Upload
dinhthuan
View
217
Download
0
Embed Size (px)
Citation preview
PRIVACY COMPANY
Overzicht
algemene verordening gegevensbescherming
april 2016
www.privacycompany.eu [email protected]
www.privacycompany.eu | 2
Overzicht: Europese algemene verordening gegevensbescherming
Dit is een overzicht van de algemene verordening gegevensbescherming (AVG), ook wel Europese privacy
verordening (EPV) genoemd, opgesteld door Privacy Company. Privacy Company ondersteunt uw
organisatie bij het privacy-compliant maken van uw processen. Wij bieden een breed scala aan diensten;
van advies tot onderwijs. Zo kan uw organisatie voldoen aan wet- en regelgeving op het gebied van privacy
en loopt u niet langer het risico op hoge boetes.
Wij geloven in pragmatische oplossingen die uw medewerkers ook begrijpen. Dus geen ingewikkelde
terminologie of lange juridische verhandelingen. We zetten in op structurele oplossingen, waarbij een
project niet iedere twee jaar volledig herhaald hoeft te worden omdat de resultaten door de tijd achterhaald
zijn. Daarmee bent u ook nog eens goedkoper uit.
De volgende algemene opmerkingen zijn van belang:
- Deze publicatie is slechts een verkort overzicht van de officiële tekst van de AVG. Er kunnen geen
rechten aan deze publicatie worden ontleend.
- Een Privacy Impact Assessment (PIA) wordt in de Nederlandstalige versie van de AVG een
‘gegevensbeschermingseffectbeoordeling’ genoemd. Dit is hetzelfde als een PIA (artikel 35).
- De European Data Protection Board (EDPB) wordt in de Nederlandstalige versie van de AVG het
‘Europees Comité voor gegevensbescherming’ genoemd.
- In de nieuwe tekst van de AVG zijn de termen ‘verantwoordelijke’ en ‘bewerker’ veranderd in
respectievelijk ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Voor de leesbaarheid houden wij
echter vast aan de oorspronkelijk termen ‘verantwoordelijke’ en ‘bewerker’.
Versie 1.3 april 2016. Dit document is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan deze publicatie worden ontleend. Gepubliceerd onder creative commons 4.0 Attribution-NoDerivs, CC BY-ND licentie. Meest recente versie beschikbaar op www.privacycompany.eu.
www.privacycompany.eu | 3
Inhoudsopgave
Hoofdstuk I: Algemene bepalingen ............................................................................................................................. 6
Art. 1 Onderwerp en doelstellingen ........................................................................................................................ 6 Art. 2 Materiële werkingssfeer ................................................................................................................................ 6 Art. 3 Geografisch toepassingsgebied ..................................................................................................................... 6 Art. 4 Definities ........................................................................................................................................................ 6
Hoofdstuk II: Beginselen ............................................................................................................................ 8 Art. 5 Beginselen inzake de verwerking van persoonsgegevens ............................................................................. 8 Art. 6 Rechtmatigheid van de verwerking ............................................................................................................... 9 Art. 7 Voorwaarden voor toestemming .................................................................................................................. 9 Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de
informatiemaatschappij ............................................................................................................................... 9 Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens .................................................................. 9 Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten ..... 10 Art. 11 Verwerking waarvoor identificatie niet is vereist ...................................................................................... 10
Hoofdstuk III: Rechten van de betrokkene ................................................................................................. 10 Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten van de
betrokkene ................................................................................................................................................. 10 Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene .............................. 11 Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene ....................... 11 Art. 15 Recht van inzage ........................................................................................................................................ 12 Art. 16 Recht op rectificatie ................................................................................................................................... 12 Art. 17 Recht op gegevenswissing ("recht op vergetelheid") ................................................................................ 12 Art. 18 Recht op beperking van verwerking .......................................................................................................... 13 Art. 19 Notificatie van rectificatie, uitwissing of beperking .................................................................................. 13 Art. 20 Recht op overdraagbaarheid van persoonsgegevens ................................................................................ 13 Art. 21 Recht van bezwaar/verzet ......................................................................................................................... 14 Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering ........................................................ 14 Art. 23 Beperkingen ............................................................................................................................................... 14
Hoofdstuk IV: De verantwoordelijke en de bewerker .................................................................................. 15 Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke ................................................... 15 Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen ...................................................... 15 Art. 26 Gezamenlijk voor de verwerking verantwoordelijken ............................................................................... 15 Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of
bewerkers ................................................................................................................................................... 16 Art. 28 Bewerker .................................................................................................................................................... 16 Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker ........................................................ 17 Art. 30 Documentatieplicht ................................................................................................................................... 17 Art. 31 Medewerking met de toezichthoudende autoriteit .................................................................................. 18 Art. 32 Beveiligde verwerking ................................................................................................................................ 18 Art. 33 Melden datalek aan de toezichthouder..................................................................................................... 18 Art. 34 Inlichten van betrokkene over datalek ...................................................................................................... 19 Art. 35 Data Protection Impact Assessment (PIA) ................................................................................................. 19 Art. 36 Voorafgaande consultatie .......................................................................................................................... 20 Art. 37 Aanstelling FG ............................................................................................................................................ 20 Art. 38 Positie van de FG ....................................................................................................................................... 21 Art. 39 Taken van de FG ........................................................................................................................................ 21 Art. 40 Gedragscodes ............................................................................................................................................ 21 Art. 41 Toezicht op goedgekeurde gedragscodes ................................................................................................. 22 Art. 42 Certificering ............................................................................................................................................... 22 Art. 43 Certificeringsinstelling en procedure.......................................................................................................... 23
www.privacycompany.eu | 4
Hoofdstuk V: Doorgifte van persoonsgegevens naar derde landen of internationale organisaties ................. 23 Art. 44 Algemeen beginsel inzake doorgiften ....................................................................................................... 23 Art. 45 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt ............................ 24 Verklaard .................................................................................................................................................................. 24 Art. 46 Doorgiften op basis van passende waarborgen ........................................................................................ 24 Art. 47 Doorgiften op grond van bindende bedrijfsvoorschriften ......................................................................... 24 Art. 48 Ongeautoriseerde doorgiften of verstrekkingen ....................................................................................... 25 Art. 49 Afwijkingen voor specifieke situaties ........................................................................................................ 25 Art. 50 Internationale samenwerking voor de bescherming van persoonsgegevens ........................................... 25
Hoofdstuk VI: Onafhankelijke toezichthoudende autoriteiten .................................................................... 25 Art. 51 Toezichthoudende autoriteit ..................................................................................................................... 25 Art. 52 Onafhankelijkheid ...................................................................................................................................... 26 Art. 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit ........................................... 26 Art. 54 Oprichting van de toezichthoudende autoriteit ........................................................................................ 26 Art. 55 Competentie .............................................................................................................................................. 26 Art. 56 Competentie van de hoofdtoezichthouder ............................................................................................... 26 Art. 57 Taken ......................................................................................................................................................... 27 Art. 58 Bevoegdheden ........................................................................................................................................... 27 Art. 59 Activiteitenverslag ..................................................................................................................................... 28 Art. 60 Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken toezichthoudende
autoriteiten ................................................................................................................................................ 28
Hoofdstuk VII: Samenwerking en conformiteit .......................................................................................... 29 Art. 61 Wederzijdse bijstand ................................................................................................................................. 29 Art. 62 Gezamenlijke werkzaamheden van de toezichthouder ............................................................................ 29 Art. 63 Coherentiemechanisme ............................................................................................................................. 29 Art. 64 Advies van het EDPB .................................................................................................................................. 29 Art. 65 Geschilbeslechting door de EDPB .............................................................................................................. 30 Art. 66 Spoedprocedure ........................................................................................................................................ 30 Art. 67 Uitwisseling van informatie ....................................................................................................................... 30 Art. 68 Instelling EDPB ........................................................................................................................................... 30 Art. 69 Onafhankelijkheid EDPB ............................................................................................................................ 31 Art. 70 Taken EDPB ................................................................................................................................................ 31 Art. 71 Jaarlijkse rapportage .................................................................................................................................. 31 Art. 72 Stemprocedure .......................................................................................................................................... 31 Art. 73 Verkiezing voorzitter .................................................................................................................................. 31 Art. 74 Taken voorzitter EDPB ............................................................................................................................... 31 Art. 75 Taken secretariaat ..................................................................................................................................... 31 Art. 76 Geheimhouding EDPB ................................................................................................................................ 31
Hoofdstuk VIII: Beroep, aansprakelijkheid en sancties ............................................................................... 32 Art. 77 Recht een klacht in te dienen bij een toezichthoudende autoriteit .......................................................... 32 Art. 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende autoriteit 32 Art. 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verantwoordelijke of
bewerker .................................................................................................................................................... 32 Art. 80 Vertegenwoordiging van betrokkenen} ..................................................................................................... 32 Art. 81 Opschorting van de procedure .................................................................................................................. 32 Art. 82 Recht op vergoeding en aansprakelijkheid ................................................................................................ 32 Art. 83 Administratieve sancties ............................................................................................................................ 33 Art. 84 Sancties ...................................................................................................................................................... 34
Hoofdstuk IX: Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking .......... 35 Art. 85 Verwerking van persoonsgegevens en vrijheid van meningsuiting ........................................................... 35 Art. 86 verwerken van persoons en publieke toegankelijkheid van officiële documenten .................................. 35 Art. 87 Verwerken van nationaal identificatienummer ......................................................................................... 35 Art. 88 Verwerking in arbeidscontext .................................................................................................................... 35
www.privacycompany.eu | 5
Art. 89 Waarborgen en uitzonderingen voor de verwerking van persoonsgegevens voor archiveringsdoeleinden
met publiek belang of voor wetenschappelijke, historische of statistieke onderzoeksdoeleinden .......... 35 Art. 90 Geheimhoudingsplicht ............................................................................................................................... 36 Art. 91 Bestaande gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen .............. 36
Hoofdstuk X: Gedelegeerde handelingen en uitvoeringshandelingen .......................................................... 36 Art. 92 Uitoefening van de bevoegdheidsdelegatie .............................................................................................. 36 Art. 93 EDPB procedure ......................................................................................................................................... 36
Hoofdstuk XI: Slotbepalingen ................................................................................................................... 37 Art. 94 Intrekking van richtlijn 95/46/EG ............................................................................................................... 37 Art. 95 Verhouding tot richtlijn 2002/58/EG ......................................................................................................... 37 Art. 96 Verhouding tot eerder vastgestelde overeenkomsten .............................................................................. 37 Art. 97 Evaluatie .................................................................................................................................................... 37 Art. 98 Beoordeling van andere EU-instrumenten voor gegevensbescherming ................................................... 37 Art. 99 Inwerkingtreding en toepassing ................................................................................................................ 37
www.privacycompany.eu | 6
Hoofdstuk I: Algemene bepalingen
Art. 1 Onderwerp en doelstellingen
De verordening legt regels vast met betrekking tot de bescherming van natuurlijke personen op het gebied
van persoonsgegevens en het vrij verkeer hiervan.
Vrij verkeer van persoonsgegevens in de Europese Unie (EU) mag niet worden gehinderd of worden
verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met
de verwerking van persoonsgegevens.
Art. 2 Materiële werkingssfeer
De verordening heeft betrekking op het geheel of gedeeltelijk automatisch verwerken van
persoonsgegevens alsmede het verwerken op andere manieren dan geautomatiseerd als deze
persoonsgegevens deel uit maken van een bestand of hiervoor bedoeld zijn.
De verordening ziet niet op verwerkingen die:
Niet onder EU-recht vallen;
door lidstaten gedaan worden met het oog op het gemeenschappelijk buitenlands en
veiligheidsbeleid;
door natuurlijke personen worden gedaan met het oog op puur persoonlijke of huishoudelijke
activiteiten;
door bevoegde autoriteiten gedaan worden voor het voorkomen, onderzoeken, opsporen of
vervolgen van strafbare feiten of de tenuitvoerlegging van straffen.
Op de verwerkingen die door de instellingen, organen en instanties van de EU worden gedaan is
Verordening nr. 45/2001 van toepassing. Verordening nr. 45/2001 beschermt diegenen wier
persoonsgegevens om welke reden dan ook door de communautaire instellingen of organen worden
verwerkt, bijvoorbeeld omdat zij bij deze instellingen of organen EU zijn. Deze verordening en andere EU-
instrumenten die (deels) van toepassing zijn op het verwerken van persoonsgegevens worden aangepast
volgens de regel van artikel 90a.
Deze verordening doet geen afbreuk aan Richtlijn 2000/31/EG, met name de regels in die richtlijn
betreffende de aansprakelijkheid van dienstverleners die als tussenpersoon optreden.
Art. 3 Geografisch toepassingsgebied
Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten
van een vestiging van een verantwoordelijke of een bewerker in de EU, ongeacht of de verwerking in de EU
plaatsvindt of niet. Als een verantwoordelijke of bewerker geen vestiging heeft in de EU geldt de
verordening toch als:
De diensten geleverd worden aan een betrokkene in de EU
De verwerking gerelateerd is aan het observeren van gedrag van een betrokkene in de EU.
De verordening geldt ook voor verantwoordelijken die niet in de EU zijn gevestigd maar die door toepassing
van internationaal recht vallen onder nationaal recht van een lidstaat.
Art. 4 Definities
In artikel 4 worden definities gegeven van veel gebruikte begrippen uit de verordening. Voor de volledige en
juiste definities, raadpleeg de verordening. Dit is slechts een korte uitleg van de definities.
www.privacycompany.eu | 7
"persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke
persoon ("de betrokkene");
"verwerking": elke bewerking of elk geheel van bewerkingen met betrekking tot
persoonsgegevens;
"beperken van de verwerking": het markeren van opgeslagen persoonsgegevens met als doel de
verwerking ervan in de toekomst te beperken;
"profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de
hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden
geëvalueerd;
"pseudonimisering": het verwerken van persoonsgegevens op zodanige wijze dat de gegevens niet
meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens
worden gebruikt;
"bestand": elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria
toegankelijk zijn;
"verantwoordelijke": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of
enig ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de
verwerking van persoonsgegevens vaststelt;
"bewerker": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander
orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt;
"ontvanger": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig
ander orgaan, al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt;
"derde": de natuurlijke persoon of rechtspersoon, de overheidsinstantie, de dienst of enig ander
orgaan, niet zijnde de betrokkene, noch de verantwoordelijke, noch de bewerker, noch de personen
die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd zijn om de
gegevens te verwerken;
"toestemming van de betrokkene": elke vrije, specifieke, op informatie berustende en
ondubbelzinnige wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij
een ondubbelzinnige actieve handeling, aanvaardt dat hem betreffende persoonsgegevens worden
verwerkt;
"inbreuk in verband met persoonsgegevens": een inbreuk op de beveiliging met de vernietiging,
het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot
doorgezonden, opgeslagen of anderszins verwerkte gegevens, tot gevolg;
"genetische gegevens": alle persoonsgegevens met betrekking tot de overgeërfde of verworven
genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de
fysiologie of de gezondheid van die persoon;
"biometrische gegevens": alle persoonsgegevens die het resultaat zijn van een specifieke
technische verwerking met betrekking tot de fysieke, fysiologische of gedragskenmerken van een
persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd
wordt;
"gegevens over gezondheid": persoonsgegevens met betrekking tot de fysieke of mentale
gezondheid van een natuurlijke persoon;
“hoofdvestiging verantwoordelijke”: met betrekking tot een verantwoordelijke die vestigingen
heeft in meer dan één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt;
“hoofdvestiging bewerker”: met betrekking tot een bewerker die vestigingen heeft in meer dan
één lidstaat, de plaats waar zich zijn centrale administratie in de EU bevindt en, wanneer de
bewerker geen centrale administratie in de EU heeft, de vestiging van de bewerker in de EU waar de
voornaamste verwerkingsactiviteiten plaatsvinden;
www.privacycompany.eu | 8
"vertegenwoordiger": elke in de EU gevestigde natuurlijke persoon of rechtspersoon die schriftelijk
door de verantwoordelijke of de bewerker is aangewezen om de verantwoordelijke of de bewerker
te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens deze verordening;
"onderneming": iedere natuurlijke persoon of rechtspersoon die een economische activiteit
uitoefent, ongeacht de rechtsvorm ervan;
"groep van ondernemingen": een onderneming die zeggenschap uitoefent en de ondernemingen
waarover die zeggenschap wordt uitgeoefend;
"bindende bedrijfsvoorschriften": beleid inzake de bescherming van persoonsgegevens dat
verantwoordelijke of bewerker voert met betrekking tot de doorgifte van persoonsgegevens aan
een verantwoordelijke of bewerker in een of meer derde landen binnen een groep van
ondernemingen die al dan niet gezamenlijk een economische activiteit uitoefenen;
"toezichthoudende autoriteit": een door een lidstaat ingestelde onafhankelijke
overheidsinstantie;
"betrokken toezichthoudende autoriteit": een toezichthoudende autoriteit die betrokken is bij de
verwerking:
a) omdat de verantwoordelijke of de bewerker op het grondgebied van de lidstaat van die
toezichthoudende autoriteit gevestigd is;
b) omdat de betrokkenen die in die lidstaat verblijven, door de verwerking wezenlijke gevolgen
ondervinden of waarschijnlijk zullen ondervinden; of
c) omdat bij die toezichthoudende autoriteit een klacht is ingediend
"grensoverschrijdende verwerking van persoonsgegevens": verwerking in het kader van de
activiteiten van vestigingen in meer dan één lidstaat van een verantwoordelijke of een bewerker in
de EU die in meer dan één lidstaat is gevestigd; of verwerking in het kader van de activiteiten van
één vestiging van een verantwoordelijke of van een bewerker in de EU, waardoor in meer dan één
lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.
"internationale organisatie": een organisatie en de daaronder ressorterende internationaal
publiekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een
overeenkomst tussen twee of meer landen.
Hoofdstuk II: Beginselen
Art. 5 Beginselen inzake de verwerking van persoonsgegevens
De verwerking van persoonsgegevens moet aan de volgende eisen voldoen:
Verwerkingen moeten rechtmatig, eerlijk en transparant zijn ten opzichte van de betrokkenen;
Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden worden verzameld;
Persoonsgegevens mogen niet verder worden verwerkt op een met die doeleinden onverenigbare
wijze. Verenigbaar met het oorspronkelijke doel zijn verwerkingen voor archivering, doeleinden van
algemeen belang, wetenschappelijke en historische onderzoeksdoeleinden en statistische
doeleinden;
Persoonsgegevens moeten adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat
minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt;
Persoonsgegevens moeten accuraat en waar nodig up-to-date zijn;
Persoonsgegevens mogen niet langer worden bewaard in een vorm die het mogelijk maakt de
betrokkenen te identificeren dan voor verwezenlijking van de doeleinden waarvoor ze worden
verwerkt, noodzakelijk is. Persoonsgegevens mogen langer worden bewaard voor archivering in het
algemeen belang en voor historische, statistische of wetenschappelijke doeleinden.
www.privacycompany.eu | 9
Persoonsgegevens mogen alleen worden verwerkt op een manier die de veiligheid van de
persoonsgegevens verzekert.
De verantwoordelijke moet kunnen aantonen dat hij zich houdt aan deze beginselen.
Art. 6 Rechtmatigheid van de verwerking
Verwerkingen van persoonsgegevens mogen alleen berusten op de volgende grondslagen:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of
meer specifieke doeleinden;
b) de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is
of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene;
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van verantwoordelijke;
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel
uitmaakt van de uitoefening van het openbaar gezag dat aan de verantwoordelijke is opgedragen;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van
verantwoordelijke. Dit belang moet worden afgewogen tegen het belang van betrokkene.
Wanneer gegevens worden verwerkt door een publieke autoriteit, dan mag de verwerking niet berusten op
de grondslag gerechtvaardigd belang.
Voor c) en e) geldt dat voor de verwerking moet worden voorzien in EU-wetgeving of wetgeving van de
lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Aan de wetgeving van de
lidstaat worden wel eisen gesteld. Zo moet de verwerking in het algemeen belang zijn of noodzakelijk om
de rechten en vrijheden van anderen te beschermen. Bovendien moet de verwerking het recht op
bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel.
Art. 7 Voorwaarden voor toestemming
Als de verwerking berust op toestemming moet de verantwoordelijke kunnen aantonen dat de betrokkene
deze toestemming heeft gegeven. Toestemming mag te allen tijde worden ingetrokken. Intrekken van
toestemming moet even eenvoudig zijn als het geven ervan.
Art. 8 Voorwaarden voor de toestemming van kinderen met betrekking tot diensten van de
informatiemaatschappij
Bij het verwerken van persoonsgegevens in het kader van het aanbieden van een dienst van de
informatiemaatschappij aan een kind jonger dan 16 jaar op basis van toestemming, is dit slechts rechtmatig
indien toestemming of machtiging tot toestemming is verkregen van de persoon die de ouderlijke
verantwoordelijkheid voor het kind draagt. De wet van een lidstaat kan voorzien in een lagere leeftijd, mits
deze niet lager is dan 13 jaar. De verantwoordelijke moet zich redelijk inspannen om te controleren of er
toestemming of machtiging tot toestemming is gegeven.
Art. 9 Verwerking van bijzondere categorieën van persoonsgegevens
Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of
levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van
genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of
gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele
gerichtheid zijn verboden.
www.privacycompany.eu | 10
Verwerkingen van dergelijke bijzondere categorieën van persoonsgegevens zijn echter wel toegestaan
wanneer:
de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven;
de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en rechten op het
gebied van het arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht;
de verwerking noodzakelijk is ter bescherming van de vitale belangen van een natuurlijk persoon
indien deze fysiek of juridisch niet in staat is zijn toestemming te geven;
de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder
winstoogmerk, werkzaam op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied, in het
kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking
uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die
in verband met haar doeleinden regelmatig contact met haar onderhouden, en de
persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden
verstrekt;
de betrokkene de persoonsgegevens kennelijk zelf openbaar heeft gemaakt
de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een
rechtsvordering;
de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang;
de verwerking noodzakelijk is voor doeleinden van preventieve of arbeidsgeneeskunde, voor de
beoordeling van de arbeidsgeschiktheid van de werknemer, medische diagnoses, het verstrekken
van gezondheidszorg of sociale diensten of behandelingen dan wel het beheren van
gezondheidszorgstelsels en -diensten of sociale stelsels en diensten;
de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de
volksgezondheid;
de verwerking noodzakelijk is met het oog op archivering in het algemeen belang, wetenschappelijk
of historisch onderzoek of statistische doeleinden;
Art. 10 Verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare
feiten
Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband
houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid. Ook
mogen deze gegevens verwerkt worden wanneer de verwerking is geautoriseerd door EU-recht of recht van
de lidstaat, mits er passende waarborgen getroffen zijn om de rechten en vrijheden van betrokkenen te
beschermen.
Art. 11 Verwerking waarvoor identificatie niet is vereist
Indien de doeleinden waarvoor een verantwoordelijke persoonsgegevens verwerkt, niet of niet meer
vereisen dat hij een betrokkene identificeert, is hij niet verplicht om, uitsluitend om aan de verordening te
voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te
verwerken.
Hoofdstuk III: Rechten van de betrokkene
Art. 12 Transparante informatie, communicatie en mechanismen voor de uitoefening van de rechten
van de betrokkene
De informatie aan de betrokkene moet in een beknopte, transparante, begrijpelijke en gemakkelijk
toegankelijke vorm worden gepresenteerd.
www.privacycompany.eu | 11
De verantwoordelijke moet de betrokkenen de nodige faciliteiten bieden om zijn rechten uit te kunnen
oefenen. Worden de persoonsgegevens op elektronische wijzen verwerkt, dan moet de betrokkene ook de
mogelijkheid worden geboden om zijn rechten op elektronische wijze uit te oefenen. De verantwoordelijke
kan dan op elektronische wijze de informatie verstrekken.
De verantwoordelijke heeft maximaal een maand de tijd om te reageren op een verzoek van de betrokkene,
met de mogelijkheid van 2 maanden verlenging bij omvangrijke verzoeken. De verantwoordelijke mag in
principe geen kosten in rekening brengen voor het verzoek. Wanneer een dergelijk verzoek kennelijk
ongegrond of buitensporig is mag de verantwoordelijk een redelijke vergoeding vragen of het verzoek
weigeren. Het is aan de verantwoordelijke om aan te tonen dat het verzoek ongegrond of buitensporig is.
Het informeren van de betrokkenen kan plaatsvinden in combinatie met standaardiconen. De Commissie is
bevoegd nadere wetgeving vast te stellen over deze iconen.
Art. 13 Informatieverstrekking wanneer de gegevens worden verzameld bij de betrokkene
Wanneer de persoonsgegevens worden verzameld bij de betrokkenen zelf, moet de betrokkene op het
moment van het verzamelen van deze gegevens worden geïnformeerd over de volgende aspecten:
De identiteit van de verantwoordelijke;
Indien van toepassing, contactgegevens van de Functionaris voor gegevensbescherming (hierna:
FG);
De doeleinden van de verwerking en de grondslag(en);
Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis
van een gerechtvaardigd belang;
De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing);
Het voornemen van doorgifte naar een derde land en geschikte waarborgen
De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn);
Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en
overdraagbaarheid van persoonsgegevens;
Het recht om toestemming in te trekken (indien sprake is van toestemming);
Het recht om een klacht in te dienen bij de bevoegde autoriteit;
Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is, en of de
betrokkene verplicht is de persoonsgegevens te verstrekken en wat de gevolgen van het niet
verstrekken van de persoonsgegevens zijn;
Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter;
Art. 14 Informatieverstrekking wanneer de gegevens niet worden verzameld bij de betrokkene
Wanneer de gegevens niet worden verzameld bij de betrokkene zelf, moet hij/zij worden geïnformeerd over
de volgende aspecten:
De identiteit van de verantwoordelijke;
Indien van toepassing, contactgegevens van de FG;
De doeleinden van de verwerking en de grondslag(en);
De betrokken categorieën persoonsgegevens;
De (categorieën van) ontvangers van de persoonsgegevens (indien van toepassing);
Doorgifte naar een derde land zonder passend beschermingsniveau (indien van toepassing);
De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn);
Een omschrijving van het belang van het verzamelen indien er sprake is van een verwerking op basis
van een gerechtvaardigd belang;
Het bestaan van het recht op inzage, rectificatie, verwijdering, restrictie, verzet en
overdraagbaarheid van persoonsgegevens;
www.privacycompany.eu | 12
Het recht om toestemming in te trekken (indien sprake is van toestemming);
Het recht om een klacht in te dienen bij de bevoegde autoriteit;
De bron van de verzamelde persoonsgegevens en of het gaat om een openbaar toegankelijke bron
(indien van toepassing);
Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter;
Bovenstaande informatie moet uiterlijk binnen een maand na het verkrijgen van de persoonsgegevens aan
de betrokkene worden verstrekt. Worden de persoonsgegevens doorgegeven aan andere ontvangers, dan
moet deze informatie worden verstrekt op het moment van deze doorgifte.
Het informeren van de betrokkene is niet verplicht indien de betrokkene al op de hoogte is van deze
informatie, als het informeren van de betrokkene onmogelijk is of onevenredig veel moeite kost, als de
verkrijging of verstrekking is voor geschreven door EU-wetgeving of nationale wetgeving en voorziet in
passende maatregelen ter bescherming van het gerechtvaardigd belang van de betrokkene, of als de
gegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van EU-wetgeving
of nationale wetgeving.
Art. 15 Recht van inzage
De betrokkene heeft het recht op inzage in de volgende informatie:
De doeleinden van de verwerking;
De categorieën persoonsgegevens waar het om gaat;
De (toekomstige) ontvangers van de persoonsgegevens;
De bewaartermijn van de persoonsgegevens (of de criteria voor het vaststellen van deze termijn);
Het bestaan van het recht op rectificatie, verwijdering, restrictie en verzet;
Het recht om een klacht in te dienen bij de bevoegde autoriteit;
De bron van de verzamelde persoonsgegevens, indien de gegevens niet van de betrokkene zijn
verkregen;
Het bestaan van geautomatiseerde besluitvorming en profilering alsmede de logica hierachter;
Welke passende waarborgen de verantwoordelijke heeft genomen, indien de gegevens worden
verstrekt aan derde landen.
De verantwoordelijke moet een kopie verstrekken van de verwerkte persoonsgegevens. Is het verzoek op
elektronische wijze ingediend, dan dienen de kopieën eveneens in elektronische vorm te worden verstrekt.
Er mag een redelijke bijdrage gevraagd worden als de betrokkene om bijkomende kopieën vraagt. Het recht
op inzage mag geen afbreuk doen aan de rechten en vrijheden van anderen.
Art. 16 Recht op rectificatie
De betrokkene heeft het recht op rectificatie van gegevens als de gegevens onnauwkeurig zijn en het recht
op aanvulling als de gegevens incompleet zijn.
Art. 17 Recht op gegevenswissing ("recht op vergetelheid")
De betrokkene heeft het recht op uitwissing van zijn persoonsgegevens in de volgende gevallen:
De persoonsgegevens zijn niet langer noodzakelijk gelet op het doel waarvoor ze zijn verzameld of
waarvoor ze normaliter zouden zijn verwerkt;
De betrokkene heeft zijn toestemming ingetrokken en er bestaat geen andere grondslag op grond
waarvan de gegevens mogen worden verwerkt;
www.privacycompany.eu | 13
De betrokkene heeft gebruik gemaakt van zijn recht van verzet en er zijn geen zwaarwegende
belangen op grond waarvan de persoonsgegevens nog mogen worden verwerkt;
De gegevens zijn onrechtmatig verwerkt;
EU-wetgeving of nationale wetgeving verplicht tot uitwissing;
De persoonsgegevens zijn verzameld bij het aanbieden van diensten van de informatiemaatschappij
aan kinderen.
Zijn de betreffende gegevens openbaar gemaakt door de verantwoordelijke, dan zal hij alle redelijke
maatregelen nemen om de andere verantwoordelijken te informeren over het uitwissingsverzoek van de
betrokkene zodat alle kopieën en links naar de persoonsgegevens gewist kunnen worden.
Uitwissing is niet geoorloofd als verwerking van persoonsgegevens noodzakelijk is voor:
De vrijheid van meningsuiting;
EU-wetgeving, nationale wetgeving of een publieke taak;
Algemeen belang of algemene gezondheid;
Archiveringsdoeleinden van algemeen belang of statistisch of wetenschappelijk onderzoek;
Rechtszaken.
Art. 18 Recht op beperking van verwerking
De verantwoordelijke moet op verzoek van de betrokkene de verwerking beperken in de volgende gevallen:
De juistheid van de gegevens wordt door de betrokkene in twijfel getrokken. De verantwoordelijke
moet eerst controleren of de gegevens accuraat zijn;
De verwerking is onrechtmatig en de betrokkene verzoekt in plaats van uitwissing om restrictie van
de verwerkingen;
De gegevens zijn niet langer noodzakelijk voor de verwerkingsdoeleinden, maar moeten wel
worden bewaard voor de instelling, uitoefening of verdediging van een rechtsvordering;
De betrokkene heeft een verzoek ingediend met betrekking tot zijn recht op verzet. De
verantwoordelijke moet controleren of daartoe legitieme gronden bestaan.
De persoonsgegevens mogen bij restrictie, afgezien van de opslag ervan, slechts worden verwerkt ten
behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van
een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang. Vóórdat de restrictie
wordt opgeheven, wordt de betrokkene over deze opheffing geïnformeerd.
Art. 19 Notificatie van rectificatie, uitwissing of beperking
De verantwoordelijke dient alle ontvangers aan wie de persoonsgegevens zijn verstrekt op de hoogte te
stellen van de rectificatie, uitwissing of beperking van persoonsgegevens. Dit is niet verplicht als dit
onmogelijk is of onevenredige inspanning kost.
Art. 20 Recht op overdraagbaarheid van persoonsgegevens
Vindt verwerking van persoonsgegevens plaats op automatische wijze, dan moet de verantwoordelijke op
verzoek van de betrokkene een kopie kunnen leveren van de persoonsgegevens die deze van hem verwerkt.
Deze kopie moet worden aangeleverd in een ‘gestructureerde, algemeen gebruikte, leesbare en
interoperabele vorm. Dit recht kan alleen worden uitgeoefend als de verantwoordelijke de gegevens
verwerkt op basis van toestemming of overeenkomst. Waar technisch mogelijk, heeft de betrokkene het
recht om de gegevens rechtstreeks over te laten dragen van de ene naar de andere verantwoordelijke.
Het recht op overdraagbaarheid van persoonsgegevens mag geen inbreuk maken op de rechten van derden.
www.privacycompany.eu | 14
Art. 21 Recht van bezwaar/verzet
De betrokkene heeft het recht om op grond van zijn bijzondere situatie bezwaar te maken tegen
verwerkingen van zijn persoonsgegevens als deze worden verwerkt op basis van gerechtvaardigd belang of
algemeen belang. Dit recht kan niet worden ingeroepen als de verantwoordelijke dwingende legitieme
gronden voor de verwerking aantoont die zwaarder wegen dan die van de betrokkene.
Wanneer persoonsgegevens worden verwerkt voor direct marketing, heeft de betrokkene het recht zich
hiertegen te verzetten. De betrokkene heeft ook het recht om zich te verzetten tegen profilering ten
behoeve van direct marketingdoeleinden. De verantwoordelijke mag de persoonsgegevens dan niet langer
verwerken voor deze doeleinden. De betrokkene kan het recht digitaal uitoefenen in geval van diensten van
de informatiemaatschappij.
Worden persoonsgegevens verwerkt voor wetenschappelijk of statistisch onderzoek, dan mag de
betrokkene eveneens daartegen bezwaar maken op grond van zijn bijzondere situatie. Dit verzoek wordt
niet gehonoreerd bij onderzoeken van algemeen belang.
Art. 22 Geautomatiseerde individuele besluitvorming, inclusief profilering
De betrokkene heeft het recht niet te worden onderworpen aan besluiten waaraan voor hem rechtsgevolgen
zijn verbonden of dat hem in aanmerkelijke mate treft die uitsluitend worden genomen op basis van
geautomatiseerde verwerkingen, waaronder profilering.
Dit uitgangspunt geldt niet indien er voldoende waarborgen zijn getroffen en het besluit:
Noodzakelijk is voor het aangaan of het uitvoeren van een overeenkomst; of
Toegestaan is op grond van nationale wetgeving; of
Is gebaseerd op uitdrukkelijk toestemming van de betrokkene.
Indien één van deze gevallen aan de orde is, mag de besluitvorming niet worden gebaseerd op bijzondere
persoonsgegevens.
Art. 23 Beperkingen
EU-wetgeving en de wetgeving van lidstaten kunnen beperkingen aanbrengen op de hierboven beschreven
rechten van betrokkenen, mits deze noodzakelijk en proportioneel zijn voor het waarborgen voor een van
de volgende doeleinden:
Nationale veiligheid;
Defensie;
Openbare veiligheid;
De voorkoming van, het onderzoek naar en de opsporing en de vervolging van strafbare feiten;
Andere algemene belangen van de EU of van een lidstaat (zoals fiscale aangelegenheden);
Het waarborgen van rechterlijke onafhankelijkheid;
De voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de
beroepscodes voor gereglementeerde beroepen;
Een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit
incidenteel, met de uitoefening van het openbaar gezag, zoals hierboven bedoeld;
Bescherming van de rechten en vrijheden van anderen;
De tenuitvoerlegging van civielrechtelijke vorderingen.
www.privacycompany.eu | 15
De wetgeving moet specifieke bepalingen bevatten over de volgende aspecten:
Het doeleinde van de verwerking of categorieën verwerking;
De categorieën persoonsgegevens;
Het toepassingsgebied van de geïntroduceerde beperking;
De waarborgen tegen misbruik of ongeoorloofde toegang;
De specificatie van de verantwoordelijke of categorieën verantwoordelijken;
De bewaartermijnen en de van toepassing zijnde waarborgen, rekening houdend met de aard, de
omvang en het doel van de verwerking of de categorieën van verwerking;
De risico’s voor de rechten en vrijheden van de betrokkene;
Het recht van betrokkene om geïnformeerd te worden over de beperking, behalve als dit bezwarend
is voor het doel van de beperking.
Hoofdstuk IV: De verantwoordelijke en de bewerker
Art. 24 Verantwoordelijkheden van de voor de verwerking verantwoordelijke
De verantwoordelijke moet passende technische en organisatorische maatregelen nemen zodat de
verwerking van persoonsgegevens gebeurt in overeenstemming met de verordening. De verantwoordelijke
moet bovendien kunnen aantonen dat hij passende maatregelen heeft genomen en hij moet, wanneer
nodig, deze maatregelen actualiseren. Mits proportioneel in relatie tot de verwerking, moet er ook passend
gegevensbeschermingsbeleid aanwezig zijn.
Als onderdeel van het aantonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt
van goedgekeurde gedragscodes of goedgekeurde certificeringsmechanismen.
Art. 25 Gegevensbescherming door ontwerp en door standaardinstellingen
Op de verantwoordelijke rust de plicht om geschikte technische en organisatorische maatregelen, zoals het
pseudonimiseren van persoonsgegevens, toe te passen op het tijdstip van het bepalen van de verwerking
(by design) en op het tijdstip van de verwerking zelf. Om te bepalen of een maatregel geschikt is wordt
gekeken naar de stand van de techniek, de kosten, het risico van de verwerking, en de aard, scope, context
en het doel van de verwerking. Bovendien moeten er maatregelen worden getroffen zodat – by default –
alleen persoonsgegevens verwerkt worden die nodig zijn voor het specifieke doel. Hierbij wordt gekeken
naar de hoeveelheid persoonsgegevens die verzameld worden, in hoeverre deze verwerkt worden, de
bewaartermijn en de toegankelijkheid.
Om aan te tonen dat er passende maatregelen genomen zijn, mag gebruik worden gemaakt van
goedgekeurde certificeringsmechanismen.
Art. 26 Gezamenlijk voor de verwerking verantwoordelijken
Wanneer twee of meer verantwoordelijken tezamen het doel en de middelen van de verwerking bepalen,
zijn zij gezamenlijk verantwoordelijk voor de verwerking. Zij bepalen, op transparante wijze, hun
respectievelijke verantwoordelijkheid in een onderlinge regeling. Met name de rechten van betrokkenen en
hun informatieplicht zijn hierbij belangrijk. In de regeling mag een aanspreekpunt worden aangewezen. Ook
moet de regeling informatie bevatten over de rollen van de verantwoordelijken en de relatie tegenover
betrokkenen. De essentie van de regeling moet voor de betrokkene beschikbaar zijn.
De betrokkene mag zijn rechten echter uitoefenen jegens elke verantwoordelijke.
www.privacycompany.eu | 16
Art. 27 Vertegenwoordigers van niet in de EU gevestigde voor de verwerking verantwoordelijken of
bewerkers
Als de verantwoordelijke of bewerker niet is gevestigd in de EU, maar wel persoonsgegevens verwerkt van
betrokkenen in de EU, dan moet een vertegenwoordiger aan worden gewezen in de EU. Dit hoeft echter
niet als de verwerking (1) incidenteel is en (2) er geen speciale categorieën persoonsgegevens of
persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen op grote schaal worden
verwerkt en (3) het onwaarschijnlijk is dat de verwerking een risico vormt voor de rechten en vrijheden van
natuurlijke personen. Ook hoeft er geen vertegenwoordiger worden aangewezen bij verwerkingen door een
overheidsinstantie of -orgaan.
De vertegenwoordiger moet gevestigd zijn in dezelfde lidstaat waar ook de betrokkenen zich bevinden van
wie de persoonsgegevens in verband met het aanbieden van goederen of diensten worden verwerkt, of
waarvan het gedrag wordt geobserveerd.
De vertegenwoordiger moet een mandaat krijgen om in plaats van of naast de verantwoordelijke en
bewerker aangesproken te kunnen worden over alle zaken die aan de verwerking van persoonsgegevens
gerelateerd zijn (voornamelijk door de toezichthouder en de betrokkenen). Het aanwijzen van een
vertegenwoordiger doet niets af aan de rechtsmiddelen die tegen de verantwoordelijke of bewerker open
staan.
Art. 28 Bewerker
De verantwoordelijke mag alleen gebruikmaken van bewerkers die voldoende garanties kunnen geven om
geschikte technische en organisatorische maatregelen te implementeren zodat verwerkingen in
overeenstemming zijn met de vereisten van de verordening en de rechten van betrokkenen verzekerd zijn.
Zonder een specifieke of algemene autorisatie van verantwoordelijke mag er geen sub-bewerker worden
aangesteld. In het geval van een algemene autorisatie moet de verantwoordelijke worden ingelicht bij het
voornemen om een sub-bewerker te vervangen of nieuw aan te stellen, om de verantwoordelijke de kans te
geven dit te verwerpen.
Er moet een bewerkersovereenkomst (schriftelijk, waaronder elektronisch) worden gesloten die de
bewerker aan de verantwoordelijke bindt. Deze overeenkomst bevat het onderwerp, de duur, de aard, het
doel van de verwerking, het type persoonsgegeven, de categorieën betrokkenen, de rechten en plichten van
verantwoordelijke, en de volgende eisen voor de bewerker:
a) Persoonsgegevens mogen alleen verwerkt worden volgens de gedocumenteerde instructies van de
verantwoordelijke, zeker bij doorgifte naar derde landen of internationale organisaties, behalve als de
doorgifte verplicht wordt door EU-wetgeving of de wetgeving van lidstaten van de bewerker. In het
laatste geval zal de bewerker hierover informeren, behalve als dit niet mag volgens diezelfde wet op basis
van een belangrijke grond van algemeen belang;
b) Alle personen die geautoriseerd zijn om de persoonsgegevens te verwerken, hebben verplicht
vertrouwelijkheid in acht te nemen of moeten door een wettelijke verplichting aan vertrouwelijkheid
gebonden zijn;
c) Alle voorzorgsmaatregelen met betrekking tot beveiliging van persoonsgegevens moeten zijn genomen;
d) De eisen voor sub-bewerkers moeten gerespecteerd worden;
e) De bewerker moet het mogelijk maken (organisatorische en technische maatregelen) voor de
verantwoordelijke om aan diens verplichtingen met betrekking tot de rechten van betrokkenen te
voldoen;
f) De bewerker moet de verantwoordelijke assisteren bij het naleven van de verplichtingen met betrekking
tot beveiliging van persoonsgegevens, datalekken en Privacy Impact Assessments;
www.privacycompany.eu | 17
g) De bewerker moet bij beëindiging van diensten op het gebied van verwerkingen van persoonsgegevens
alle persoonsgegevens wissen of teruggeven aan de verantwoordelijke en nog bestaande kopieën
wissen, behalve als EU-recht of het recht van de lidstaat verplicht tot het bewaren van deze
persoonsgegevens;
h) De bewerker moet alle informatie met betrekking tot dit artikel beschikbaar maken aan
verantwoordelijke en audits en inspecties door de verantwoordelijke of gemandateerde auditor toestaan
en hieraan meewerken. Indien een instructie, volgens de bewerker, tegen de verordening, EU-recht of
recht van de lidstaat ingaat, moet de bewerker onmiddellijk de verantwoordelijke op de hoogte stellen.
In een contract met een sub-bewerker moeten dezelfde verplichtingen gelden als die uit de
bewerkersovereenkomst tussen verantwoordelijke en bewerker. Als de sub-bewerker zijn verplichtingen tot
gegevensbescherming niet nakomt, zal de bewerker volledig aansprakelijk zijn jegens de verantwoordelijke.
Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan door de bewerker
gebruikt worden om aan te tonen dat het bovenstaande garanties biedt.
De bewerkersovereenkomst mag, geheel of gedeeltelijk, gestoeld worden op model contractbepalingen die
door de Europese Commissie of door de toezichthouder zijn opgesteld. De Europese Commissie moet voor
het maken van deze standaard contractclausules wel een onderzoeksprocedure in acht nemen. De
toezichthouder moet hiervoor het consistentieprincipe in acht nemen.
Als een bewerker in strijd met de verordening het doel en de middelen van de verwerking vaststelt, wordt
hij geacht de verantwoordelijke te zijn.
Art. 29 Verwerking onder gezag van de verantwoordelijke en de bewerker
De bewerker en elke persoon onder gezag van de verantwoordelijke of bewerker die toegang heeft tot
persoonsgegevens, mag deze niet verwerken behalve na instructie van de verantwoordelijke of als dit
verplicht wordt door EU-recht of het recht van lidstaat.
Art. 30 Documentatieplicht
Bedrijven moeten een administratie bijhouden met alle verwerkingsactiviteiten. Deze moet beschikbaar
gemaakt worden aan de toezichthouder als hij daar om vraagt. De documentatieplicht vervalt voor
bedrijven met minder dan 250 werknemers behalve wanneer (1) de verwerkingen een risico vormen voor de
rechten en vrijheden van betrokkenen, (2) het verwerken niet incidenteel is 0f (3) er speciale categorieën
persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen
verwerkt worden.
Documentatieplicht verantwoordelijke Elke verantwoordelijke en - indien aanwezig - vertegenwoordiger houdt een administratie (schriftelijk of
elektronisch) bij met alle verwerkingsactiviteiten onder zijn verantwoordelijkheid. Deze administratie bevat
de volgende informatie:
a) Naam en contactgegevens van verantwoordelijke (en - indien aanwezig - joint controller,
vertegenwoordiger, en FG);
b) Doel van de verwerking;
c) Beschrijving van categorieën betrokkenen en persoonsgegevens;
d) De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of zullen worden,
inclusief ontvangers in derde landen;
e) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;
f) Indien mogelijk: voorgenomen bewaartermijnen;
www.privacycompany.eu | 18
g) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligings-
maatregelen.
Documentatieplicht bewerker
Elke bewerker, en - indien aanwezig - vertegenwoordiger, houdt een administratie (schriftelijk en
elektronisch) bij met alle verwerkingsactiviteiten die hij uitvoert namens de verantwoordelijke. Deze
administratie bevat de volgende informatie:
a) Naam en contactgegevens van bewerker en van elke verantwoordelijke namens wie de bewerker
optreedt (en - indien aanwezig – van vertegenwoordiger, en FG);
b) De categorieën verwerkingen uitgevoerd namens elke verantwoordelijke;
c) Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;
d) Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiliging-
smaatregelen.
Art. 31 Medewerking met de toezichthoudende autoriteit
Elke verantwoordelijke en bewerker, en indien aanwezig vertegenwoordiger, zal medewerking verlenen aan
de toezichthouder bij het uitoefenen van de taken van de toezichthouder.
Art. 32 Beveiligde verwerking
Passende technische en organisatorische beveiligingsmaatregelen moeten worden genomen om een
beveiligingsniveau te waarborgen dat passend is voor het risico. Hierbij moet rekening gehouden worden
met de stand van de techniek, kosten van implementatie, de aard, reikwijdte, context en doeleinden van de
verwerking en de risico’s en impact op de rechten en vrijheden van individuen.
Daarbij moeten o.a. de volgende maatregelen, indien passend, worden genomen:
Pseudonimiseren en encryptie van persoonsgegevens;
Verzekeren van de geheimhouding, integriteit en beschikbaarheid van persoonsgegevens;
De mogelijkheid om gegevens te herstellen bij fysieke of technische incidenten;
Maatregelen regelmatig testen en evalueren.
Een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme kan gebruikt worden om
aan te tonen dat voldaan wordt aan de hierboven beschreven verplichtingen.
Art. 33 Melden datalek aan de toezichthouder
De verantwoordelijke meldt onverwijld, of ten minste 72 uur na ontdekking, een datalek aan de bevoegde
toezichthouder, tenzij het datalek vermoedelijk geen inbreuk vormt op de rechten en vrijheden van
individuen. De melding moet zijn voorzien van een redelijke verklaring in het geval het niet is gelukt de
melding te doen binnen 72 uur.
De bewerker meldt een datalek onverwijld aan de verantwoordelijke. De melding moet ten minste de
volgende elementen bevatten:
De aard van het datalek, incl. welke groepen betrokkenen getroffen zijn, indicatie van het aantal betrokkenen, de soort gegevens en een indicatie van het aantal gegevens;
De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen;
De (te verwachten) consequenties van het datalek;
Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken.
www.privacycompany.eu | 19
Als het niet mogelijk is om alle informatie ineens te geven, mag dit zonder onnodige vertraging in fasen.
De verantwoordelijke documenteert alle datalekken. Dit overzicht bevat ten minste de feiten van het
datalek, de gevolgen ervan en de maatregelen die zijn genomen om verdere schade te voorkomen. De
documentatie moet het voor de toezichthouder mogelijk maken om na te gaan in hoeverre de
verantwoordelijke compliant is met dit artikel.
Art. 34 Inlichten van betrokkene over datalek
Betrokkenen moeten onverwijld door de verantwoordelijke van het datalek op de hoogte worden gebracht
indien het waarschijnlijk is dat het datalek een hoog risico vormt voor de rechten en vrijheden van de
betrokkene.
De melding aan betrokkene moet duidelijk de aard van het datalek beschrijven en ten minste de volgende
onderdelen bevatten:
De naam en contactgegevens van de FG of andere contactpersoon waar meer informatie kan worden verkregen;
De (te verwachten) consequenties van het datalek;
Een beschrijving van maatregelen die door de getroffenen zouden moeten worden genomen en (andere) mogelijkheden om schade te beperken.
Betrokkene hoeft niet te worden geïnformeerd als:
De verantwoordelijke passende technische en organisatorische beveiligingsmaatregelen heeft genomen en deze maatregelen ervoor zorgen dat de gelekte gegevens onbruikbaar zijn voor personen die niet geautoriseerd zijn, zoals d.m.v. encryptie;
De verantwoordelijke maatregelen heeft genomen die ervoor hebben gezorgd dat de eerder beschreven risico’s voor betrokkenen zich niet voor kunnen doen;
Het voor de verantwoordelijke een onevenredige last is om betrokkenen te informeren. In dit geval moet er een publieke mededeling worden gedaan of op andere, net zo effectieve wijze worden gecommuniceerd.
De toezichthouder kan de verantwoordelijke verplichten de mededeling aan betrokkene alsnog te doen,
indien de verantwoordelijk dit (nog) niet heeft gedaan en de toezichthouder van mening is dat het datalek
ernstige gevolgen kan hebben voor de betrokkene. De toezichthouder kan ook bepalen dat aan een van de
gronden voor niet-hoeven-melden is voldaan.
Art. 35 Data Protection Impact Assessment (PIA)
Wanneer een verwerking een verhoogd risico voor de rechten en vrijheden van individuen vormt, moet de
verantwoordelijke, voorafgaand aan de verwerking, een Privacy Impact Assessment (PIA) uitvoeren. Indien
er een FG is aangesteld, wordt deze geconsulteerd.
In de volgende gevallen zal in ieder geval een PIA worden uitgevoerd:
a) Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, gebaseerd op een geautomatiseerde verwerking (incl. profilering) en op grond waarvan besluiten met rechtsgevolgen worden genomen of die op andere wijze significante gevolgen heeft voor een natuurlijk persoon;
b) Het op grote schaal verwerken van bijzondere of strafrechtelijke persoonsgegevens; c) Het stelselmatig en grootschalig monitoren van openbaar toegankelijke ruimten; d) Wanneer de verwerking op de lijst van de toezichthouder voorkomt. Deze lijst wordt in samenspraak met
de andere Europese toezichthouders vastgesteld t.b.v. de consistente uitleg van de verordening.
www.privacycompany.eu | 20
Een PIA bevat ten minste:
Een beschrijving van de voorziene verwerkingen en de doelen die daarmee gediend zijn, inclusief een eventueel gerechtvaardigd belang,
Een beoordeling van de noodzakelijkheid en proportionaliteit in verhouding tot de doelen van de verwerking,
Een beoordeling van de risico’s voor de rechten en vrijheden van de betrokkenen,
De v00rgen0men maatregelen om deze risico’s te adresseren en om compliance met de verordening aan te tonen.
Voldoen aan een goedgekeurde gedragscode wordt in aanmerking genomen bij de beoordeling.
De verantwoordelijke vraagt in voorkomende gevallen de betrokkenen of hun vertegenwoordigers naar hun
mening over de voorgenomen verwerking.
Wanneer een verwerking gebaseerd is op een wettelijke plicht of publiek(rechtelijk)e taak die zijn grondslag
vindt in EU-wetgeving of de wetgeving van lidstaten en er reeds als onderdeel van een algemene
effectbeoordeling in het kader van de vaststelling van deze rechtsgrond een PIA is uitgevoerd, hoeft er niet
nogmaals een PIA te worden uitgevoerd.
Wanneer nodig - in ieder geval wanneer het risico verandert - zal de verantwoordelijke moeten beoordelen
of de verwerking in overeenstemming met de PIA geschiedt.
Art. 36 Voorafgaande consultatie
De verantwoordelijke dient de toezichthouder te consulteren over de verwerking, wanneer de betreffende
PIA wijst op hoge risico’s, indien geen maatregelen worden genomen ter beperking van deze risico’s. De
toezichthouder adviseert binnen acht, maximaal veertien, weken wanneer zij de verwerking niet in
overeenstemming met de verordening acht.
De verantwoordelijke dient in geval van consultatie de volgende informatie aan de toezichthouder te
verstrekken:
De verdeling van verantwoordelijkheden tussen (mede)verantwoordelijken en bewerkers;
Doel en middelen van de verwerking;
Maatregelen en waarborgen ter bescherming van de rechten en verantwoordelijkheden van betrokkenen;
Contactinformatie van de FG;
De PIA;
De wetgever dient de toezichthouder te consulteren over wetsvoorstellen die betrekking hebben op de
verwerking van persoonsgegevens. De wet van een lidstaat mag bepalen dat de verantwoordelijke die
gegevens verwerkt voor de goede vervulling van een publiek(rechtelijk)e taak, de toezichthouder dient te
consulteren over deze verwerking en 0m autorisatie dient te vragen.
Art. 37 Aanstelling FG
In de volgende gevallen moet er verplicht een FG worden aangesteld:
a) Als de verwerking door een publiek orgaan uitgevoerd wordt (behalve rechtbanken). b) Als de aard van de verwerking (soort gegevens, reikwijdte, doel, grootschalige monitoring van
betrokkenen) hiertoe aanleiding geeft. c) In geval van grootschalige verwerking van bijzondere gegevens.
www.privacycompany.eu | 21
Een groep van ondernemingen mag één FG aanstellen mits deze voor medewerkers van alle ondernemingen
goed bereikbaar is. Publieke organen mogen gezamenlijk één FG aanstellen met inachtneming van hun
grootte en structuur. In andere gevallen kan bij EU-wetgeving of wetgeving van de lidstaat bepaald worden
dat een FG aangesteld moet worden.
De FG wordt aangesteld op basis van zijn professionele capaciteiten en expertise op het gebied van
gegevensbeschermingsrecht en de praktijk. Een FG mag zowel in vaste dienst zijn als van een externe
organisatie worden ingehuurd.
De verantwoordelijke of bewerker maakt de contactgegevens van de FG bekend en deelt die mee aan de
toezichthoudende autoriteit.
Art. 38 Positie van de FG
De FG moet bij relevante zaken betrokken worden door de verantwoordelijke of bewerker. De
verantwoordelijke of bewerker ondersteunen de FG bij het uitvoeren van zijn taken.
Betrokkenen kunnen de FG rechtstreeks raadplegen over de verwerking van hun gegevens en de
uitoefening van hun rechten.
De verantwoordelijke of bewerker zorgt dat de FG geen uitvoeringsinstructies zal ontvangen, of op
grond van de taakuitvoering kan worden ontslagen of beboet. De FG rapporteert aan het hoogste
managementniveau. De FG is gebonden aan geheimhouding, voor zover in overstemming met het
recht van lidstaat. De FG mag andere taken vervullen, zolang deze geen belangenverstrengeling
opleveren.
Art. 39 Taken van de FG
De FG heeft ten minste de volgende taken:
Informeren en adviseren van verantwoordelijke, bewerker en medewerkers die persoonsgegevens verwerken;
Compliance monitoring, toewijzen van verantwoordelijkheden, awareness, training en auditbegeleiding;
Op verzoek adviseren over PIA’s en de uitvoering daarvan monitoren;
Samenwerken met en aanspreekpunt zijn voor de toezichthouder. De FG houdt bij de uitvoering van zijn taken rekening met de risico’s van de verwerking gezien de aard,
reikwijdte, context en doel van de verwerking.
Art. 40 Gedragscodes
De lidstaten, de toezichthoudende autoriteiten, de EDPB en de Europese Commissie bevorderen de
opstelling van gedragscodes. Verenigingen en andere organen die categorieën van verantwoordelijken of
bewerkers vertegenwoordigen mogen codes voorstellen of wijzigen, om de verordening meer specifiek uit
te werken, zoals in het geval van:
a) eerlijke en transparante verwerking;
b) gerechtvaardigd belang;
c) gegevensverzameling;
d) pseudonimisering;
e) informatieverstrekking;
f) uitoefenen van rechten van betrokkenen;
g) bescherming van kinderen;
h) beveiliging;
www.privacycompany.eu | 22
i) datalekken;
j) internationale gegevensoverdracht;
k) buitengerechtelijke procedures en geschiloplossing.
De gedragscode bevat mechanismen die het uitvoeren van verplichte compliance monitoring mogelijk
maken.
Gedragscodes worden ter goedkeuring overlegd aan de toezichthouder. Wanneer de gedragscode is
goedgekeurd en geen betrekking heeft op activiteiten in verschillende lidstaten, zal de toezichthouder de
code registreren en publiceren. Wanneer de gedragscode op verwerkingen in meerdere lidstaten ziet, zal de
toezichthouder voorafgaand aan het verlenen van toepassing de code voorleggen aan de EDPB. Wanneer
de EDPB een goedkeuring voorziet, wordt deze mening voorgelegd aan de Europese Commissie. De
Europese Commissie kan gedragscodes via een onderzoeksprocedure goedkeuren. De Europese Commissie
publiceert de goedgekeurde codes. De EDPB verzamelt alle goedgekeurde gedragscodes in een register en
maakt deze openbaar.
Art. 41 Toezicht op goedgekeurde gedragscodes
Een door de toezichthouder geaccrediteerde organisatie met voldoende expertise kan gedragscodes
monitoren. Accreditatie vindt plaats indien:
a) De organisatie aantoonbaar onafhankelijk is en expertise heeft in het werkveld van de gedragscode;
b) Procedures zijn opgesteld om te controleren of de betrokken verantwoordelijken en bewerkers in
aanmerking kunnen komen voor gedragscodes, om de naleving te controleren en deze periodiek te
controleren;
c) Procedures zijn opgesteld waarin is vastgelegd hoe om wordt gegaan met (klachten over) inbreuken op
de gedragscode of over de wijze waarop de gedragscode is geïmplementeerd
d) De organisatie kan aantonen dat er geen sprake is van een belangenconflict
De toezichthouder zal de concept-criteria voor accreditatie overleggen aan de EDPB. De toezichthoudende
instantie zal actie ondernemen in geval van inbreuk op een gedragscode en kan de betrokken organisatie
uit sluiten van die gedragscode. Deze toezichthoudende instantie zal de toezichthouder inlichten over deze
maatregelen en de reden daarvoor. Het verwerken van persoonsgegevens door overheidsorganen kan niet
worden gemonitord door een toezichthoudende instantie.
Art. 42 Certificering
Op EU niveau wordt een certificeringsmechanisme en een systeem over gegevensbeschermingszegels en –
merktekens ingesteld om aan te tonen dat de betrokken organisatie of persoon handelt in
overeenstemming met de verordening. Er wordt daarbij rekening gehouden met de specifieke kenmerken
van het MKB. De mechanismen, zegels en merktekens kunnen ook worden gebruikt om aan te tonen dat er
passende maatregelen zijn genomen door verantwoordelijken en bewerkers die niet onder de verordening
vallen. Hierover worden bindende afspraken gemaakt.
Certificering is vrijwillig en transparant en doet niet af aan de plicht om te handelen in overeenstemming
met de verordening, noch aan de bevoegdheden van de toezichthouder. Een certificaat wordt toegekend
door de toezichthouder of een organisatie met voldoende expertise op het gebied van gegevens-
bescherming, op basis van criteria die zijn goedgekeurd door de toezichthouder of de EDPB zelf. In het
laatste geval wordt een ‘Europees gegevensbeschermingszegel’ toegekend. Om in aanmerking te komen
voor certificering moet alle noodzakelijke informatie worden verstrekt en toegang worden verschaft tot de
verwerkingsactiviteiten.
www.privacycompany.eu | 23
Het certificaat is voor maximaal 3 jaar geldig en kan onder dezelfde voorwaarden worden verlengd. Het
wordt ingetrokken als niet langer aan de voorwaarden is voldaan. Het EDPB zal alle gecertificeerde
instanties in een register bijhouden en openbaar maken.
Art. 43 Certificeringsinstelling en procedure
De certificering kan, na overleg met de toezichthouder, worden toegekend en vernieuwd door een
certificeringsinstelling met voldoende expertise op het gebied van gegevensbescherming. De lidstaten
moeten aangeven of deze instellingen zijn geaccrediteerd door de toezichthouder of een orgaan in de zin
van de Verordening 765/2008. In Verordening 765/2008 wordt voor het eerst een aantal algemene
beginselen en vereisten – die overeenkomen met internationale ISO/IEC normen – voor de nationale
accreditatie-instanties geïntroduceerd. Het doel is om accreditatie te verscherpen als laatste controleniveau
binnen het conformiteitsbeoordelingssysteem en om het vertrouwen in de resultaten van conformiteits-
beoordeling te verbeteren.
De accreditatie van de certificeringsinstelling vindt alleen plaats als:
a) De instelling aantoonbaar onafhankelijk is en expertise heeft in het werkveld van de gedragscode.
b) De instelling heeft stappen ondernomen om te voldoen aan de verordening en is goedgekeurd door de
toezichthouder of de EDPB.
c) Procedures heeft opgesteld voor toekenning, periodieke controle en intrekking van het certificaat.
d) Procedures zijn vastgesteld waarin is vastgelegd hoe om wordt gegaan met (klachten over) inbreuken op
de certificering of over de wijze waarop de certificering is geïmplementeerd.
e) De instelling kan aantonen dat er geen sprake is van een belangenconflict.
De accreditatie vindt plaats aan de hand van criteria die zijn goedgekeurd door de toezichthouder of de
EDPB. De certificeringsinstelling is verantwoordelijk voor de beoordelingsprocedure voor het toekennen of
intrekken van de certificering. De accreditatie wordt verleend voor maximaal 5 jaar en kan onder dezelfde
voorwaarden worden verlengd, zolang de organisatie aan de eisen voldoet. De criteria op grond waarvan
accreditatie plaatsvindt worden gepubliceerd door de toezichthouder en worden eveneens doorgegeven
aan de EDPB. De EDPB zal alle certificeringsmechanismen en ‘Europees gegevensbeschermingszegel’ in
een register bijhouden en openbaar maken.
De certificeringsinstelling zal de toezichthouder inlichten over de reden voor toewijzing of intrekking van de
certificering. De accreditatie wordt ingetrokken als niet langer wordt voldaan aan de voorwaarden voor
accreditatie.
De Commissie kan nadere eisen stellen over de certificeringsmechanismen en technische standaarden
vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels.
Hoofdstuk V: Doorgifte van persoonsgegevens naar derde landen of internationale
organisaties
Art. 44 Algemeen beginsel inzake doorgiften
Alle doorgiften van persoonsgegevens die verwerkt worden of bedoeld zijn om verwerkt te worden in een
derde land of bij een internationale organisatie, moeten aan alle voorwaarden van dit hoofdstuk voldoen.
www.privacycompany.eu | 24
Art. 45 Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt
verklaard
‘Adequacy decision’: Doorgifte naar een derde land mag plaatsvinden als er een besluit is van de Europese
Commissie is, waarin is bepaald dat verstrekkingen aan een bepaald land of gebied toegestaan zijn.
Hierbij wordt rekening gehouden met geldend recht, respect voor mensenrechten en fundamentele
vrijheden, publieke veiligheid, strafrecht, toegang tot persoonsgegevens door publieke autoriteiten,
gegevensbeschermingsrecht en beveiliging van informatie. Ook wordt er gekeken naar de aanwezigheid
van een toezichthoudend orgaan dat effectief toezicht houdt.
Elke vier jaar wordt opnieuw gekeken of het derde land nog steeds adequate bescherming biedt.
Art. 46 Doorgiften op basis van passende waarborgen
Zonder bovenstaande ‘Adequacy decision’ is doorgifte alsnog toegestaan mits er voldoende passende
waarborgen zijn. Deze waarborgen kunnen worden geboden door de volgende instrumenten:
1. Zonder voorafgaande toestemming van de toezichthouder:
a) Een juridisch bindende regeling tussen overheidsorganen
b) Bindende bedrijfsvoorschriften
c) Standaard modelbepalingen
d) Een goedgekeurde gedragscode
e) Een goedgekeurd certificatiemechanisme
2. Met voorafgaande toestemming van de toezichthouder:
a) Contractsbepalingen tussen verantwoordelijke en bewerker in het derde land
b) Bepalingen in administratieve regelingen tussen overheidsorganen
Art. 47 Doorgiften op grond van bindende bedrijfsvoorschriften
Bindende bedrijfsvoorschriften zijn bindende regels die gelden voor een hele groep ondernemingen die een
gezamenlijke economische activiteit uit voeren. Deze bindende bedrijfsvoorschriften verlenen afdwingbare
rechten voor betrokkenen met betrekking tot verwerkingen van hun persoonsgegevens. De bindende
bedrijfsvoorschriften moeten het volgende bevatten:
a) De structuur en contactinformatie van de groep ondernemingen en elke onderneming apart;
b) De doorgifte, inclusief categorieën persoonsgegevens, type verwerking en het doel, type betrokkenen
en naar welke derde landen doorgifte plaatsvindt;
c) De juridisch bindende aard van de bindende bedrijfsvoorschriften, zowel extern als intern;
d) De toepassing van de algemene beginselen inzake gegevensbescherming;
e) De rechten van betrokkenen;
f) De acceptatie van aansprakelijkheid door een verantwoordelijke of bewerker, gevestigd in de EU, voor
het overtreden van de bindende bedrijfsvoorschriften door een groepslid dat niet gevestigd is in de EU;
g) Hoe de informatie over de Bindende bedrijfsvoorschriften beschikbaar gesteld wordt aan betrokkenen;
h) De taken van de FG;
i) De klachtenprocedure;
j) De mechanismen in de groep om compliance met de bindende bedrijfsvoorschriften te garanderen;
k) De mechanismen voor het rapporteren en doorvoeren van veranderingen in de bindende
bedrijfsvoorschriften en het doorgeven van deze veranderingen aan de toezichthouder;
l) De coöperatiemechanismen met de toezichthouder om compliance door elk lid van de groep te
verzekeren;
www.privacycompany.eu | 25
m) De mechanismen om te rapporteren aan welke wettelijke eisen een groepslid in een derde land moet
voldoen, die waarschijnlijk een wezenlijk nadelig effect kunnen hebben op de garanties van de bindende
bedrijfsvoorschriften;
n) Geschikte training voor het personeel dat toegang heeft tot persoonsgegevens.
Art. 48 Ongeautoriseerde doorgiften of verstrekkingen
Als rechterlijke uitspraken in derde landen verplichten tot de doorgifte van persoonsgegevens, dan mag de
verantwoordelijke deze persoonsgegevens alleen doorgeven als daar internationale afspraken zoals een
verdrag inzake wederzijdse rechtsbijstand over zijn gesloten.
Art. 49 Afwijkingen voor specifieke situaties
Wanneer voor een land geen adequacy decision is afgegeven en wanneer er geen bindende
bedrijfsvoorschriften zijn om voldoende bescherming te bieden, mag doorgifte van persoonsgegevens
alleen plaats vinden mits:
a) De betrokkene uitdrukkelijk toestemming voor de doorgifte heeft gegeven, of;
b) De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst, of;
c) De doorgifte noodzakelijk is voor een gewichtige reden van algemeen belang, of;
d) De doorgifte noodzakelijk is voor de instelling, uitoefening of verdediging van een rechtsvordering;
e) De doorgifte noodzakelijk is voor een vitaal belang van de betrokkene.
f) De doorgifte is verricht vanuit een register dat op grond van EU wetgeving of wetgeving van lidstaten is
bedoeld om het publiek voor te lichten;
g) De doorgifte niet op bovenstaande situaties berust en de doorgifte niet repetitief is, een beperkt aantal
betrokkenen betreft, noodzakelijk is voor dwingende gerechtvaardigde belangen van de
verantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de
betrokkene. In dit geval moet de verantwoordelijke de toezichthouder en de betrokkene hierover
informeren.
Art. 50 Internationale samenwerking voor de bescherming van persoonsgegevens
De Europese Commissie en toezichthouders moeten stappen nemen om internationale samenwerking te
bevorderen. Dit doen zij onder andere door procedures te ontwikkelen voor internationale samenwerking,
internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving, belanghebbenden te
betrekken bij samenwerking en de uitwisseling en het documenteren van wetgeving en praktijken.
Hoofdstuk VI: Onafhankelijke toezichthoudende autoriteiten
Art. 51 Toezichthoudende autoriteit
Iedere lidstaat zal zorgen voor één of meer toezichthoudende autoriteiten (toezichthouders), belast met het
handhaven van de verordening.
De Europese toezichthouders werken samen teneinde de verordening eenduidig toe te passen. Lidstaten
worden slechts door één toezichthouder vertegenwoordigd in deze samenwerkingsverbanden. Lidstaten
stellen de (Europese) Commissie op de hoogte van voorzieningen die in het kader van dit hoofdstuk worden
getroffen.
www.privacycompany.eu | 26
Art. 52 Onafhankelijkheid
Toezichthouders voeren hun taken uit in volledige onafhankelijkheid. Leden van de toezichthouder voeren
hun taken uit zonder door externen beïnvloed te worden en onthouden zich van gedrag dat niet verenigbaar
is met hun taken. Lidstaten garanderen dat de toezichthouder:
voorzien is van de nodige menselijke, technische en financiële middelen, onderkomen en infrastructuur om hun taken effectief uit te voeren;
zijn eigen personeel kiest;
niet in zijn onafhankelijkheid geschaad wordt door het financiële beleid. De toezichthouder zal voorzien worden van een apart, openbaar, jaarlijks budget.
Art. 53 Algemene voorwaarden voor de leden van de toezichthoudende autoriteit
Lidstaten garanderen dat de leden van de toezichthouder doormiddel van een transparante procedure
worden aangesteld door ofwel:
het parlement,
de regering,
het staatshoofd,
een onafhankelijk orgaan, bij wet ingesteld. Leden van de toezichthouder zullen de juiste kwalificaties, ervaring en vaardigheden hebben die vereist zijn
om hun taak naar behoren uit te oefenen. De taken van de leden eindigen door het verstrijken van de
ambtstermijn, bij ontslag of verplichte pensionering (overeenkomstig de verordening). Leden kunnen alleen
uit hun taak ontheven worden in geval van ernstig wangedrag of wanneer niet langer aan de voorwaarden
voor uitvoering van de taak wordt voldaan.
Art. 54 Oprichting van de toezichthoudende autoriteit
Iedere lidstaat zal het volgende bij wet voorzien:
de oprichting van een toezichthouder;
de kwalificaties, de ervaring en de vaardigheden die nodig zijn om als lid te worden benoemd;
de regels en procedures voor het aanstellen van leden van de toezichthouder (hierna: de leden);
de ambtstermijn van de leden;
of de leden opnieuw kunnen worden benoemd;
de voorwaarden in verband met de plichten van het lid en de procedures voor de beëindiging van de taken van de leden.
De leden betrachten geheimhouding, zowel tijdens als na hun ambtstermijn.
Art. 55 Competentie
Elke toezichthouder oefent op het grondgebied van haar lidstaat de bevoegdheden uit die haar in de
verordening zijn toegekend. Bij verwerkingen door de publieke autoriteiten of private organisaties op grond
van een wettelijke verplichting of publieke taak, is de toezichthouder van die lidstaat bevoegd. De
toezichthouder is niet bevoegd om toe te zien op verwerkingen door gerechtelijke instanties in het kader
van hun gerechtelijke taken.
Art. 56 Competentie van de hoofdtoezichthouder
De toezichthouder van de hoofdvestiging of de enige vestiging is bevoegd om op te treden als leidende
toezichthouder bij internationale verwerkingen. De leidende toezichthouder is de enige gesprekspartner
van de verantwoordelijke of bewerker bij internationale gegevensverwerkingen.
www.privacycompany.eu | 27
In afwijking hiervan is elke toezichthouder bevoegd klachten en mogelijke inbreuken op de verordening af
te handelen als het probleem enkel betrekking heeft op een vestiging in zijn lidstaat of op betrokkenen in
zijn lidstaat. In dat geval zal de toezichthouder onverwijld de leidende toezichthouder op de hoogte stellen.
Deze zal binnen 3 weken bepalen of zij de zaak afhandelt.
Art. 57 Taken
De toezichthouder:
ziet toe op en handhaaft de toepassing van deze verordening;
geeft voorlichting aan het brede publiek;
adviseert het parlement, de regering en andere instituties en lichamen;
geeft voorlichting aan verantwoordelijken en bewerkers over hun plichten onder de verordening;
verstrekt desgevraagd informatie aan betrokkene over de uitoefening van diens rechten;
behandelt klachten van betrokkenen;
werkt samen met andere Europese toezichthouders;
voert onderzoeken uit naar de naleving van de verordening;
houdt relevante ontwikkelingen bij op het gebied van gegevensbescherming;
keurt contractuele standaardbepalingen goed;
stelt een lijst op van alle verwerkingsactiviteiten waar een PIA voor moet plaatsvinden en onderhoudt deze;
verleent toestemming voor verwerkingen waar voorafgaande consultatie van de toezichthouders verplicht is;
stimuleert het opstellen van gedragscodes, geeft hierover advies uit en keurt deze goed;
stimuleert het oprichten van certificeringsmechanismen en keurmerken, stelt criteria voor certificering vast en voert hierop periodieke reviews uit;
maakt en publiceert de criteria voor accreditatie en kent accreditatie toe;
autoriseert contractuele clausules en maatregelen;
keurt bindende bedrijfsvoorschriften goed;
draagt bij aan de EDPB;
houdt intern een overzicht bij van de uitgevaardigde sancties en waarschuwingen;
vervult alle andere taken die betrekking hebben op de bescherming van persoonsgegevens.
De toezichthouder moet een (elektronisch) formulier aanbieden waarmee klachten kunnen worden
ingediend over bepaalde gegevensverwerkingen. De toezichthouder mag geen kosten in rekening brengen
aan de betrokkene voor zijn werk, tenzij het gaat om excessieve of repetitieve verzoeken.
Art. 58 Bevoegdheden
De toezichthouders hebben de volgende onderzoeksbevoegdheden:
Het opvragen van informatie bij een verantwoordelijke of bewerker om nader onderzoek te kunnen doen of om certificeringen te beoordelen;
Het op de hoogte stellen van een verantwoordelijke of bewerker van een (vermeende) schending van de verordening;
Het verkrijgen van toegang tot alle persoonsgegevens, informatie en gebouwen van de verantwoordelijke of bewerker die nodig zijn om zijn taken te kunnen uitoefenen;
De toezichthouders hebben de volgende corrigerende bevoegdheden:
Waarschuwen dat toekomstige verwerkingen een inbreuk zullen maken op de verordening;
Terechtwijzen dat de verordening is geschonden door bepaalde verwerkingen;
Bevelen om te voldoen aan de rechten van de betrokkene;
www.privacycompany.eu | 28
Bevelen om de verwerkingen op een bepaalde manier, binnen een redelijke termijn in overeenstemming te brengen met de verordening;
Bevelen een datalek te melden bij de betrokkenen;
Het instellen van een beperking of een verbod op verwerking;
Bevelen van rectificatie, beperking of uitwissing van gegevens in een mededeling daarvan aan de betrokkene;
Het (laten) intrekken van een certificering of het niet langer (laten) verstrekken van een certificering als niet is voldaan aan de voorwaarden;
Het opleggen van een administratieve sanctie in plaats van of naast een van de bovengenoemde handelingen, afhankelijk van de omstandigheden van het geval;
Het opschorten van gegevensstromen naar derde landen. De toezichthouders hebben de volgende autorisatie- en adviesbevoegdheden:
Het adviseren bij verwerkingen waarbij voorafgaand raadpleging verplicht is;
Het uitvaardigen van opinies aan lidstaten of andere instanties die zich bezighouden met de verwerking van persoonsgegevens;
Het goedkeuren van verwerkingen als de (nationale) wet dit vereist;
Het uitbrengen van opinies over gedragscodes en het goedkeuren van opinies;
Het accrediteren van certificeringsinstanties;
Het uitbrengen van certificeringen en het goedkeuren van criteria voor certificering;
Het autoriseren en aannemen van standaardclausules;
Het goedkeuren van bindende bedrijfsvoorschriften.
De bovengenoemde bevoegdheden zijn omgeven met passende waarborgen, inclusief de mogelijkheid om
een doeltreffend rechtsmiddel met een eerlijk proces in te stellen tegen de beslissing.
Elke toezichthouder is bevoegd om schendingen van deze verordening ter kennis van de gerechtelijke
autoriteiten te brengen en daartegen in rechte op te treden. Lidstaten kunnen nadere bevoegdheden
toekennen aan de toezichthoudende autoriteit van die lidstaat.
Art. 59 Activiteitenverslag
Elke toezichthouder stelt jaarlijks een verslag op over haar activiteiten, met hierin mogelijk een lijst van de
soorten gemelde inbreuken en opgelegde straffen. De toezichthouder stuurt dit verslag naar het parlement
van de lidstaat, de regering en elke andere autoriteit die daartoe is aangewezen door wetgeving van de
lidstaat.
Art. 60 Samenwerking tussen de leidende toezichthoudende autoriteit en andere betrokken
toezichthoudende autoriteiten
De leidende toezichthouder moet samenwerken (“Wederzijdse bijstand”) en informatie delen met de
betreffende toezichthouders. De leidende toezichthouder stelt een ontwerpbesluit op over binnengekomen
klachten zodat andere toezichthouders, na geraadpleegd te zijn, hier binnen vier weken bezwaar op kunnen
maken. Het genomen besluit wordt bij geen bezwaar aangenomen en overlegd aan de hoofdvestiging van
de verantwoordelijke of bewerker, het EDPB en de relevante toezichthouders. Bovendien licht hij de klager
in over het besluit. Als een klacht deels wordt afgewezen, zal er een apart besluit over de verschillende delen
worden genomen. De informatie-uitwisseling zal elektronisch plaatsvinden, met het gebruik van een
standaardformulier.
www.privacycompany.eu | 29
Hoofdstuk VII: Samenwerking en conformiteit
Art. 61 Wederzijdse bijstand
Toezichthouders moeten relevante informatie en wederzijdse bijstand verschaffen zodat de verordening op
een consistente manier wordt toegepast. Ze moeten middelen inrichten voor een effectieve samenwerking.
Ook moeten toezichthouders passende maatregelen nemen om zo snel mogelijk aan verzoeken van andere
toezichthouders te kunnen voldoen. Een dergelijk verzoek mag niet worden geweigerd behalve als:
De toezichthouder niet bevoegd is;
Het verzoek strijdig is met de verordening.
De verzochte toezichthouder houdt de verzoekende toezichthouder op de hoogte van het resultaat, de
voortgang en de maatregelen die hij neemt en legt, bij weigering van een verzoek, uit waarom. Er mogen
geen kosten worden gevraagd met betrekking tot wederzijdse bijstand. De Europese Commissie mag het
model en de procedures rondom wederzijdse bijstand vastleggen.
Art. 62 Gezamenlijke werkzaamheden van de toezichthouder
De toezichthouders zullen, waar passend, gezamenlijke operaties uitvoeren, zoals gezamenlijke
handhavingsmaatregelen. Als de verantwoordelijke of bewerker vestigingen heeft in meerdere lidstaten of
er een significant aantal betrokkenen zich bevindt in meer dan één lidstaat, heeft elk van deze lidstaten het
recht om mee te doen aan de gezamenlijke operaties. Elke toezichthouder kan uitvoeringsbevoegdheden
toekennen aan de ondersteunende toezichthouder. De verantwoordelijkheden (aansprakelijkheid) van deze
bevoegdheden liggen echter wel bij de eerste toezichthouder.
Art. 63 Coherentiemechanisme
Om bij te dragen aan de consequente toepassing van deze verordening, zullen de toezichthouders
samenwerken met elkaar, en waar nodig met de Commissie, conform de conformiteitstoetsing uit deze
sectie.
Art. 64 Advies van het EDPB
Het EDPB zal een advies uitgeven, indien een toezichthouder:
beoogt een lijst op te stellen met verwerkingen waarvoor verplicht een PIA moet worden
uitgevoerd;
wil controleren of een concept gedragscode of een amendement of uitbreiding van een
gedragscode voldoet aan de verordening;
beoogt criteria voor accreditatie goed te keuren;
standaard modelbepalingen wil vaststellen
beoogt contractuele clausules te autoriseren;
beoogt bindende bedrijfsvoorschriften goed te keuren.
Elke toezichthouder, de voorzitter van het EDPB of de Commissie mag verzoeken elke zaak die van
algemene toepassing is of waarbij de effecten voelbaar zijn in meer dan één lidstaat, voor onderzoek bij het
EDPB neer te leggen, om zo advies te verkrijgen. Het EDPB zal dit advies geven, mits er niet al een advies
over hetzelfde onderwerp is. Het advies wordt binnen 8 weken aangenomen met een eenvoudige
meerderheid. Bij complexe zaken mag dit met 6 weken verlengd worden.
Relevante informatie moet door de toezichterhouders en de Commissie zo snel mogelijk elektronisch
worden aangeleverd, gebruik makend van een standaard formulier.
www.privacycompany.eu | 30
De voorzitter zal de volgende instanties informeren:
de leden van de EDPB: over alle relevante informatie die de EDPB toegestuurd heeft gekregen.
Vertalingen zullen, waar nodig, door het secretariaat worden gemaakt
de toezichthouders waarvoor advies gegeven moet worden en de Commissie. Bovendien wordt het
besluit publiek gemaakt.
De advies vragende toezichthouder zal binnen twee weken na ontvangst van het advies aangeven of het zijn
ontwerpbesluit aanpast of niet. Bij het niet volgen van het advies, kan de EDPB besluiten een bindend besluit
uit te vaardigen.
Art. 65 Geschilbeslechting door de EDPB
Om eenduidige interpretatie van de verordening te verzekeren in individuele zaken zal de EDPB een bindend
besluit nemen in de volgende zaken:
als een toezichthouder een relevant en met redenen omkleed bezwaar heeft geuit tegen een
ontwerpbesluit van een leidende toezichthouder of als de leidende toezichthouder een bezwaar
heeft afgewezen als zijnde niet relevant of niet met redenen omkleed.
als er tegenstrijdige denkbeelden zijn over welke toezichthouder bevoegd is voor de hoofdvestiging.
wanneer een bevoegd toezichthouder niet om advies vraagt of het advies niet opvolgt.
Het bindende besluit moet binnen een maand naar verwijzing door twee derde meerderheid door de EDPB
worden aangenomen en met redenen omkleed naar de leidende toezichthouder en betrokken toezicht-
houders worden gestuurd. De leidende toezichthouder zal op basis van dit besluit zo snel mogelijk
(maximaal binnen een maand na bovenstaand besluit) een definitief besluit nemen. En de betrokken
toezichthouder zal de EDPB informeren over de datum dat het definitieve besluit is gecommuniceerd naar
de verantwoordelijke en de bewerker.
Art. 66 Spoedprocedure
In uitzonderlijke situaties, wanneer de toezichthouder met spoed moet optreden om de rechten en
vrijheden van betrokkenen te beschermen, mag de toezichthouder meteen voorlopige maatregelen nemen.
Deze maatregelen moeten tijdelijk zijn en binnen een gespecificeerde periode (niet langer dan drie
maanden). Deze maatregelen en de redenen hiervoor moeten naar andere betrokken toezichthouders en
de EDPB gecommuniceerd worden.
Aan de EDPB kan ook met spoed gevraagd worden om advies of een bindend besluit. Dit spoedadvies/-
besluit zal binnen twee weken door eenvoudige meerderheid worden aangenomen.
Art. 67 Uitwisseling van informatie
De Commissie kan uitvoeringshandelingen vaststellen om de elektronische uitwisseling van informatie
tussen toezichthouders en tussen toezichthouders en de EDPB te specificeren. Met name het
gestandaardiseerde formulier.
Art. 68 Instelling EDPB
De European Data Protection Board (EDPB) is een nieuw orgaan van de EU. De EDPB vervangt het huidige
Europese adviesorgaan voor de bescherming van persoonsgegevens: de Artikel 29 Werkgroep.
De EDPB bestaat uit een voorzitter, de voorzitters van de nationale toezichthouders van alle lidstaten en de
Europese toezichthouder: de Europese toezichthouder voor gegevensbescherming, afgekort als: EDPS
www.privacycompany.eu | 31
(European Data Protection Supervisor) of hun vertegenwoordigers. De Europese Commissie kan deelnemen
in de vergaderingen van de EDPB, maar heeft daarin geen stemrecht.
Art. 69 Onafhankelijkheid EDPB
De EDPB is onafhankelijk in de uitoefening van haar taken en vraagt noch aanvaardt instructies van wie dan
ook.
Art. 70 Taken EDPB
De taken van de EDPB bestaan uit het zorgen voor een uniforme, juiste en constante toepassing van deze
verordening. Hiervoor kan de EDPB op eigen initiatief of op verzoek van de Europese Commissie de
Europese Commissie adviseren over uitwisseling van persoonsgegevens via bindende bedrijfsvoorschriften.
Ook kan de EDPB richtsnoeren geven en aanbevelingen doen over procedures voor het recht op
verwijdering van de eigen gegevens, profilering, het melden van incidenten met persoonsgegeven
(datalekken), bindende bedrijfsvoorschriften en andere doorgiftemechanismen. Daarnaast bevordert de
EDPB kennisuitwisseling en stimuleert zij gemeenschappelijke opleidingsprogramma’s voor toezicht-
houders.
Art. 71 Jaarlijkse rapportage
De EDPB houdt jaarlijks een openbaar rapport bij over de bescherming van persoonsgegevens in de EU,
derde landen en internationale organisaties. In dit rapport worden de praktische toepassing van
richtsnoeren, (bindende) aanbevelingen en best practices beoordeeld.
Art. 72 Stemprocedure
De EDPB neemt beslissingen met gewone meerderheid van stemmen, tenzij anders bepaald in de
verordening. Procedurele regels met betrekking tot het eigen reglement worden aangenomen met
tweederde meerderheid van de stemmen.
Art. 73 Verkiezing voorzitter
De voorzitter van de EDPB wordt gekozen uit de eigen leden met een gewone meerderheid van stemmen
voor een periode van vijf jaar, eenmaal te herkiezen.
Art. 74 Taken voorzitter EDPB
De voorzitter van de EDPB heeft als taak om de vergaderingen van de EDPB voor te zitten; beslissingen van
de EDPB aan nationale toezichthouders te communiceren en te zorgen voor een tijdige uitvoering van de
taken van de EDPB en in het bijzonder met betrekking tot de uniforme toepassing van de verordening.
Art. 75 Taken secretariaat
De EDPS verzorgt het secretariaat van de EDPB. De voorzitter van de EDPB geeft instructies over de taken
van het secretariaat. Deze taak bestaat, onder andere, uit dagelijkse werkzaamheden voor de EDPB, het
verzorgen van communicatie aan de leden van de EDPB, het vertalen van documenten en het voorbereiden
en opstellen van opinies, besluiten en uitspraken in geschillen tussen toezichthouders en andere teksten die
door de EDPB worden aangenomen;
Art. 76 Geheimhouding EDPB
Bijeenkomsten en inhoud van gesprekken van de EDPB zijn vertrouwelijk als de EDPB dit nodig acht.
www.privacycompany.eu | 32
Hoofdstuk VIII: Beroep, aansprakelijkheid en sancties
Art. 77 Recht een klacht in te dienen bij een toezichthoudende autoriteit
Elke betrokkene heeft het recht om een klacht in te dienen bij een toezichthoudende autoriteit, met name
bij de toezichthouder in het land waar betrokkene woont, werkt of waar de inbreuk plaatsvindt, als de
betrokkene een verwerking als strijdig met de verordening beschouwt. De klager zal door de toezichthouder
op de hoogte worden gehouden over de voortgang en de uitkomst van de behandeling van de klacht.
Art. 78 Recht om een doeltreffende voorziening in rechte in te stellen tegen een toezichthoudende
autoriteit
Iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende juridisch bindende besluiten van
een toezichthoudende autoriteit een beroep in rechte in te stellen. Ook kan beroep worden ingesteld om
een toezichthouder te dwingen aan een klacht gevolg te geven of als de klager niet op de hoogte wordt
gehouden van de voortgang van de behandeling van de klacht. Beroep moet worden in gesteld voor de
rechter in het land waar de toezichthouder is gevestigd.
Art. 79 Recht om een doeltreffende voorziening in rechte in te stellen tegen een verantwoordelijke
of bewerker
Iedere natuurlijke persoon heeft het recht een beroep in rechte in te stellen tegen de verantwoordelijke of
bewerker, indien hij van mening is dat zijn rechten die hij ontleend aan deze verordening geschonden zijn
als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet. Beroep
moet worden in gesteld voor de rechter in het land waar de verantwoordelijke of bewerker is gevestigd.
Art. 80 Vertegenwoordiging van betrokkenen
De betrokkene heeft het recht om zijn klachtenrecht en het recht op schadevergoeding uit te laten oefenen
door een organisatie, zonder winstoogmerk, met een statutair doel van algemeen belang en actief op het
gebied van gegevensbescherming. Een lidstaat kán er in voorzien dat een dergelijke organisatie ook een
klacht kan indienen of rechten uit mag oefenen zonder een mandaat van betrokkene.
Art. 81 Opschorting van de procedure
De bevoegde rechter mag een procedure opschorten als er tegelijkertijd in een ander land een procedure
aanhangig is met dezelfde inhoud en dezelfde verantwoordelijke of bewerker.
Art. 82 Recht op vergoeding en aansprakelijkheid
Iedere persoon die schade heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die
in strijd met de verordening is, heeft het recht om van de verantwoordelijke of de bewerker vergoeding te
ontvangen. Elke verantwoordelijke is aansprakelijk voor schade veroorzaakt door verwerkingen die niet in
overeenstemming zijn met de verordening. Een bewerker is slechts aansprakelijk voor zover de schade komt
door verwerkingen die niet voldoen aan de eisen van de verordening gericht op bewerkers, of die ontstaan
door het niet opvolgen van rechtmatige instructies van de verantwoordelijke. Een verantwoordelijke of
bewerker wordt van aansprakelijkheid vrijgesteld indien hij bewijst dat hij op geen enkele wijze
verantwoordelijk is voor het schade brengende feit.
Waar meer dan één verantwoordelijk of bewerker bij de verwerking betrokken is zijn ze allen aansprakelijk
voor de gehele schade, om effectieve compensatie te garanderen. Wanneer een bewerker of verantwoorde-
lijke volledige schade heeft betaald, kan, naar ratio van de aansprakelijkheid het overige deel worden terug
www.privacycompany.eu | 33
gevorderd van de andere verantwoordelijken en bewerkers. De op grond van nationale wetgeving bevoegde
rechtelijke instanties van de lidstaten zijn bevoegd om gerechtelijke procedures voor het uitoefenen van het
recht op schadevergoeding te voeren.
Art. 83 Administratieve sancties
Administratieve sancties zullen te alle tijden, in elk apart geval, doeltreffend, evenredig en afschrikkend zijn.
Administratieve sancties zullen, afhangend van individuele omstandigheden opgelegd worden in plaats van
of naast corrigerende maatregelen. Hierbij wordt rekening gehouden met:
De aard, ernst en duur van de inbreuk met het oog het doel van de verwerking, het aantal
betrokkene en de hoeveelheid schade;
Het opzettelijke of nalatige karakter van de inbreuk;
Maatregelen genomen door verantwoordelijke of bewerker om de schade te beperken;
De mate van verantwoordelijkheid met het oog op de genomen technische en organisatorische
maatregelen;
Relevante eerdere inbreuken;
De mate van samenwerking met de toezichthouder;
De categorieën persoonsgegevens betrokken bij de inbreuk;
De manier waarop de inbreuk bekend werd bij de toezichthouder;
Of verantwoordelijk of bewerkers al eerder aangesproken is op dezelfde inbreuk;
Mate van voldoen aan goedgekeurde gedragscodes of certificeringsmechanismes;
Enige andere verzwarende of verzachtende factor van toepassing op de omstandigheden van het
geval;
Als een verantwoordelijke of bewerker met opzet of nalatig meerdere bepalingen overtreed, kan de totale
boete niet meer zijn dan de gespecificeerde boete voor de zwaarste overtreding.
Een inbreuk op de volgende verplichtingen resulteert in een administratieve boete van ten hoogste
€10.000.000,- of in het geval van een onderneming maximaal 2% van de wereldwijde jaaromzet van het
voorgaande financiële jaar, afhankelijk van wat hoger is:
Met betrekking tot de verplichtingen van verantwoordelijke en bewerker:
Artikel Heeft betrekking op:
Artikel 8 Voorwaarden die van toepassing zijn op de toestemming van kinderen met betrekking tot
diensten van de informatiemaatschappij
Artikel 11 Verwerking waarvoor identificatie niet is vereist
Artikel 25 Privacy by design & privacy by default
Artikel 26 Gezamenlijk voor de verwerking verantwoordelijken
Artikel 27 Vertegenwoordigers van niet in de EU gevestigde verantwoordelijken
Artikel 28 Eisen voor bewerkers
Artikel 29 Verwerking onder gezag van de verantwoordelijke en de bewerker
Artikel 30 Bijhouden van een register van de verwerkingsactiviteiten
Artikel 31 Medewerking met de toezichthoudende autoriteit
Artikel 32 Beveiliging van de verwerking
Artikel 33 Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit
Artikel 34 Mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene
Artikel 35 Privacy Impact Assessment
Artikel 36 Voorafgaande raadpleging van toezichthouder voor risicovolle verwerkingen
Artikel 37 Aanwijzing van een FG
www.privacycompany.eu | 34
Artikel 38 Positie van de FG
Artikel 39 Taken van de FG
Artikel 42 Certificering
Artikel 43 Certificeringsorgaan en -procedure
Met betrekking tot de verplichtingen van het certificeringsorgaan:
Artikel Heeft betrekking op:
Artikel 42 Certificering
Artikel 43 Certificeringsorgaan en -procedure
Met betrekking tot de verplichtingen van een orgaan toezicht op naleving van een gedragscode houdt:
Artikel Heeft betrekking op:
Artikel 41(4) Maatregelen ingeval een verantwoordelijke of bewerker een inbreuk pleegt op de gedragscode
en in kennis stellen toezichthouder
Een inbreuk op de volgende verplichtingen resulteert in een administratieve boete van ten hoogste
€20.000.000,- of in het geval van een onderneming maximaal 4% van de wereldwijde jaaromzet van het
voorgaande financiële jaar, afhankelijk van wat hoger is:
Artikel Heeft betrekking op:
Artikel 5, 6,
7, 9
De verplichting om de basis principes voor verwerking na te leven, inclusief de voorwaarden voor
toestemming
Artikel 12-22 De verplichting om de rechten van betrokkenen te garanderen
Artikel 44 -
49
De verplichting van naleving van de regels m.b.t. doorgifte naar derde landen of internationale
organisaties
Artikelen
van
hoofdstuk IX
Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking (vrijheid
van meningsuiting, toegang tot officiële documenten, verwerking van nationaal
identificatienummer, verwerkingen in arbeidsverhoudingen, verwerkingen voor historische,
wetenschappelijke of statische doeleinden, verwerkingen door kerken en religieuze
verenigingen)
Artikel 58(2) Niet-naleving van een bevel of een tijdelijke of definitieve beperking van het verwerken of een
opschorting van gegevensstromen door de toezichthoudende autoriteit
Artikel 58(1) Niet verlenen van toegang
Het niet naleven van een bevel van de toezichthouder resulteert in een administratieve boete van ten
hoogste €20.000.000,- of in het geval van een onderneming maximum 4% van de wereldwijde jaaromzet
van het voorgaande financiële jaar, afhankelijk van wat hoger is.
Lidstaten mogen regels neerleggen of en in hoeverre overheidsinstanties en organen administratieve
boetes kunnen krijgen.
De uitoefening door de toezichthoudende autoriteit van haar bevoegdheden op grond van dit artikel zijn
onderworpen aan procedurele waarborgen in overeenstemming met het in EU-wetgeving of de wetgeving
van lidstaten, waaronder doeltreffende rechtsmiddelen en een eerlijk proces.
Art. 84 Sancties
De lidstaten stellen de sanctieregels vast die van toepassing zijn op inbreuken op deze verordening, met
name voor inbreuken die niet onderworpen zijn aan administratieve boetes, en nemen alle nodige
maatregelen om ervoor te zorgen dat ze geïmplementeerd zijn. Dergelijke sancties moeten doeltreffend,
evenredig en afschrikkend zijn.
www.privacycompany.eu | 35
Hoofdstuk IX: Bepalingen in verband met specifieke situaties op het gebied van
gegevensverwerking
Art. 85 Verwerking van persoonsgegevens en vrijheid van meningsuiting
Lidstaten zorgen, bij verwerkingen uitsluitend voor journalistieke, artistieke en literaire doeleinden voor
uitzonderingen op bepaalde bepaling om het recht op bescherming van persoonsgegevens in
overeenstemming te brengen met de regels betreffende de vrijheid van meningsuiting.
Art. 86 verwerken van persoons en publieke toegankelijkheid van officiële documenten
Persoonsgegevens in officiële documenten van een publiek of privaat overheidsorgaan mogen worden
geopenbaard bij de uitvoering van een taak van openbaar belang, in overeenstemming met EU-wetgeving
of wetgeving van de lidstaat waar het overheidsorgaan aan onderworpen is.
Art. 87 Verwerken van nationaal identificatienummer
Lidstaten kunnen specifieke voorwaarden voor het verwerken van een nationaal identificatienummer of
soortgelijk identificatiemiddel nader vaststellen. Bij het gebruik van dit nummer moeten er passende
waarborgen zijn ter bescherming van de rechten en vrijheden van de betrokkene.
Art. 88 Verwerking in arbeidscontext
Lidstaten mogen nadere voorwaarden stellen, wettelijk of in collectieve overeenkomsten, ter bescherming
van de rechten en vrijheden bij de verwerking van persoonsgegevens in een arbeidsrelatie. In het bijzonder
met betrekking tot de recruitment, beoordeling van het arbeidscontract (incl. ontslag van verplichtingen die
door de wet of door een collectieve overeenkomst waren opgelegd) en management.
Deze nadere regels bevatten specifieke maatregelen ter waarborging van de menselijke waardigheid, de
gerechtvaardigde belangen en de grondrechten van de betrokkene. Specifieke aandacht dient er te zijn voor
transparantie van de verwerking, het verplaatsen van gegevens naar een ander bedrijfsonderdeel of
dochtermaatschappij en monitoringssystemen op de werkvloer.
Lidstaten stellen de Commissie op de hoogte van deze nadere voorwaarden en van enige andere bepaling
die invloed kan hebben op deze uitzonderingen.
Art. 89 Waarborgen en uitzonderingen voor de verwerking van persoonsgegevens voor
archiveringsdoeleinden met publiek belang of voor wetenschappelijke, historische of statistieke
onderzoeksdoeleinden
Verwerking van persoonsgegevens voor archiveringsdoeleinden met algemeen belang of voor
wetenschappelijke, historische of statistieke onderzoeksdoeleinden zijn onderworpen aan passende
waarborgen ter bescherming van de rechten en vrijheden van de betrokkene. Deze waarborgen omvatten
technische en organisatorische maatregelen, in het bijzonder maatregelen ter naleving van het principe van
dataminimalisatie en pseudonimisatie.
Bij verwerking van persoonsgegevens voor wetenschappelijke, historische of statistieke onderzoeks-
doeleinden mogen uitzonderingen worden gemaakt op het recht van toegang, rectificatie, restrictie en
bezwaar, rekening houdende met de hiervoor genoemde waarborgen.
www.privacycompany.eu | 36
Bij verwerking van persoonsgegevens voor archiveringsdoeleinden van algemeen belang mogen
uitzonderingen worden gemaakt op het recht van toegang, rectificatie, restrictie, overdraagbaarheid,
bezwaar en het recht om vergeten te worden, rekening houdende met de hiervoor genoemde waarborgen.
Art. 90 Geheimhoudingsplicht
Lidstaten mogen de bevoegdheden van de toezichthouder om toegang te verkrijgen tot alle informatie die
zij nodig heeft voor de uitvoering van haar taken en de bevoegdheid om toegang te krijgen tot
dienstruimten van verantwoordelijke of bewerker nader specificeren wanneer een verantwoordelijke of
betrokkene gehouden is aan een professionele geheimhoudingsplicht of soortgelijke verplichting tot
geheimhouding wanneer dit nodig en proportioneel is om het recht of bescherming van persoonsgegevens
in overeenstemming te brengen met het recht om geheimhouding.
Het gaat hier om het recht van de toezichthouder om toegang te krijgen tot alle persoonsgegevens en
informatie die nodig is in het uitvoeren van zijn taken en het krijgen van toegang tot het pand van
verantwoordelijke of bewerker inclusief de middelen en apparatuur gebruikt voor de verwerking.
Lidstaten stellen de Commissie op de hoogte van deze nadere voorwaarden en van enige andere bepaling
die invloed kan hebben op deze uitzonderingen.
Art. 91 Bestaande gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen
Gegevensbeschermingsregels met betrekking tot kerken en religieuze instellingen en gemeenschappen
mogen ook na inwerkingtreding van de verordening toegepast blijven worden, mits deze regels in
overeenstemming worden gebracht met bepalingen van deze verordening. De kerken en religieuze
instellingen die dergelijke bepalingen toepassen worden gecontroleerd door een onafhankelijke
toezichthouder die specifiek kan zijn.
Hoofdstuk X: Gedelegeerde handelingen en uitvoeringshandelingen
Art. 92 Uitoefening van de bevoegdheidsdelegatie
De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder
de in dit artikel vastgestelde voorwaarden. Delegaties van bevoegdheden met betrekking tot standaard
iconen en nadere invulling van het certificeringsmechanisme worden aan de Commissie toegekend voor
onbepaalde duur vanaf de datum van inwerkingtreding van deze verordening. Delegaties van
bevoegdheden met betrekking tot standaard iconen en nadere invulling van het certificeringsmechanisme
mogen op elk moment worden ingetrokken door het Europees Parlement of de Raad. Zodra de Commissie
een gedelegeerde bevoegdheid vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in
kennis.
De bevoegdheid om standaard iconen te ontwikkelen en nadere invulling van het certificeringsmechanisme
te geven mag alleen worden uitgeoefend indien noch het Europees Parlement, noch de Raad binnen een
termijn van twee maanden na de kennisgeving van de bevoegdheid aan het Europees Parlement en de Raad
daartegen bezwaar heeft gemaakt, of zij geen bezwaar zullen maken.
Art. 93 EDPB procedure
De Commissie wordt bijgestaan door een (European) Data Protection Board (EDPB).
www.privacycompany.eu | 37
Hoofdstuk XI: Slotbepalingen
Art. 94 Intrekking van Richtlijn 95/46/EG
De richtlijn wordt ingetrokken twee jaar na de twintigste dag na de bekendmaking van deze verordening in
het Publicatieblad van de EU. Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze
verordening. Verwijzingen naar de artikel 29-werkgroep gelden als verwijzingen naar de EDPB.
Art. 95 Verhouding tot Richtlijn 2002/58/EG
Deze verordening legt natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking tot
de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronische
communicatiediensten in openbare communicatienetwerken in de EU, voor zover zij op grond van de
richtlijn privacy en elektronische communicatie onderworpen zijn aan specifieke verplichtingen met
dezelfde doelstelling.
Art. 96 Verhouding tot eerder vastgestelde overeenkomsten
Internationale overeenkomsten over de doorgifte van persoonsgegevens naar derde landen of
internationale organisaties die handelen in overeenstemming met EU-recht blijven geldig, totdat deze
worden aangevuld, vervangen of ingetrokken.
Art. 97 Evaluatie
De Commissie brengt vier jaar na het van kracht worden van deze verordening verslag uit aan het Europees
Parlement en de Raad over de evaluatie en de toetsing van deze verordening. Vervolgens brengt de
Commissie elke vier jaar verslag uit.
De Commissie brengt in het bijzonder verslag uit over de toepassing en de functionering van:
Sectie over de doorgifte van persoonsgegevens naar derde landen of internationale organisaties en adequaatheid beslissingen
Sectie VII over samenwerking en consistentie. De Commissie mag voor evaluatie informatie inwinnen bij de lidstaten en toezichthouders. De Commissie
zal bij de evaluaties rekening houden met de inzichten van het Europees Parlement, de Raad en ander
relevante organisaties.
Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna
worden de volgende verslagen om de vier jaar ingediend. De evaluaties zijn openbaar. Indien nodig dient de
Commissie passende voorstellen voor wijziging van de verordening in gelet op de ontwikkelingen in de
informatietechnologie en de stand van zaken in de informatiemaatschappij.
Art. 98 Beoordeling van andere EU-instrumenten voor gegevensbescherming
De Commissie zal aanvullende voorstellen doen over juridische instrumenten inzake de bescherming van
persoonsgegevens om uniforme en consistente bescherming van persoonsgegevens te garanderen.
Art. 99 Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het
Publicatieblad van de EU en is zal 2 jaar na inwerkingtreding van toepassing zijn (2018).