, including through notifica-tion, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms;

(c) engage relevant stakeholders in discussion and activities aimed at furthering international co-operation in the enforcement of legisla-tion for the protection of personal data;

(d) promote the exchange and documentation of personal data protec-tion legislation and practice;.

(da) clarify and consult on jurisdictional conflicts with third countries. 2. For the purposes of paragraph 1, the Commission shall take appropri-

ate steps to advance the relationship with third countries or interna-tional organisations, and in particular their supervisory authorities, where the Commission has decided that they ensure an adequate level of protection within the meaning of Article 41(3).

Article 45a Report by the Commission [rapport van de Commissie] The Commission shall submit to the European Parliament and the Council at regular intervals, starting not later than four years after the date re-ferred to in Article 91(1), a report on the application of Articles 40 to 45. For that purpose, the Commission may request information from the Member States and supervisory authorities, which shall be supplied with-out undue delay. The report shall be made public.


132

CHAPTER VI INDEPENDENT SUPERVISORY AUTHORITIES

SECTION 1 INDEPENDENT STATUS

Article 46 Supervisory authority [toezichthouder] 1. Each Member State shall provide that one or more public authorities

are responsible for monitoring the application of this Regulation and for contributing to its consistent application throughout the Union, in order to protect the fundamental rights and freedoms of natural persons in relation to the processing of their personal data and to fa-cilitate the free flow of personal data within the Union. For these pur-poses, the supervisory authorities shall co-operate with each other and the Commission.

2. Where in a Member State more than one supervisory authority are established, that Member State shall designate the supervisory au-thority which functions as a single contact point for the effective par-ticipation of those authorities in the European Data Protection Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism re-ferred to in Article 57.

3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to this Chapter, by the date spec-ified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Article 47 Independence [onafhankelijkheid van de toezichthou-der] 1. The supervisory authority shall act with complete independence in

exercising the duties and powers entrusted to it, notwithstanding co-operation and consistency arrangements pursuant to Chapter VII of this Regulation.

2. The members of the supervisory authority shall, in the performance of their duties, neither seek nor take instructions from anybody, and maintain complete independence and impartiality.

3. Members of the supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of of-fice, engage in any incompatible occupation, whether gainful or not.


133

4. Members of the supervisory authority shall behave, after their term of office, with integrity and discretion as regards the acceptance of appointments and benefits.

5. Each Member State shall ensure that the supervisory authority is provided with the adequate human, technical and financial re-sources, premises and infrastructure necessary for the effective per-formance of its duties and powers, including those to be carried out in the context of mutual assistance, co-operation and participation in the European Data Protection Board.

6. Each Member State shall ensure that the supervisory authority has its own staff which shall be appointed by and be subject to the direc-tion of the head of the supervisory authority.

7. Member States shall ensure that the supervisory authority is subject to financial control which shall not affect its independence. Member States shall ensure that the supervisory authority has separate an-nual budgets. The budgets shall be made public.

7a. Each Member State shall ensure that the supervisory authority shall be accountable to the national parliament for reasons of budgetary control.

Article 48 General conditions for the members of the supervisory authority [algemene beginselen met betrekking tot medewerkers van de toezichthouder] 1. Member States shall provide that the members of the supervisory

authority must be appointed either by the parliament or the govern-ment of the Member State concerned.

2. The members shall be chosen from persons whose independence is beyond doubt and whose experience and skills required to perform their duties notably in the area of protection of personal data are demonstrated.

3. The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement in accordance with paragraph5.

4. A member may be dismissed or deprived of the right to a pension or other benefits in its stead by the competent national court, if the member no longer fulfills the conditions required for the perfor-mance of the duties or is guilty of serious misconduct.


134

5. Where the term of office expires or the member resigns, the member shall continue to exercise the duties until a new member is ap-pointed.

Article 49 Rules on the establishment of the supervisory authority [oprichting van een toezichthouder] Each Member State shall provide by law within the limits of this Regula-tion: (a) the establishment and status of the supervisory authority; (b) the qualifications, experience and skills required to perform the du-

ties of the members of the supervisory authority; (c) the rules and procedures for the appointment of the members of the

supervisory authority, as well the rules on actions or occupations in-compatible with the duties of the office;

(d) the duration of the term of the members of the supervisory authority which shall be no less than four years, except for the first appoint-ment after entry into force of this Regulation, part of which may take place for a shorter period where this is necessary to protect the inde-pendence of the supervisory authority by means of a staggered ap-pointment procedure;

(e) whether the members of the supervisory authority shall be eligible for reappointment;

(f) the regulations and common conditions governing the duties of the members and staff of the supervisory authority;

(g) the rules and procedures on the termination of the duties of the members of the supervisory authority, including in case that they no longer fulfil the conditions required for the performance of their du-ties or if they are guilty of serious misconduct.

Article 50 Professional secrecy [geheimhoudingsplicht] The members and the staff of the supervisory authority shall be subject, both during and after their term of office and in conformity with national legislation and practice, to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties, whilst conducting their duties with independence and transparency as set out in the Regulation.


135

SECTION 2 DUTIES AND POWERS

Article 51 Competence [reikwijdte] 1. Each supervisory authority shall be competent to perform the duties

and to exercise the powers conferred on it in accordance with this Regulation on the territory of its own Member State, without preju-dice to Articles 73 and 74. Data processing by a public authority shall be supervised only by the supervisory authority of that Member State.

2. (deleted) 3. The supervisory authority shall not be competent to supervise pro-

cessing operations of courts acting in their judicial capacity.

Article 52 Duties [taken] 1. The supervisory authority shall: (a) monitor and ensure the application of this Regulation; (b) hear complaints lodged by any data subject, or by an association in

accordance with Article 73, investigate, to the extent appropriate, the matter and inform the data subject or the association of the pro-gress and the outcome of the complaint within a reasonable period, in particular if further investigation or coordination with another su-pervisory authority is necessary;

(c) share information with and provide mutual assistance to other su-pervisory authorities and ensure the consistency of application and enforcement of this Regulation;

(d) conduct investigations, either on its own initiative or on the basis of a complaint or of specific and documented information received al-leging unlawful processing or on request of another supervisory au-thority, and inform the data subject concerned, if the data subject has addressed a complaint to this supervisory authority, of the out-come of the investigations within a reasonable period;

(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of in-formation and communication technologies and commercial prac-tices;


136

(f) be consulted by Member State institutions and bodies on legislative and administrative measures relating to the protection of individu-als' rights and freedoms with regard to the processing of personal data;

(g) authorise and be consulted on the processing operations referred to in Article 34;

(h) issue an opinion on the draft codes of conduct pursuant to Article 38(2);

(i) approve binding corporate rules pursuant to Article 43; (j) participate in the activities of the European Data Protection Board; (ja) certify controllers and processors pursuant to Article 39. 2. Each supervisory authority shall promote the awareness of the public

on risks, rules, safeguards and rights in relation to the processing of personal data and on appropriate measures for personal data protec-tion. Activities addressed specifically to children shall receive specific attention.

2a. Each supervisory authority shall together with the European Data Protection Board promote the awareness of controllers and proces-sors on risks, rules, safeguards and rights in relation to the processing of personal data. This includes keeping a register of sanctions and breaches. The register should enroll both all warnings and sanctions as detailed as possible, and the resolving of breaches. Each supervi-sory authority shall provide micro, small and medium sized enter-prise controllers and processors on request with general information on their responsibilities and obligations in accordance with this Reg-ulation.

3. The supervisory authority shall, upon request, advise any data sub-ject in exercising the rights under this Regulation and, if appropriate, co-operate with the supervisory authorities in other Member States to this end.

4. For complaints referred to in point (b) of paragraph 1, the supervisory authority shall provide a complaint submission form, which can be completed electronically, without excluding other means of commu-nication.

5. The performance of the duties of the supervisory authority shall be free of charge for the data subject.


137

6. Where requests are manifestly excessive, in particular due to their repetitive character, the supervisory authority may charge a reason-able fee or not take the action requested by the data subject. Such a fee shall not exceed the costs of taking the action requested. The su-pervisory authority shall bear the burden of proving the manifestly excessive character of the request.

Article 53 Powers [bevoegdheden] 1. Each supervisory authority shall, in line with this regulation, have the

power: (a) to notify the controller or the processor of an alleged breach of the

provisions governing the processing of personal data, and, where ap-propriate, order the controller or the processor to remedy that breach, in a specific manner, in order to improve the protection of the data subject, or to order the controller to communicate a per-sonal data breach to the data subject;

(b) to order the controller or the processor to comply with the data sub-ject's requests to exercise the rights provided by this Regulation;

(c) to order the controller and the processor, and, where applicable, the representative to provide any information relevant for the perfor-mance of its duties;

(d) to ensure the compliance with prior authorisations and prior consul-tations referred to in Article 34;

(e) to warn or admonish the controller or the processor; (f) to order the rectification, erasure or destruction of all data when they

have been processed in breach of the provisions of this Regulation and the notification of such actions to third parties to whom the data have been disclosed;

(g) to impose a temporary or definitive ban on processing; (h) to suspend data flows to a recipient in a third country or to an inter-

national organisation; (i) to issue opinions on any issue related to the protection of personal

data; (ia) to certify controllers and processors pursuant to Article 39; (j) to in-

form the national parliament, the government or other political in-stitutions as well as the public on any issue related to the protection of personal data.


138

(ja) to put in place effective mechanisms to encourage confidential re-porting of breaches of this Regulation, taking into account guidance issued by the European Data Protection Board pursuant to Article 66(4b).

2. Each supervisory authority shall have the investigative power to ob-tain from the controller or the processor without prior notice:

(a) access to all personal data and to all documents and information nec-essary for the performance of its duties;

(b) access to any of its premises, including to any data processing equip-ment and means.

3. The powers referred to in point (b) shall be exercised in conformity with Union law and Member State law.

4. Each supervisory authority shall have the power to bring violations of this Regulation to the attention of the judicial authorities and to engage in legal proceedings, in particular pursuant to Article 74(4) and Article 75(2).

5. Each supervisory authority shall have the power to sanction admin-istrative offences, in accordance with Article 79. This power shall be exercised in an effective, proportionate and dissuasive manner.

Article 54 Activity report [rapportage activiteiten] Each supervisory authority must draw up a report on its activities at least every two years. The report shall be presented to the respective parlia-ment and shall be made be available to the public, the Commission and the European Data Protection Board.

CHAPTER VII CO-OPERATION AND CONSISTENCY SECTION 1 CO-OPERATION

Article 54a Lead Authority [leidende toezichthouder] 1. Where the processing of personal data takes place in the context of

the activities of an establishment of a controller or a processor in the Union, and the controller

1. or processor is established in more than one Member State, or where personal data of the residents of several Member States are pro-cessed, the supervisory authority of the main establishment of the controller or processor shall act as the lead authority responsible for


139

the supervision of the processing activities of the controller or the processor in all Member States, in accordance with the provisions of Chapter VII of this Regulation.

2. The lead supervisory authority shall take appropriate measures for the supervision of the processing activities of the controller or pro-cessor for which it is responsible only after consulting all other com-petent supervisory authorities within the meaning of paragraph 1 of Article 51 in an endeavour to reach a consensus. For that purpose it shall in particular submit any relevant information and consult the other authorities before it adopts a measure intended to produce le-gal effects vis-à-vis a controller or a processor within the meaning of paragraph 1 of Article 51. The lead authority shall take the utmost account of the opinions of the authorities involved. The lead author-ity shall be the sole authority empowered to decide on measures in-tended to produce legal effects as regards the processing activities of the controller or processor for which it is responsible.

3. The European Data Protection Board shall, at the request of a com-petent supervisory authority, issue an opinion on the identification of the lead authority responsible for a controller or processor, in cases where:

(a) it is unclear from the facts of the case where the main establishment of the controller or processor is located; or

(b) the competent authorities do not agree on which supervisory author-ity shall act as lead authority;

(c) the controller is not established in the Union, and residents of differ-ent Member States are affected by processing operations within the scope of this Regulation.

3a. Where the controller exercises also activities as a processor, the su-pervisory authority of the main establishment of the controller shall act as lead authority for the supervision of processing activities.

4. The European Data Protection Board may decide on the identifica-tion of the lead authority.

Article 55 Mutual Assistance [wederzijdse bijstand] 1. Supervisory authorities shall provide each other relevant infor-

mation and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures


140

for effective co-operation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and investigations and prompt information on the open-ing of cases and ensuing developments where the controller or pro-cessor has establishments in several Member States or where data subjects in several Member States are likely to be affected by pro-cessing operations. The lead authority as defined in Article 54a shall ensure the coordination with involved supervisory authorities and shall act as the single contact point for the controller or processor.

2. Each supervisory authority shall take all appropriate measures re-quired to reply to the request of another supervisory authority with-out delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the course of an investigation or enforce-ment measures to bring about the cessation or prohibition of pro-cessing operations contrary to this Regulation.

3. The request for assistance shall contain all the necessary infor-mation, including the purpose of the request and reasons for the re-quest. Information exchanged shall be used only in respect of the matter for which it was requested.

4. A supervisory authority to which a request for assistance is ad-dressed may not refuse to comply with it unless:

(a) it is not competent for the request; or (b) compliance with the request would be incompatible with the provi-

sions of this Regulation. 5. The requested supervisory authority shall inform the requesting su-

pervisory authority of the results or, as the case may be, of the pro-gress or the measures taken in order to meet the request by the requesting supervisory authority.

6. Supervisory authorities shall supply the information requested by other supervisory authorities by electronic means and within the shortest possible period of time, using a standardised format.

7. No fee shall be charged to the requesting supervisory authority for any action taken following a request for mutual assistance.

8. Where a supervisory authority does not act within one month on re-quest of another supervisory authority, the requesting supervisory


141

authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board in ac-cordance with the procedure referred to in Article 57. Where no de-finitive measure is yet possible because the assistance is not yet completed, the requesting supervisory authority may take interim measures under Article 53 in the territory of its Member State.

9. The supervisory authority shall specify the period of validity of such provisional measure. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission in accordance with the procedure referred to in Article 57.

10. The European Data Protection Board may specify the format and procedures for mutual assistance referred to in this article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authori-ties and the European Data Protection Board, in particular the stand-ardised format referred to in paragraph 6.

Article 56 Joint operations of supervisory authorities [geza-menlijke operaties] 1. In order to step up co-operation and mutual assistance, the supervi-

sory authorities shall carry out joint investigative tasks, joint enforce-ment measures and other joint operations, in which designated members or staff from other Member States' supervisory authorities are involved.

2. In cases where the controller or processor has establishments in sev-eral Member States or where data subjects in several Member States are likely to be affected by processing operations, a supervisory au-thority of each of those Member States shall have the right to partic-ipate in the joint investigative tasks or joint operations, as appropriate. The lead authority as defined in Article 54a shall involve the supervisory authority of each of those Member States in the re-spective joint investigative tasks or joint operations and respond to the request of a supervisory authority to participate in the operations


142

without delay. The lead authority shall act as the single contact point for the controller or processor.

3. Each supervisory authority may, as a host supervisory authority, in compliance with its own national law, and with the seconding super-visory authority’s authorisation, confer executive powers, including investigative tasks on the seconding supervisory authority’s mem-bers or staff involved in joint operations or, in so far as the host su-pervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their executive powers in ac-cordance with the seconding supervisory authority’s law. Such exec-utive powers may be exercised only under the guidance and, as a rule, in the presence of members or staff from the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the host supervisory authority's national law. The host supervisory authority shall assume responsibility for their ac-tions.

4. Supervisory authorities shall lay down the practical aspects of spe-cific cooperation actions.

5. Where a supervisory authority does not comply within one month with the obligation laid down in paragraph 2, the other supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1).

6. The supervisory authority shall specify the period of validity of a pro-visional measure referred to in paragraph5. This period shall not ex-ceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission and shall submit the matter in the mechanism referred to in Article 57.

SECTION 2 CONSISTENCY

Article 57 Consistency mechanism [consistentie] For the purposes set out in Article 46(1), the supervisory authorities shall co-operate with each other and the Commission through the consistency mechanism both on matters of general scope and in individual cases in accordance with the provisions of this section.


143

Article 58 Consistency on matters of general application [consis-tentie in toepassing] 1. Before a supervisory authority adopts a measure referred to in para-

graph 2, this supervisory authority shall communicate the draft measure to the European Data Protection Board and the Commis-sion.

2. The obligation set out in paragraph 1 shall apply to a measure in-tended to produce legal effects and which:

(a) (deleted) (b) (deleted) (c) (deleted) (d) aims to determine standard data protection clauses referred to in

point (c) of Article 42(2); or (e) aims to authorise contractual clauses referred to in point (d) of Arti-

cle 42(2); or (f) aims to approve binding corporate rules within the meaning of Arti-

cle 43. 3. Any supervisory authority or the European Data Protection Board

may request that any matter of general application shall be dealt with in the consistency mechanism, in particular where a supervisory authority does not submit a draft measure referred to in paragraph 2 or does not comply with the obligations for mutual assistance in ac-cordance with Article 55 or for joint operations in accordance with Article 56.

4. In order to ensure correct and consistent application of this Regula-tion, the Commission may request that any matter of general appli-cation shall be dealt with in the consistency mechanism.

5. Supervisory authorities and the Commission shall without undue de-lay electronically communicate any relevant information, including as the case may be a summary of the facts, the draft measure, and the grounds which make the enactment of such measure necessary, using a standardised format.

6. The chair of the European Data Protection Board shall without undue delay electronically inform the members of the European Data Pro-tection Board and the Commission of any relevant information which


144

has been communicated to it, using a standardised format. The sec-retariat of the European Data Protection Board shall provide transla-tions of relevant information, where necessary.

6a. The European Data Protection Board shall adopt an opinion on mat-ters referred to it under paragraph2.

7. The European Data Protection Board may decide by simple majority whether to adopt an opinion on any the matter submitted under par-agraphs 3 and 4 taking into account:

(a) whether the matter presents elements of novelty, taking account of legal or factual developments, in particular in information technol-ogy and in the light of the state of progress in the information soci-ety; and

(b) whether the European Data Protection Board has already issued an opinion on the same matter.

8. The European Data Protection Board shall adopt opinions pursuant to paragraphs 6a and 7 by a simple majority of its members. These opinions shall be made public.

Article 58a Consistency in individual cases [consistentie] 1. Before taking a measure intended to produce legal effects within the

meaning of Article 54a, the lead authority shall share all relevant in-formation and submit the draft measure to all other competent au-thorities. The lead authority shall not adopt the measure if a competent authority has, within a period of three weeks, indicated it has serious objections to the measure.

2. Where a competent authority has indicated that it has serious objec-tions to a draft measure of the lead authority, or where the lead au-thority does not submit a draft measure referred to in paragraph 1 or does not comply with the obligations for mutual assistance in ac-cordance with Article 55 or for joint operations in accordance with Article 56, the issue shall be considered by the European Data Pro-tection Board.

3. The lead authority and/or other competent authorities involved and the Commission shall without undue delay electronically communi-cate to the European Data Protection Board using a standardised format any relevant information, including as the case may be a sum-mary of the facts, the draft measure, the grounds which make the


145

enactment of such measure necessary, the objections raised against it and the views of other supervisory authorities concerned.

4. The European Data Protection Board shall consider the issue, taking into account the impact of the draft measure of the lead authority on the fundamental rights and freedoms of data subjects, and shall de-cide by simple majority of its members whether to issue an opinion on the matter within two weeks after the relevant information has been provided pursuant to paragraph3.

5. In case the European Data Protection Board decides to issue an opin-ion, it shall do so within six weeks and make the opinion public.

6. The lead authority shall take utmost account of the opinion of the European Data Protection Board and shall within two weeks after the information on the opinion by the chair of the European Data Protection Board, electronically communicate to the chair of the Eu-ropean Data Protection Board and to the Commission whether it maintains or amends its draft measure and, if any, the amended draft measure, using a standardised format. Where the lead authority in-tends not to follow the opinion of the European Data Protection Board, it shall provide a reasoned justification.

7. In case the European Data Protection Board still objects to the meas-ure of the supervisory authority as referred to in paragraph 5, it may within one month adopt by a two thirds majority a measure which shall be binding upon the supervisory authority.

Article 59 (deleted)

Article 60 (deleted)

Article 60a Notification of Parliament and Council [notificatie Par-lement en Raad] The Commission shall notify the Council and the European Parliament at regular intervals, at least every two years, on the basis of a report from the Chair of the European Data Protection Board, of the matters dealt with under the consistency procedure, setting out the conclusions drawn by the Commission and the European Data Protection Board with a view to ensuring the consistent implementation and application of this regula-tion.


146

Article 61 Urgency procedure [spoedprocedure] 1. In exceptional circumstances, where a supervisory authority consid-

ers that there is an urgent need to act in order to protect the interests of data subjects, in particular when the danger exists that the en-forcement of a right of a data subject could be considerably impeded by means of an alteration of the existing state or for averting major disadvantages or for other reasons, by way of derogation from the procedure referred to in Article 58a, it may immediately adopt provi-sional measures with a specified period of validity. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Com-mission.

2. Where a supervisory authority has taken a measure pursuant to par-agraph 1 and considers that final measures need urgently be adopted, it may request an urgent opinion of the European Data Pro-tection Board, giving reasons for requesting such opinion, including for the urgency of final measures.

3. Any supervisory authority may request an urgent opinion where the competent supervisory authority has not taken an appropriate meas-ure in a situation where there is an urgent need to act, in order to protect the interests of data subjects, giving reasons for requesting such opinion, including for the urgent need to act.

4. An urgent opinion referred to in paragraphs 2 and 3 of this Article shall be adopted within two weeks by simple majority of the mem-bers of the European Data Protection Board.

Article 62 Implementing Acts [uitvoeringshandelingen] 1. The Commission may adopt implementing acts of general applica-

tion, after requesting an opinion of the European Data Protection Board, for:

(a) (deleted) (b) deciding whether it declares draft standard data protection clauses

referred to in point (d) of Article 42 (2), as having general validity; (c) (deleted) (d) specifying the arrangements for the exchange of information by

electronic means between supervisory authorities, and between su-pervisory authorities and the European Data Protection Board, in


147

particular the standardised format referred to in Article 58(5), (6) and (8).

2. The absence or adoption of a measure under this Section does not prejudice any other measure by the Commission under the Treaties.

Article 63 Enforcement [handhaving] 1. For the purposes of this Regulation, an enforceable measure of the

supervisory authority of one Member State shall be enforced in all Member States concerned.

2. Where a supervisory authority does not submit a draft measure to the consistency mechanism in breach of Article 58(1) and (2) or adopts a measure despite an indication of serious objection pursuant to Article 58a(1), the measure of the supervisory authority shall not be legally valid and enforceable.

SECTION 3 EUROPEAN DATA PROTECTION BOARD

Article 64 European Data Protection Board [Europees Comité voor gegevensbescherming] 1. A European Data Protection Board is hereby set up. 2. The European Data Protection Board shall be composed of the head

of one supervisory authority of each Member State and of the Euro-pean Data Protection Supervisor.

3. Where in a Member State more than one supervisory authority is re-sponsible for monitoring the application of the provisions pursuant to this Regulation, they shall nominate the head of one of those su-pervisory authorities as joint representative.

4. The Commission shall have the right to participate in the activities and meetings of the European Data Protection Board and shall des-ignate a representative. The chair of the European Data Protection Board shall, without delay, inform the Commission on all activities of the European Data Protection Board.

Article 65 Independence [onafhankelijkheid] 1. The European Data Protection Board shall act independently when

exercising its tasks pursuant to Articles 66 and 67.


148

2. Without prejudice to requests by the Commission referred to in point (b) of paragraph 1 and in paragraph 2 of Article 66, the European Data Protection Board shall, in the performance of its tasks, neither seek nor take instructions from anybody.

Article 66 Tasks of the European Data Protection Board [taken] 1. The European Data Protection Board shall ensure the consistent ap-

plication of this Regulation. To this effect, the European Data Pro-tection Board shall, on its own initiative or at the request of the European Parliament, Council or Commission, in particular:

(a) advise the European Institutions on any issue related to the protec-tion of personal data in the Union, including on any proposed amend-ment of this Regulation;

(b) examine, on its own initiative or on request of one of its members or on request of the European Parliament, Council or Commission, any question covering the application of this Regulation and issue guide-lines, recommendations and best practices addressed to the super-visory authorities in order to encourage consistent application of this Regulation, including on the use of enforcement powers;

(c) review the practical application of the guidelines, recommendations and best practices referred to in point (b) and report regularly to the Commission on these;

(d) issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 57;

(da) provide an opinion on which authority should be the lead authority pursuant to Article 54a(3);

(e) promote the co-operation and the effective bilateral and multilateral exchange of information and practices between the supervisory au-thorities, including the coordination of joint operations and other joint activities, where it so decides at the request of one or several supervisory authorities;

(f) promote common training programmes and facilitate personnel ex-changes between the supervisory authorities, as well as, where ap-propriate, with the supervisory authorities of third countries or of international organisations;


149

(g) promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide.

(ga) give its opinion to the Commission in the preparation of delegated and implementing acts based on this Regulation;

(gb) give its opinion on codes of conduct drawn up at Union level pursuant to Article 38(4);

(gc) give its opinion on criteria and requirements for the data protection certification mechanisms pursuant to Article 39(9).

(gd) maintain a public electronic register on valid and invalid certificates pursuant to Article 39(8);

(ge) provide assistance to a national supervisory authorities, at their re-quest;

(gf) establish and make public a list of the processing operations which are subject to prior consultation pursuant to Article 34;

(gg) maintain a registry of sanctions imposed on controllers or processors by the competent supervisory authorities.

2. Where the European Parliament, Council or Commission requests advice from the European Data Protection Board, it may lay out a time limit within which the European Data Protection Board shall provide such advice, taking into account the urgency of the matter.

3. The European Data Protection Board shall forward its opinions, guidelines, recommendations, and best practices to the European Parliament, Council and Commission and to the committee referred to in Article 87 and make them public.

4. The Commission shall inform the European Data Protection Board of the action it has taken following the opinions, guidelines, recom-mendations and best practices issued by the European Data Protec-tion Board.

4a. The European Data Protection Board shall, where appropriate, con-sult interested parties and give them the opportunity to comment within a reasonable period. The European Data Protection Board shall, without prejudice to Article 72, make the results of the consul-tation procedure publicly available.

4b. The European Data Protection Board shall be entrusted with the task of issuing guidelines, recommendations and best practices in accord-ance with paragraph 1 (b) for establishing common procedures for


150

receiving and investigating information concerning allegations of unlawful processing and for safeguarding confidentiality and sources of information received.

Article 67 Reports [rapportages] 1. The European Data Protection Board shall regularly and timely in-

form the European Parliament, Council and Commission about the outcome of its activities. It shall draw up a report at least every two years on the situation regarding the protection of natural persons with regard to the processing of personal data in the Union and in third countries. The report shall include the review of the practical application of the guidelines, recommendations and best practices referred to in point (c) of Article 66(1).

2. The report shall be made public and transmitted to the European Parliament, the Council and the Commission.

Article 68 Procedure [procedure] 1. The European Data Protection Board shall take decisions by a simple

majority of its members, unless otherwise provided in its rules of pro-cedure.

2. The European Data Protection Board shall adopt its own rules of pro-cedure and organise its own operational arrangements. In particular, it shall provide for the continuation of exercising duties when a mem-ber’s term of office expires or a member resigns, for the establish-ment of subgroups for specific issues or sectors and for its procedures in relation to the consistency mechanism referred to in Article 57.

Article 69 Chair [voorzitter] 1. The European Data Protection Board shall elect a chair and at least

two deputy chairpersons from amongst its members. 2. The term of office of the chair and of the deputy chairpersons shall

be five years and be renewable. 2a. The position of the chair shall be a full-time position.

Article 70 Tasks of the chair [taken van de voorzitter] 1. The chair shall have the following tasks:


151

(a) to convene the meetings of the European Data Protection Board and prepare its agenda;

(b) to ensure the timely fulfilment of the tasks of the European Data Pro-tection Board, in particular in relation to the consistency mechanism referred to in Article 57.

2. The European Data Protection Board shall lay down the attribution of tasks between the chair and the deputy chairpersons in its rules of procedure.

Article 71 Secretariat [secretariat] 1. The European Data Protection Board shall have a secretariat. The

European Data Protection Supervisor shall provide that secretariat. 2. The secretariat shall provide analytical, legal, administrative and lo-

gistical support to the European Data Protection Board under the di-rection of the chair.

3. The secretariat shall be responsible in particular for: (a) the day-to-day business of the European Data Protection Board; (b) the communication between the members of the European Data

Protection Board, its chair and the Commission and for communica-tion with other institutions and the public;

(c) the use of electronic means for the internal and external communi-cation;

(d) the translation of relevant information; (e) the preparation and follow-up of the meetings of the European Data

Protection Board; (f) the preparation, drafting and publication of opinions and other texts

adopted by the European Data Protection Board.

Article 72 Confidentiality [geheimhoudingsplicht] 1. The discussions of the European Data Protection Board may be con-

fidential where necessary, unless otherwise provided in the rules of procedure. The agendas of the meetings of the Board shall be made public.

2. Documents submitted to members of the European Data Protection Board, experts and representatives of third parties shall be confiden-tial, unless access is granted to those documents in accordance with


152

Regulation (EC) No 1049/2001 or the European Data Protection Board otherwise makes them public.

3. The members of the European Data Protection Board, as well as ex-perts and representatives of third parties, shall be required to respect the confidentiality obligations set out in this Article. The chair shall ensure that experts and representatives of third parties are made aware of the confidentiality requirements imposed upon them.

CHAPTER VIII REMEDIES, LIABILITY AND SANCTIONS

Article 73 Right to lodge a complaint with a supervisory authority [klachtrecht] 1. Without prejudice to any other administrative or judicial remedy and

the consistency mechanism, every data subject shall have the right to lodge a complaint with a supervisory authority in any Member State if they consider that the processing of personal data relating to them does not comply with this Regulation.

2. Any body, organisation or association which acts in the public inter-est and has been properly constituted according to the law of a Mem-ber State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data sub-jects if it considers that a data subject’s rights under this Regulation have been infringed as a result of the processing of personal data.

3. Independently of a data subject's complaint, any body, organisation or association referred to in paragraph 2 shall have the right to lodge a complaint with a supervisory authority in any Member State, if it considers that breach of this regulation has occurred.

Article 74 Right to a judicial remedy against a supervisory authority [recht op beroep tegen een toezichthouder] 1. Without prejudice to any other administrative or non-judicial rem-

edy, each natural or legal person shall have the right to a judicial rem-edy against decisions of a supervisory authority concerning them.

2. Without prejudice to any other administrative or non-judicial rem-edy, each data subject shall have the right to a judicial remedy oblig-ing the supervisory authority to act on a complaint in the absence of a decision necessary to protect their rights, or where the supervisory


153

authority does not inform the data subject within three months on the progress or outcome of the complaint pursuant to point (b) of Article 52(1).

3. Proceedings against a supervisory authority shall be brought before the courts of the Member State where the supervisory authority is established.

4. Without prejudice to the consistency mechanism a data subject which is concerned by a decision of a supervisory authority in another Member State than where the data subject has its habitual resi-dence, may request the supervisory authority of the Member State where it has its habitual residence to bring proceedings on its behalf against the competent supervisory authority in the other Member State.

5. The Member States shall enforce final decisions by the courts re-ferred to in this Article.

Article 75 Right to a judicial remedy against a controller or proces-sor [recht op beroep tegen een verantwoordelijke of bewerker] 1. Without prejudice to any available administrative remedy, including

the right to lodge a complaint with a supervisory authority as re-ferred to in Article 73, every natural person shall have the right to a judicial remedy if they consider that their rights under this Regula-tion have been infringed as a result of the processing of their per-sonal data in non-compliance with this Regulation.

2. Proceedings against a controller or a processor shall be brought be-fore the courts of the Member State where the controller or proces-sor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data sub-ject has its habitual residence, unless the controller is a public author-ity of the Union or a Member State acting in the exercise of its public powers.

3. Where proceedings are pending in the consistency mechanism re-ferred to in Article 58, which concern the same measure, decision or practice, a court may suspend the proceedings brought before it, ex-cept where the urgency of the matter for the protection of the data


154

subject's rights does not allow to wait for the outcome of the proce-dure in the consistency mechanism.

4. The Member States shall enforce final decisions by the courts re-ferred to in this Article.

Article 76 Common rules for court proceedings [voorschriften voor gerechtelijke procedures] 1. Any body, organisation or association referred to in Article 73(2) shall

have the right to exercise the rights referred to in Articles 74, 75 and 77 if mandated by one or more data subjects.

2. Each supervisory authority shall have the right to engage in legal pro-ceedings and bring an action to court, in order to enforce the provi-sions of this Regulation or to ensure consistency of the protection of personal data within the Union.

3. Where a competent court of a Member State has reasonable grounds to believe that parallel proceedings are being conducted in another Member State, it shall contact the competent court in the other Member State to confirm the existence of such parallel proceedings.

4. Where such parallel proceedings in another Member State concern the same measure, decision or practice, the court may suspend the proceedings.

5. Member States shall ensure that court actions available under na-tional law allow for the rapid adoption of measures including interim measures, designed to terminate any alleged infringement and to prevent any further impairment of the interests involved.

Article 77 Right to compensation and liability 1. Any person who has suffered damage, including non-pecuniary dam-

age, as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to claim com-pensation from the controller or the processor for the damage suf-fered.

2. Where more than one controller or processor is involved in the pro-cessing, each of those controllers or processors shall be jointly and severally liable for the entire amount of the damage, unless they have an appropriate written agreement determining the responsibil-ities pursuant to Article 24.


155

3. The controller or the processor may be exempted from this liability, in whole or in part, if the controller or the processor proves that they are not responsible for the event giving rise to the damage.

Article 78 Penalties [boetes] 1. Member States shall lay down the rules on penalties, applicable to

infringements of the provisions of this Regulation and shall take all measures necessary to ensure that they are implemented, including where the controller did not comply with the obligation to designate a representative. The penalties provided for must be effective, pro-portionate and dissuasive.

2. Where the controller has established a representative, any penalties shall be applied to the representative, without prejudice to any pen-alties which could be initiated against the controller.

3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date speci-fied in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Article 79 Administrative sanctions [administratieve sancties] 1. Each supervisory authority shall be empowered to impose adminis-

trative sanctions in accordance with this Article. The supervisory au-thorities shall cooperate with each other in accordance with Articles 46 and 57 to guarantee a harmonized level of sanctions within the Union.

2. The administrative sanction shall be in each individual case effective, proportionate and dissuasive. 2a. To anyone who does not comply with the obligations laid down in this Regulation, the supervisory authority shall impose at least one of the following sanctions:

(a) a warning in writing in cases of first and non-intentional non-compli-ance;

(b) regular periodic data protection audits; (c) a fine up to 100 000 000 EUR or up to 5% of the annual worldwide

turnover in case of an enterprise, whichever is greater.


156

2b. If the controller or the processor is in possession of a valid "European Data Protection Seal" pursuant to Article 39, a fine pursuant to para-graph 2a(c) shall only be imposed in cases of intentional or negligent incompliance.

2c. The administrative sanction shall take into account the following fac-tors:

(a) the nature, gravity and duration of the incompliance, (b) the intentional or negligent character of the infringement, (c) the degree of responsibility of the natural or legal person and of pre-

vious breaches by this person, (d) the repetitive nature of the infringement, (e) the degree of co-operation with the supervisory authority, in order

to remedy the infringement and mitigate the possible adverse ef-fects of the infringement,

(f) the specific categories of personal data affected by the infringement, (fa) the level of damage, including non-pecuniary damage, suffered by

the data subjects, (fb) the action taken by the controller or processor to mitigate the dam-

age suffered by data subjects, (fc) any financial benefits intended or gained, or losses avoided, directly

or indirectly from the infringement, (g) the degree of technical and organisational measures and procedures

implemented pursuant to: (i) Article 23 - Data protection by design and by default (ii) Article 30 - Security of processing (iii) Article 33 - Data protection impact assessment (iv) Article 33 a - Data protection compliance review (v) Article 35 Designation of the data protection officer (ga) the refusal to cooperate with or obstruction of inspections, audits

and controls carried out by the supervisory authority pursuant to Ar-ticle 53,

(gb) other aggravating or mitigating factors applicable to the circum-stance of the case.

3. (deleted) 4. (deleted) 5. (deleted) 6. (deleted)


157

7. The Commission shall be empowered to adopt delegated acts in ac-cordance with Article 86 for the purpose of updating the absolute amounts of the administrative fines referred to in paragraphs 2a, tak-ing into account the criteria and factors referred to in paragraphs 2 and 2c.

CHAPTER IX PROVISIONS RELATING TO SPECIFIC DATA PROCESSING SITUATIONS

Article 80 Processing of personal data and freedom of expression [gegevensverwerking en vrijheid van meningsuiting] 1. Member States shall provide for exemptions or derogations from the

provisions on the general principles in Chapter II, the rights of the data subject in Chapter III, on controller and processor in Chapter IV, on the transfer of personal data to third countries and international organisations in Chapter V, the independent supervisory authorities in Chapter VI, on co-operation and consistency in Chapter VII and specific data processing situations in Chapter IX whenever this is nec-essary in order to reconcile the right to the protection of personal data with the rules governing freedom of expression in accordance with the Charter of Fundamental Rights of the European Union.

2. Each Member State shall notify to the Commission those provisions of its law which it has adopted pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subse-quent amendment law or amendment affecting them.

Article 80a Access to documents [toegang tot documenten] 1. Personal data in documents held by a public authority or a public

body may be disclosed by this authority or body in accordance with Union or Member State legislation regarding public access to official documents, which reconciles the right to the protection of personal data with the principle of public access to official documents.

2. Each Member State shall notify to the Commission provisions of its law which it adopts pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amend-ment affecting them.


158

Article 81 Processing of personal data concerning health [gegevensverwerking en gezondheid] (a) In accordance with the rules set out in this Regulation, in particular

with point (h) of Article 9(2), processing of personal data concerning health must be on the basis of Union law or Member State law which shall provide for suitable, consistent, and specific measures to safe-guard the data subject's interests and fundamental rights, to the ex-tent that these are necessary and proportionate, and of which the effects shall be foreseeable by the data subject, for:

(a) the purposes of preventive or occupational medicine, medical diag-nosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or an-other person also subject to an equivalent obligation of confidential-ity under Member State law or rules established by national competent bodies; or

(b) reasons of public interest in the area of public health, such as protect-ing against serious cross-border threats to health or ensuring high standards of quality and safety, inter alia for medicinal products or medical devices, and if the processing is carried out by a person bound by a confidentiality obligation; or

(c) other reasons of public interest in areas such as social protection, es-pecially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system and the provision of health services. Such processing of personal data concerning health for reasons of public interest shall not result in data being processed for other purposes, unless with the consent of the data subject or on the basis of Union or Member State law.

1a. When the purposes referred to in points (a) to (c) of paragraph 1 can be achieved without the use of personal data, such data shall not be used for those purposes, unless based on the consent of the data subject or Member State law.

1b. Where the data subject's consent is required for the processing of medical data exclusively for public health purposes of scientific re-search, the consent may be given for one or more specific and similar


159

researches. However, the data subject may withdraw the consent at any time.

1c. For the purpose of consenting to the participation in scientific re-search activities in clinical trials, the relevant provisions of Directive 2001/20/EC shall apply.

(b) Processing of personal data concerning health which is necessary for historical, statistical or scientific research purposes shall be permit-ted only with the consent of the data subject, and shall be subject to the conditions and safeguards referred to in Article 83.

2a. Member States law may provide for exceptions to the requirement of consent for research, as referred to in paragraph 2, with regard to research that serves a high public interests, if that research cannot possibly be carried out otherwise. The data in question shall be anon-ymised, or if that is not possible for the research purposes, pseudon-ymised under the highest technical standards, and all necessary measures shall be taken to prevent unwarranted re-identification of the data subjects. However, the data subject shall have the right to object at any time in accordance with Article 19.

(c) The Commission shall be empowered to adopt, after requesting an opinion of the European Data Protection Board, delegated acts in ac-cordance with Article 86 for the purpose of further specifying public interest in the area of public health as referred to in point (b) of par-agraph 1 and high public interest in the area of research as referred to in paragraph 2a.

3a. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date speci-fied in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Article 82 Minimum standards for processing data in the employ-ment context [gegevensverwerking en arbeid] 1. Member States may, in accordance with the rules set out in this Reg-

ulation, and taking into account the principle of proportionality, adopt by legal provisions specific rules regulating the processing of employees' personal data in the employment context, in particular for but not limited to the purposes of the recruitment and job appli-cations within the group of undertakings, the performance of the


160

contract of employment, including discharge of obligations, laid down by law and by collective agreements, in accordance with na-tional law and practice, management, planning and organisation of work, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and ben-efits related to employment, and for the purpose of the termination of the employment relationship. Member States may allow for col-lective agreements to further specify the provisions set out in this Ar-ticle.

1a. The purpose of processing such data must be linked to the reason it was collected for and stay within the context of employment. Profil-ing or use for secondary purposes shall not be allowed.

1b. Consent of an employee shall not provide a legal basis for the pro-cessing of data by the employer when the consent has not been given freely.

1c. Notwithstanding the other provisions of this Regulation, the legal provisions of Member States referred to in paragraph 1 shall include at least the following minimum standards:

(a) the processing of employee data without the employees' knowledge shall not be permitted. Notwithstanding sentence 1, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the na-ture and extent of this data collection are necessary and proportion-ate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority;

(b) the open optical-electronic and/or open acoustic-electronic monitor-ing of parts of an undertaking which are not accessible to the public and are used primarily by employees for private activities, especially in bathrooms, changing rooms, rest areas, and bedrooms, shall be prohibited. Clandestine surveillance shall be inadmissible under all circumstances;


161

(c) where undertakings or authorities collect and process personal data in the context of medical examinations and/or aptitude tests, they must explain to the applicant or employee beforehand the purpose for which these data are being used, and ensure that afterwards they are provided with these data together with the results, and that they receive an explanation of their significance on request. Data collec-tion for the purpose of genetic testing and analyses shall be prohib-ited as a matter of principle;

(d) whether and to what extent the use of telephone, e-mail, internet and other telecommunications services shall also be permitted for private use may be regulated by collective agreement. Where there is no regulation by collective agreement, the employer shall reach an agreement on this matter directly with the employee. In so far as pri-vate use is permitted, the processing of accumulated traffic data shall be permitted in particular to ensure data security, to ensure the proper operation of telecommunications networks and telecommu-nications services and for billing purposes. Notwithstanding sen-tence 3, Member States may, by law, provide for the admissibility of this practice, by setting appropriate deadlines for the deletion of data, providing there exists a suspicion based on factual indications that must be documented that the employee has committed a crime or serious dereliction of duty in the employment context, providing also the collection of data is necessary to clarify the matter and providing finally the nature and extent of this data collection are nec-essary and proportionate to the purpose for which it is intended. The privacy and private lives of employees shall be protected at all times. The investigation shall be carried out by the competent authority;

(e) workers’ personal data, especially sensitive data such as political ori-entation and membership of and activities in trade unions, may un-der no circumstances be used to put workers on so-called ‘blacklists’, and to vet or bar them from future employment. The processing, the use in the employment context, the drawing-up and passing-on of blacklists of employees or other forms of discrimination shall be pro-hibited. Member States shall conduct checks and adopt adequate sanctions in accordance with Article 79(6) to ensure effective imple-mentation of this point.


162

1d. Transmission and processing of personal employee data between le-gally independent undertakings within a group of undertakings and with professionals providing legal and tax advice shall be permitted, providing it is relevant to the operation of the business and is used for the conduct of specific operations or administrative procedures and is not contrary to the interests and fundamental rights of the per-son concerned which are worthy of protection. Where employee data are transmitted to a third country and/or to an international or-ganization, Chapter V shall apply.

2. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraphs 1 and 1b, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

3. The Commission shall be empowered, after requesting an opinion from the European Data Protection Board, to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph1.

Article 82a Processing in the social security context [gegevensver-werking en sociale zekerheid] 1. Member States may, in accordance with the rules set out in this Reg-

ulation, adopt specific legislative rules particularising the conditions for the processing of personal data by their public and private insti-tutions and departments in the social security context if carried out in the public interest.

2. Each Member State shall notify to the Commission those provisions which it adopts pursuant to paragraph 1, by the date specified in Ar-ticle 91(2) at the latest and any subsequent amendment affecting them.

Article 83 Processing for historical, statistical and scientific re-search purposes [gegevensverwerking voor historische, statisti-sche en wetenschappelijke doeleinden] 1. In accordance with the rules set out in this Regulation, personal data

may be processed for historical, statistical or scientific research pur-poses only if:


163

(a) these purposes cannot be otherwise fulfilled by processing data which does not permit or not any longer permit the identification of the data subject;

(b) data enabling the attribution of information to an identified or iden-tifiable data subject is kept separately from the other information under the highest technical standards, and all necessary measures are taken to prevent unwarranted re-identification of the data sub-jects.


Article 83a Processing of personal data by archive services [archiv-ering] 1. Once the initial processing for which they were collected has been

completed, personal data may be processed by archive services whose main or mandatory task is to collect, conserve, provide infor-mation about, exploit and disseminate archives in the public interest, in particular in order to substantiate individuals’ rights or for histori-cal, statistical or scientific research purposes. These tasks shall be carried out in accordance with the rules laid down by Member States concerning access to and the release and dissemination of adminis-trative or archive documents and in accordance with the rules set out in this Regulation, specifically with regard to consent and the right to object.

2. Each Member State shall notify to the Commission provisions of its law which it adopts pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amend-ment affecting them.

Article 84 Obligations of secrecy [geheimhoudingsplicht] 1. In accordance with the rules set out in this Regulation, Member

States shall ensure specific rules are in place setting set out the pow-ers by the supervisory authorities laid down in Article 53 in relation to controllers or processors that are subjects under national law or rules established by national competent bodies to an obligation of profes-sional secrecy or other equivalent obligations of secrecy, where this


164

is necessary and proportionate to reconcile the right of the protec-tion of personal data with the obligation of secrecy. These rules shall only apply with regard to personal data which the controller or pro-cessor has received from or has obtained in an activity covered by this obligation of secrecy.

2. Each Member State shall notify to the Commission the rules adopted pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.

Article 85 Existing data protection rules of churches and religious associations [gegevensbescherming bij kerken en religieuze organisaties] 1. Where in a Member State, churches and religious associations or

communities apply, at the time of entry into force of this Regulation, adequate rules relating to the protection of individuals with regard to the processing of personal data, such rules may continue to apply, provided that they are brought in line with the provisions of this Reg-ulation.

2. Churches and religious associations which apply adequate rules in accordance with paragraph 1 shall obtain a compliance opinion pur-suant to Article 38.

Article 85a Respect of fundamental rights [respect voor fundamen-tele rechten] This Regulation shall not have the effect of modifying the obligation to respect fundamental rights and fundamental legal principles as enshrined in Article 6 of the TEU.

CHAPTER X DELEGATED ACTS AND IMPLEMENTING ACTS

Article 85b Standard Forms [standaardisatie] The Commission may, taking into account the specific features and ne-cessities of various sectors and data processing situations, lay down standard forms for (a) specific methods to obtain verifiable consent referred to in Article

8(1),


165

(b) the communication referred to in Article 12(2), including the elec-tronic format,

(c) providing the information referred to in paragraphs 1 to 3 of Article 14,

(d) requesting and granting access to the information referred to in Ar-ticle 15(1), including for communicating the personal data to the data subject,

(e) documentation referred to in paragraph 1 of Article 28, (f) breach notifications pursuant to Article 31 to the supervisory author-

ity and the documentation referred to in Article 31(4), (g) prior consultations referred to in Article 34, and for informing the su-

pervisory authorities pursuant to Article 34(6). 3. In doing so, the Commission shall take the appropriate measures for

micro, small and medium-sized enterprises. 4. Those implementing acts shall be adopted in accordance with the ex-

amination procedure referred to in Article 87(2).

Article 86 Exercise of the delegation [gedelegeerde handelingen] 1. The power to adopt delegated acts is conferred on the Commission

subject to the conditions laid down in this Article. 2. The delegation of power referred to in [Articles XXX] shall be con-

ferred on the Commission for an indeterminate period of time from the date of entry into force of this Regulation.

3. The delegation of power referred to in [Articles XXX] may be revoked at any time by the European Parliament or by the Council. A decision of revocation shall put an end to the delegation of power specified in that decision. It shall take effect the day following the publication of the decision in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force.

4. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council.

5. A delegated act adopted pursuant to [Articles XXX] shall enter into force only if no objection has been expressed either by the European Parliament or the Council within a period of six months of notifica-tion of that act to the European Parliament and the Council or if, be-fore the expiry of that period, the European Parliament and the


166

Council have both informed the Commission that they will not ob-ject. That period shall be extended by six months at the initiative of the European Parliament or the Council.

Article 87 Committee procedure [procedure van het comite] 1. The Commission shall be assisted by a committee. That committee

shall be a committee within the meaning of Regulation (EU) No 182/2011.

2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.

3. (deleted)

CHAPTER XI FINAL PROVISIONS

Article 88 Repeal of Directive 95/46/EC [herroeping richtlijn] 1. Directive 95/46/EC is repealed. 2. References to the repealed Directive shall be construed as references

to this Regulation. References to the Working Party on the Protec-tion of Individuals with regard to the Processing of Personal Data es-tablished by Article 29 of Directive 95/46/EC shall be construed as references to the European Data Protection Board established by this Regulation.

Article 89 Relationship to and amendment of Directive 2002/58/EC [relatie tot richtlijn 2002/58/EG] 1. This Regulation shall not impose additional obligations on natural or

legal persons in relation to the processing of personal data in connec-tion with the provision of publicly available electronic communica-tions services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC.

2. Articles 1(2), 4 and 15 of Directive 2002/58/EC shall be deleted. 2a. The Commission shall present, without delay and by the date re-

ferred to in Article 91(2) at the latest, a proposal for the revision of the legal framework for the processing of personal data and the pro-tection of privacy in electronic communications, in order to align the


167

law with this regulation and ensure consistent and uniform legal pro-visions on the fundamental right to protection of personal data in the European Union.

Article 89a Relationship to and amendment of Regulation (EC) 2001/45 [relatie tot richtlijn 2001/45/EG] 1. The rules set out in this Regulation shall be applied to the processing

of personal data by Union institutions, bodies, offices and agencies in relation to matters for which they are not subject to additional rules set out in Regulation (EC) 2001/45.

2. The Commission shall present, without delay and by the date speci-fied in Article 91(2) at the latest, a proposal for the revision of the le-gal framework applicable to the processing of personal data by the Union institutions, bodies, offices and agencies.

Article 90 Evaluation [evaluatie] The Commission shall submit reports on the evaluation and review of this Regulation to the European Parliament and the Council at regular inter-vals. The first report shall be submitted no later than four years after the entry into force of this Regulation. Subsequent reports shall be submitted every four years thereafter. The Commission shall, if necessary, submit appropriate proposals with a view to amending this Regulation, and align-ing other legal instruments, in particular taking account of developments in information technology and in the light of the state of progress in the information society. The reports shall be made public.

Article 91 Entry into force and application [inwerkingtreding] 1. This Regulation shall enter into force on the twentieth day following

that of its publication in the Official Journal of the European Union. 2. It shall apply from [two years from the date referred to in paragraph

1]. This Regulation shall be binding in its entirety and directly applicable in all Member States.


168

No personal data are collected beyond the minimum necessary for each specific purpose of the processing. No personal data are processed for purposes other than the purposes for which they were collected.


169

ANNEX 1 - PRESENTATION OF THE PARTICULARS REFERRED TO IN ARTICLE 13A 1. Having regard to the proportions referred to in point 6, particulars

shall be provided as follows:

2. The following words in the rows in the second column of the table in

point 1, entitled "ESSENTIAL INFORMATION", shall be formatted as bold:

(a) the word "collected" in the first row of the second column; (b) the word "retained" in the second row of the second column;


170

(c) the word "processed" in the third row of the second column; (d) the word "sold and rented out" in the fifth row of the second column; (e) the word "disseminated" in the fourth row of the second column; (f) the word "unencrypted" in the sixth row of the second column. 3. Having regard to the proportions referred to in point 6, the rows

in the third column of the table in point 1, entitled "FULFILLED", shall be completed with one of the following two graphical forms in accord-ance with the conditions laid down under point 4:

1. (a)

2. 3. (b)

4. (a) If no personal data are collected beyond the minimum necessary for

each specific purpose of the processing, the first row of the third col-umn of the table in point 1 shall entail the graphical form referred to in point 3a.(b) If personal data are collected beyond the minimum necessary for each specific purpose of the processing, the first row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b.

(b) If no personal data are retained beyond the minimum necessary for each specific purpose of the processing, the second row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a.

(c) If personal data are retained beyond the minimum necessary for each specific purpose of the processing, the second row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b.

(d) If no personal data are processed for purposes other than the pur-poses for which they were collected, the third row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a.

(e) If personal data are processed for purposes other than the pur-poses for which they were collected, the third row of the third column


171

of the table in point 1 shall entail the graphical form referred to in point 3b.

(f) If no personal data are disseminated to commercial third parties, the fourth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a.

(g) If personal data are disseminated to commercial third parties, the fourth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3b.

(h) If no personal data are sold or rented out, the fifth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a.

(i) If personal data are sold or rented out, the fifth row of the third col-umn of the table in point 1 shall entail the graphical form referred to in point 3b.

(j) If no personal data are retained in unencrypted form, the sixth row of the third column of the table in point 1 shall entail the graphical form referred to in point 3a.

(k) If personal data are retained in unencrypted form, the sixth row of the third column of the table in point 1 shall entail the graphical form re-ferred to in point 3b.

5. The reference colours of the graphical forms in point 1 in Pantone are Black Pantone No 7547 and Red Pantone No 485. The reference colour of the graphicalform in point 3a in Pantone is Green Pantone No 370. The reference colour of the graphical form in point 3b in Pan-tone is Red Pantone No 485.

6. The proportions given in the following graduated drawing shall be respected, even where the table is reduced or enlarged:


172

EUROPESE ALGEMENE VERORDENING GEGEVENSBESCHERMING

– SCHEMATISCH OVERZICHT1

Gegevens Beheer

‘mag het?’ ‘hoe ga je er mee om?’

Rechtmatig verkregen gege-vens - grondslagen voor recht-matige verwerking: Ondubbelzinnige toestem-ming, noodzakelijk voor uit-voeren overeenkomst, wettelijke plicht, bescherming vitale belangen, taak van alge-meen belang, gerechtvaar-digd belang. Laatste grond geldt niet langer voor over-heid.

6 8

Implementatie en documentatie Organisaties moeten o.a. analy-seren welke verwerkingen wor-den uitgevoerd door henzelf of hun leveranciers, welke soorten gegevens het betreft, voor welke doeleinden zij dit doen en welke beveiligingsmaatregelen getrof-fen zijn.

5, 22

Beginselen van toepassing op verwerking van persoonsge-gevens: Rechtmatigheid, eerlijkheid en transparantie, doelbinding, minimale gegevensverwer-king en opslag, juistheid, doel-treffendheid, integriteit en verantwoordingsplicht.

5 6-11

Checken, bekijken en sluiten be-werkersovereenkomsten Bewerkersovereenkomsten met leveranciers of afnemers zijn no-dig in het geval persoonsgege-vens worden verwerkt. Bewerkersovereenkomsten moeten onder andere gedetail-leerde informatie over de beveili-gingsmaatregelen bevatten.

26, 77 14

Aantoonbare toestemming voor bepaalde doeleinden De bewijslast ligt bij de organi-satie aan wie toestemming is verleend. Betrokkenen moe-ten deze toestemming te allen tijden eenvoudig kunnen in-trekken. Bepalingen die niet

7 -

Risicoanalyses en controlecycli Voor nieuwe en bestaande dien-sten moet een risico analyse wor-den uitgevoerd. Deze moet jaarlijks worden gecontro-leerd/herhaald. Voor risicovolle diensten moet tweejaarlijks een ‘impact assessment’ worden uit-gevoerd.

22/32a/32bis/33/33bis -

1 Versie 1.03. December 2014. Gebaseerd op versie http://www.janalbrecht.eu/fileadmin/material/Doku-mente/ DPR-Regulation-inofficial-consolidated-LIBE.pdf. Wijzigingen in de finale versie zijn te verwach-ten. Document is met zorg samengesteld, maar fouten zijn mogelijk. Getallen zijn artikelen uit Verordening (zwart) of Wet bescherming persoonsgegevens (grijs). Er kunnen geen rechten aan deze pu-blicatie worden ontleend.. Gebruik altijd de volledige tekst en/of raadpleeg een privacy expert. Meest re-cente versie beschikbaar op www.privacycompany.eu.



173

aan de regels voldoen zijn nie-tig.

Doorgifte van persoonsgege-vens Doorgifte buiten EU is slechts onder voorwaarden toege-staan. Multinationals kunnen bindende bedrijfsvoorschrif-ten opstellen en door de natio-nale toezichthouder laten goedkeuren.

41-43 76-78

Informatiebeveiliging Organisaties moeten informatie met passende technische en or-ganisatorische maatregelen be-veiligen.

22/30/ 33 13

Bijzondere persoonsgegevens (o.a. etniciteit, gezondheid, seksuele voorkeuren) Het verwerken van bijzondere persoonsgegevens is niet toe-gestaan of er gelden strikte voorwaarden.

9 16

Beheer van toestemming en rechten van betrokkenen Systemen en processen voor rechten van betrokkenen zullen moeten worden ingericht en be-heerd.

7/19 -

Extra bescherming voor kin-deren onder de 13 jaar Verwerking van persoonsge-gevens van kinderen jonger dan 13 jaar is alleen toegestaan na toestemming van een ou-der of wettelijk vertegenwoor-diger. Organisaties moeten zich redelijk inspannen om de toestemming te controleren.

8 -

Dataportabiliteit Betrokkenen hebben het recht op een kopie van hun (persoons)ge-gevens in een elektronisch en bruikbaar formaat.

15 -

Profilering (‘profiling’) Profilering met juridische ge-volgen is slechts onder voor-waarden toegestaan. Profilering met aanzienlijke gevolgen voor betrokkenen moet gebaseerd zijn op men-selijke beoordeling en een uit-leg van het besluit bevatten. Profilering op basis van pseu-donieme gegevens is toege-staan.

20 Aannemen beleid, implemente-ren technische en organisatori-sche maatregelen Organisaties moeten beleid op-stellen en aantoonbaar techni-sche en organisatorische maatregelen nemen om er voor te zorgen dat persoonsgegevens transparant en in overeenstem-ming met de regels worden ver-werkt.

22/30/32a


174

Uitzondering voor bepaalde doelen Historische, statistische of we-tenschappelijke doeleinden zijn uitgezonderd alsmede so-ciale zekerheid, religieuze or-ganisaties, medewerkers en gezondheid.

5/42/81/82 17-23

Bewaartermijn Beperk de opslagperiode en ver-wijder of archiveer (indien toege-staan) gegevens tijdig.

5/83a 10

Organisatie Communicatie

‘hoe richt je de organisatie en processen in?’

‘hoe communiceer je erover?’

Functionaris voor de gege-vensbescherming / data pro-tection officer Organisaties moeten een functionaris voor de gegevens-bescherming aanstellen. De functionaris rapporteert aan de directie.

35 62

Duidelijke en begrijpelijke com-municatie over persoonsgege-vens Informatie en communicatie moeten in een begrijpelijke vorm en in duidelijke (gewone) taal zijn opgesteld, zeker als deze zich richt tot kinderen.

7/8/14/15/19

Rechten van betrokkenen (in-zage, correctie, verwijderen, compensatie, bezwaar) Implementeer processen voor het uitoefenen van rechten. Betrokkenen mogen informa-tie opvragen over doel, be-waartermijn en logica achter de verwerking en mogen be-zwaar maken tegen profile-ring.

15/22 35-42

Privacy beleid en gestandaardi-seerd formulier Het privacy beleid moeten rech-ten van betrokkenen bevatten en beknopt, transparant en gemak-kelijk toegankelijk zijn. Bij het ver-zamelen van persoonsgegevens moet een standaard formulier met door de EU vastgestelde ico-nen getoond worden.

11/13a/A1 -

Meldplicht datalekken Implementeer processen voor het melden van datalekken.

31/32 -

Melden datalekken bij toezicht-houder en betrokkenen Datalekken moeten binnen 72 uur aan de toezichthouder ge-meld worden en in sommige ge-vallen is directe melding aan de betrokkene vereist.

31/32 -

Getrainde medewerkers, een privacybewuste organisatie Om de risico’s te minimalise-ren moeten organisaties en

5/22/26 -

Contactgegevens functionaris voor de gegevensbescherming (FG)

35 63


175

hun medewerkers bewust zijn van de belangrijkste elemen-ten van de regelgeving.

Contactgegevens van de FG moeten worden gepubliceerd en betrokkenen moeten contact op kunnen nemen om hun rechten uit te oefenen.

Privacy relevant voor ontwik-keling van producten en dien-sten (privacy by design/default) Weeg privacyaspecten mee bij het ontwikkelen van nieuwe producten en diensten. ‘Pri-vacy by design’ is een voor-waarde bij openbare aanbestedingen.

23 -

Communicatie met de toezicht-houder De toezichthouder mag docu-menten en gegevens opvragen en heeft de bevoegdheid om toe-gang te krijgen tot alle persoons-gegevens en de locaties waar deze zijn opgeslagen.

29/53 60

Certificering Organisaties kunnen EU breed gecertificeerd worden door de nationale toezichthouder. Na certificering (‘privacy seal’) worden boetes alleen opge-legd in het geval van opzet of grove nalatigheid door de or-ganisatie.

39/79 -

Bezwaar tegen profilering Betrokkenen moeten op een ui-terst zichtbare manier worden geïnformeerd over de mogelijk-heid om bezwaar te maken tegen profilering.

20 -

Toezicht De toezichthouder in het land van de feitelijke hoofdvesti-ging van de organisatie zal ver-antwoordelijk zijn voor het toezicht.

54a -

Jaarverslag Het jaarverslag of een andere re-guliere zakelijke rapportage moet een korte beschrijving bevatten van het beleid en de maatregelen die zijn genomen.

22

177

INDEX aard van de gegevens ..............................15, 17, 27, 31, 32, 33, 44, 50, 56, 61, 64, 65 algemeen belang ..................................................................................... 24, 50, 172 ambt, beroep of wettelijk voorschrift .................................................. 15, 16, 22, 55 anonimisering ..................................................................................................... 159 archivering .................................................................................................... 90, 163 artistieke doeleinden ............................................................................................ 13 behoorlijke en zorgvuldige verwerking ................................................................ 14 beperkingen........................................................................................................ 103 besluit op basis van geautomatiseerde verwerking ............................................. 37 bestuurlijke boete ................................................................................ 47, 48, 55, 58 bestuursdwang ..................................................................................................... 47 betrokkene(n) ................... 9, 11, 14, 15, 19, 20, 21, 22, 23, 24, 25, 28, 29, 30, 31, 32, 33, 35, 36, 37, 38, 46, 50, 52, 56, 57, 58, 61, 64, 65, 73, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 105, 106, 107, 112, 113, 117, 119, 122, 129, 130, 135, 136, 137, 146, 152, 153, 154, 157, 158, 159, 163, 165, 174 beveiliging .................................................................................................. 109, 156 bewaartermijnen ............................................................... 11, 15, 18, 55, 87, 94, 174 bewerker 11, 16, 17, 18, 40, 56, 82, 84, 85, 91, 105, 107, 108, 109, 111, 113, 114, 115, 116, 117, 118, 119, 120, 122, 123, 126, 128, 129, 137, 138, 139, 140, 141, 142, 153, 154, 155, 156, 157, 164 bijzondere gegevens .............................................................. 18, 24, 53, 56, 89, 173 bindende aanwijzing ............................................................................................ 12 bindende bedrijfsvoorschriften .................................... Zie binding corporate rules binding corporate rules................................................... 85, 126, 127, 128, 136, 143 binnentreden .................................................................................................... 7, 45 biometrische gegevens .................................................................................. 84, 89 boetes ............................................................................................................... 155 briefgeheim ............................................................................................................ 8 burgerservicenummer .................................................... 69, 70, 71, 72, 73, 74, 77, 78 burgerservicenummer, beheervoorziening ................................................... 70 burgerservicenummer, eenmalig aanmaken en toekennen ......................... 71 burgerservicenummer, kennisgeving toekenning ........................................ 72 burgerservicenummer, onmiddelijke toekenning ......................................... 71 categorieën van betrokkenen ........................................................................ 27, 28 categorieën van ontvangers ............................................................................ 27, 33 certificering ...................................................................................122, 126, 156, 175 codes of conduct................................................................................................. 120

INDEX

178

college bescherming persoonsgegevens ............................................................. 67 compenserende waarborgen ............................................................................... 28 compliance review ............................................................................... 115, 116, 156 consistentie.......................................................................................... 142, 143, 144 contacgegevens DPO .................................................. 94, 95, 97, 108, 111, 118, 127 correctie ......................................................................................................... 57, 174 data minimalisatie ................................................................................... 16, 86, 127 data protection impact assessment ............................................................ 114, 156 datalekken ................................................................................................. 1, 56, 174 dataminimalisatie .......................................................................... 93, 105, 168, 170 dataportabiliteit .................................................................................................. 173 definities .............................................................................................. 11, 69, 81, 83 derde land ................. 50, 51, 52, 95, 106, 115, 123, 124, 125, 126, 127, 129, 137, 162 derde partij ........................................................................................ 84, 87, 99, 122 derden .......................................................................... 11, 19, 20, 23, 29, 35, 44, 57 disciplinaire maatregelen ..................................................................................... 43 DNA ................................................................................................................. 84 doelbinding .............................................................................................. 15, 56, 172 doeleinden ... 9, 12, 13, 14, 15, 16, 23, 25, 26, 27, 28, 31, 33, 34, 38, 50, 55, 56, 57, 63, 79, 172, 174 doeleinden, historische ................................................................................ 15, 162 doeleinden, journalistieke .................................................................................... 13 doeleinden, literaire .............................................................................................. 13 doeleinden, statistische ................... 15, 22, 24, 38, 86, 87, 90, 96, 99, 159, 162, 163 doeleinden, wetenschappelijk .. 15, 22, 24, 38, 86, 87, 90, 96, 99, 158, 159, 162, 163 doelmatigheid ............................................................................... 93, 105, 168, 170 doorgifte ................................................ 49, 50, 51, 52, 55, 58, 59, 123, 125, 157, 173 doorgifte, nadere ..................................................................................................99 doorgifte, ongeautoriseerd ................................................................................ 129 Europees comite voor gegevensbescherming .... 89, 91, 94, 101, 103, 110, 111, 112, 117, 121, 122, 123, 125, 130, 132, 133, 136, 138, 139, 141, 142, 143, 144, 145, 146, 147, 148, 149, 150, 151, 152, 159, 162, 166 financiële ondernemingen ............................................................................. 33, 62 functionaris gegevensbescherming .................. 12, 44, 45, 46, 77, 94, 108, 111, 113, 114, 115, 116, 117, 118, 119, 120, 128, 156, 174 fundamentele rechten ....................................................... 81, 87, 101, 131, 132, 145 gedelegeerde handelingen........ 94, 101, 121, 123, 124, 125, 128, 157, 159, 162, 165 gedragscodes ................................................................................................. 25, 26 gegevens, inbreuk ................................................................................................ 84 gegevensdoorgiften ........................................................................... Zie doorgifte

INDEX

179

gegevensverwerking ................................................... 14, 15, 29, 30, 44, 52, 73, 172 geheimhoudingsplicht...... 15, 16, 22, 45, 55, 56, 97, 98, 119, 134, 151, 158, 163, 164 geldboete .................................................................................. 2, 47, 49, 55, 58, 59 genetische gegevens ............................................................................................ 84 gerechtvaardigd belang .................................................................................. 15, 37 gevangenisstraf .............................................................................................. 49, 59 gevolgen van inbreuk ........................................................................................... 32 gevolgen van verwerking ........................... 15, 17, 18, 41, 56, 61, 62, 64, 65, 79, 173 gewichtige economische en financiële belangen ................................................ 37 gezamenlijke verantwoordelijkheid ................................................................... 106 gezondheid ........................................... 10, 18, 21, 22, 84, 89, 90, 158, 159, 173, 174 godsdienst ................................................................................................ Zie religie grondslag ....................................................................................................... 14, 172 handhaving ......................................................................................................... 147 herroeping richtlijn ............................................................................................. 166 huishoudelijk gebruik ..................................................................................... 12, 82 identificatie ............................................................................ 19, 25, 29, 56, 91, 124 identificatienummers ........................................................................................... 25 identiteit .................................................................................................... 31, 34, 56 inbreuk ............................................................. 28, 30, 32, 56, 61, 62, 64, 65, 67, 68 informatiebeleid ................................................................................................... 93 informatieplicht .............................................................................................. 93, 94 informatieverstrekking, betrokkene .................................................................... 31 informatieverstrekking, voorafgaande ................................................................ 30 inmenging............................................................................................................. 10 internationale samenwerking ............................................................................ 131 intrekking Wpr ...................................................................................................... 53 kennisgeving ................................................................................................... 67, 68 klachtrecht ............................................... 91, 92, 95, 97, 128, 131, 135, 136, 152, 153 klantrechten ............................................................................................. 91, 92, 97 klantrechten, wijzigen .............................................................................98 klantrechten, wissen................................................................................99 last onder dwangsom ........................................................................................... 47 levensovertuiging ........................................................................................... 18, 19 lichaam, onaantastbaarheid ................................................................................... 7 lidmaatschap vakbond ............................................................................. 18, 89, 90 maatregelen, passende technische en organisatorische .... 17, 32, 62, 83, 105, 107, 109, 119, 156, 173 melding ............................................ 17, 18, 25, 26, 27, 28, 30, 53, 56, 57, 64, 65, 174 melding verwerking .............................................................................................. 27

INDEX

180

meldingsvrijstelling .............................................................................................. 28 meldplicht datalekken .................................................................................... 30, 32 meldplicht, inkennisstelling ..................................................................... 67 minderjarige ........................................................ 14, 34, 72, 85, 88, 89, 92, 101, 173 monitoren ........................................... 82, 103, 107, 113, 117, 121, 128, 132, 147, 160 nadere regels ..................................... 22, 25, 26, 27, 33, 62, 68, 70, 72, 75, 76, 77, 80 natuurlijk persoon ....................................................................... 82, 83, 91, 102, 153 nummerregister........................................................................ 69, 70, 71, 74, 75, 78 ondubbelzinnige toestemming ...................................................................... 14, 50 onevenredige inspanning .................................................................... 24, 31, 33, 35 onrechtmatig of hinderlijk gedrag ........................................................... 18, 23, 29 ontheffing ....................................................................................................... 24, 25 ontvanger ............................................................................. 11, 84, 93, 96, 126, 137 onverenigbaarheid ............................................................................................... 15 onverwijld ........................................................................... 32, 56, 61, 62, 64, 67, 71 openbare elektronische communicatiedienst .................................... 33, 62, 63, 67 openbare veiligheid .................................................................................... 103, 124 overeenkomst....................... 14, 17, 18, 21, 22, 37, 50, 86, 88, 89, 94, 102, 107, 118, 130, 160, 172 overzicht van inbreuken .......................................................................................68 passend beschermingsniveau ....................................................... 49, 50, 51, 52, 58 passend beveiligingsniveau ............................................................................ 17, 62 passende maatregelen ..................................................... 90, 95, 115, 126, 129, 131 passende waarborgen .................................................................................... 15, 24 persoonlijke levenssfeer ................ 7, 15, 23, 24, 25, 32, 51, 56, 61, 62, 63, 64, 73, 79 persoonlijke levenssfeer, eerbiediging .......................................................... 7, 9, 10 persoonsgegevens...........................................................................................11, 83 PIAs Zie Data Protection Impact Assessment politieke gezindheid ....................................................................................... 18, 20 politieke voorkeur .................................................................................................89 Politiewet 2012 ............................................................................................... 12, 60 privacy by default .......................................................... 105, 106, 110, 120, 127, 156 privacy by design .................................................... 105, 110, 115, 120, 127, 156, 175 profilering ....................................... 83, 91, 95, 102, 103, 113, 127, 160, 173, 174, 175 pseudonieme gegevens ....................................................................................... 83 pseudonimisering ............................................................................................... 159 publiekrechtelijke taak ......................................................................................... 15 ras .............................................................................................. 18, 19, 89, 102 rechten en vrijheden van anderen .................................................................. 10, 38 rechten van betrokkene ....................................................................................... 33

INDEX

181

aanvullen ............................................................................................ 34 afschermen ......................................................................................... 34 inzage ............................................................................ 9, 33, 56, 91, 174 verbetering ......................................................................................... 34 verwijdering ..............................................................................34, 91, 93 verzet ........................................................................................... 35, 36, 57, 101 kennisgeving ..................................................32, 33, 35, 36, 57, 61, 62, 64, 72 rechtsbescherming ............................................................................................... 38 redelijke termijn .................................................................................................... 92 register gegevensverwerkingen ........................................................................... 28 reikwijdte ............................................................................................12, 13, 82, 135 materiële reikwijdte .......................................................................... 12, 82 territoriale reikwijdte ......................................................................... 13, 82 religie .............................................................................................. 18,19, 89, 102 risico ............................................................................................................... 113 RNA ................................................................................................................. 84 sancties .......................................................................................................... 47, 155 schadevergoeding ................................................................................................ 40 seksleven ................................................................................................ 18, 89, 102 sociale zekerheid ................................................................................................ 162 spoedprocedure ................................................................................................. 146 standaardisatie ................................................................................................... 164 strafbare feiten ......................................................................... 10, 23, 28, 37, 59, 73 strafrechtelijke gegevens ......................................... 18, 22, 82, 89, 90, 91, 103, 124 strafrechtelijke sancties ......................................................................... Zie sancties toestemming, ondubbelzinnige ................ 11, 84, 86, 88, 89, 90, 99, 100, 102, 130, 158, 159, 160, 163, 164 toezicht ................................................................................................................. 41 toezicht op naleving ............................................................................................. 45 toezichthouder .........................85, 92, 95, 97, 109, 111, 112, 113, 114, 115, 116, 117, 118, 120, 121, 122, 124, 126, 127, 128, 129, 132, 133, 134, 135, 136, 137, 138, 139, 140, 141, 142, 143, 145, 146, 147, 152, 153, 154, 155, 156, 165 uitvoering van een overeenkomst .................................................................. 14, 50 uitvoeringshandelingen ....................................................................... 146, 149, 165 uitzonderingen verbod verwerken ................................................ 19, 20, 21, 22, 58 veiligheid van de staat ..................................................................................... 37, 73 verantwoordelijke........................ 11, 13, 14, 15, 16, 17, 18, 22, 23, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 44, 45, 46, 47, 49, 50, 52, 56, 57, 58, 59, 61, 62, 64, 75, 76, 77

INDEX

182

verantwoordelijke(n) ...................... 11, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 111, 112, 113, 114, 115, 116, 117, 118, 119, 120, 122, 123, 126, 127, 128, 129, 130, 137, 138, 139, 140, 141, 142, 153, 154, 155,156, 157, 164 vergoeding inzagerecht ........................................................................................ 35 verkrijging van gegevens ...................... 15, 22, 30, 31, 32, 44, 55, 56, 61, 64, 65, 172 verplichtingen ................................................................. 16, 17, 18, 47, 63, 71, 72, 75 versleutelde gegevens .......................................................................................... 83 verstrekken ........................................................................................................... 12 vertegenwoordiger ....... 85, 94, 106, 107, 108, 109, 114, 115, 116, 129, 137, 147, 155 verwantschap ....................................................................................................... 15 verwerking ............................. 11, 12, 13, 14, 15, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 41, 42, 45, 46, 49, 50, 51, 52, 53, 56, 57, 58, 61, 62, 63, 64, 65, 77, 79, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98,99, 100, 101, 102, 103, 104, 105, 106, 107, 108, 109, 110, 113, 114, 115, 116, 117, 118, 119, 120, 121, 122, 123, 124, 125, 126, 127, 132, 135, 136, 137, 138, 139, 140, 141, 149, 150, 152, 153, 154, 156, 157, 158, 159, 160, 161, 162, 163, 164, 166, 167, 168, 170, 172, 174 verwerking, niet bovenmatig .................................................................. 16 verwerking, onverenigbare .......................................................... 15, 44, 55 verwerking, ter zake dienend ............................................................ 16, 34 verwerking, toereikend ........................................................................... 16 verzamelen ........................................................................................................... 12 verzoekschriftprocedure ...................................................................................... 39 vitaal belang ...................................................................................... 14, 24, 50, 172 voorafgaand onderzoek .............................................................. 12, 26, 27, 29, 116 voorafgaande melding ......................................................................................... 27 voorzieningen ................................................................ 15, 16, 21, 34, 38, 70, 72, 75 vrijheid van meningsuiting ........................................................................... 99, 157 wederzijdse bijstand ........................................................................................... 139 Wet op de identificatieplicht .......................................................................... 70, 74 wettelijke plicht .............................................................................................. 14, 28 woning ................................................................................................................... 7 zelfstandige last .................................................................................................... 12 zwaarwegend geneeskundig belang.................................................................... 22

Privacy Wetgeving 2015 Incl Voorgestelde Meldplichten, Boetes en Concept Algemene Verordening...

Documents

Transcript of Privacy Wetgeving 2015 Incl Voorgestelde Meldplichten, Boetes en Concept Algemene Verordening...