(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2012)0011),

–  gezien artikel 294, lid 2, en de artikelen 16, lid 2, en 114, lid 1, van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7-0025/2012),

–  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–  gezien de gemotiveerde adviezen die in het kader van Protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid zijn uitgebracht door de Belgische Kamer van Volksvertegenwoordigers, de Duitse Bondsraad, de Franse Senaat, de Italiaanse Kamer van Afgevaardigden en de Zweedse Rijksdag, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

–  gezien het advies van het Europees Economisch en Sociaal Comité van 23 mei 2012(1),

–  na raadpleging van het Comité van de Regio's,

–  gezien het advies van de Europese toezichthouder voor gegevensbescherming van 7 maart 2012(2),

–  gezien het advies van het Bureau van de Europese Unie voor de grondrechten van 1 oktober 2012,

–  gezien artikel 55 van zijn Reglement,

–  gezien het verslag van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en de adviezen van de Commissie werkgelegenheid en sociale zaken, de Commissie industrie, onderzoek en energie, de Commissie interne markt en consumentenbescherming en de Commissie juridische zaken (A7-0402/2013),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging aan het Parlement indien de Commissie voornemens is ingrijpende wijzigingen in dit voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad, de Commissie en de nationale parlementen.

(1) PB C 229 van 31.7.2012, blz. 90. (2) PB C 192 van 30.6.2012, blz. 7.

(Voor de EER relevante tekst)

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2, en artikel 114, lid 1,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van het Europees Economisch en Sociaal Comité(1),

Na raadpleging van het Comité der Regio's(2),

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming(3),

Handelend volgens de gewone wetgevingsprocedure,

Overwegende hetgeen volgt:

(1)  De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie ("het Handvest") en artikel 16, lid 1, van het Verdrag heeft eenieder het recht op bescherming van zijn of haar persoonsgegevens.

(2)  De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen bij de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, in overeenstemming te zijn met hun grondrechten en fundamentele vrijheden, en in het bijzonder met hun recht op bescherming van persoonsgegevens. Gegevensverwerking dient bij te dragen tot de totstandbrenging van een ruimte van vrijheid, veiligheid en recht en van een economische unie, tot economische en sociale vooruitgang, de versterking en de convergentie van de economieën binnen de interne markt en het individuele welzijn.

(3)  Richtlijn 95/46/EG van het Europees Parlement en de Raad(4) heeft tot doel de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten te harmoniseren en het vrije verkeer van persoonsgegevens binnen de Unie te garanderen.

(4)  De economische en sociale integratie die het gevolg is van de werking van de interne markt heeft geleid tot een aanzienlijke toename van de grensoverschrijdende stromen van persoonsgegevens. De gegevensuitwisseling tussen economische en sociale actoren is in de publieke en de particuliere sector toegenomen. De nationale autoriteiten van de lidstaten moeten op grond van het Unierecht samenwerken en persoonsgegevens uitwisselen om hun opdrachten te vervullen of om taken uit te voeren namens een autoriteit in een andere lidstaat.

(5)  Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoongegevens steeds vaker wereldwijd bekend. Technologie heeft zowel de economie als het maatschappelijk leven ingrijpend veranderd en maakt het noodzakelijk het vrije verkeer van gegevens binnen de Unie en de doorgifte naar derde landen en internationale organisaties verder te vergemakkelijken en daarbij een hoge mate van bescherming van persoonsgegevens te garanderen.

(6)  In verband met deze ontwikkelingen moet een krachtiger en coherenter kader voor gegevensbescherming in de EU tot stand worden gebracht en bovendien scherp worden toegezien op de handhaving daarvan, omdat zulks van belang is voor het vertrouwen dat nodig is om de digitale economie zich op de hele interne markt te laten ontwikkelen. Natuurlijke personen dienen controle over hun eigen persoonsgegevens te hebben en er dient meer praktische en rechtszekerheid te worden geboden aan personen, bedrijven en overheden.

(7)  Richtlijn 95/46/EG is wat doelstellingen en beginselen betreft nog steeds valide, maar heeft niet voorkomen dat gegevens in de Unie op gefragmenteerde wijze worden beschermd, er sprake is van rechtsonzekerheid en in brede lagen van de bevolking het beeld bestaat dat met name onlineactiviteit aanzienlijke risico´s inhoudt met betrekking tot de bescherming van natuurlijke personen. De verschillen in de mate waarin de bescherming van de rechten en vrijheden van personen, inzonderheid de bescherming van persoonsgegevens, op het stuk van de verwerking van persoonsgegevens in de lidstaten is gewaarborgd, kunnen het vrije verkeer van persoonsgegevens binnen de Unie beletten. Deze verschillen kunnen bijgevolg een belemmering vormen voor de uitoefening van economische activiteiten op EU-schaal, de mededinging vervalsen en de overheid beletten haar taak ten aanzien van de toepassing van het Unierecht te vervullen. Deze verschillende beschermingsniveaus zijn het gevolg van de verschillen in de uitvoering en toepassing van Richtlijn 95/46/EG.

(8)  Teneinde natuurlijke personen een consistent en hoog beschermingsniveau te bieden en de belemmeringen voor het verkeer van persoonsgegevens op te heffen, dient het niveau van de bescherming van de rechten en vrijheden van personen op het stuk van de verwerking van deze gegevens in alle lidstaten gelijkwaardig te zijn. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens.

(9)  Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking en nadere vaststelling van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken en van degenen die over die verwerking beslissen, maar ook vergelijkbare bevoegdheden inzake toezicht en handhaving van de voorschriften inzake gegevensbescherming en vergelijkbare sancties voor overtreders in de lidstaten.

(10)  Artikel 16, lid 2, van het Verdrag machtigt het Europees Parlement en de Raad om de voorschriften vast te stellen betreffende de bescherming van personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die gegevens.

(11)  Teneinde personen in de gehele Unie een consistent niveau van bescherming te bieden en te voorkomen dat verschillen het vrije verkeer van gegevens op de interne markt hinderen, is een verordening nodig om bedrijven, met inbegrip van kleine, middelgrote en micro-ondernemingen, rechtszekerheid en transparantie te bieden, te voorzien in dezelfde wettelijk afdwingbare rechten voor personen in alle lidstaten en in verplichtingen en verantwoordelijkheden voor de voor de verwerking verantwoordelijken en de verwerkers, te zorgen voor consistent toezicht op de verwerking van persoonsgegevens en voor vergelijkbare sancties in alle lidstaten, alsook voor doeltreffende samenwerking tussen de toezichthoudende autoriteiten van verschillende lidstaten. Met het oog op de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordeningen een aantal uitzonderingsbepalingen. Bovendien worden de instellingen en organen van de Unie, de lidstaten en hun toezichthoudende autoriteiten aangemoedigd om bij de toepassing van deze verordening de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. De definitie van het begrip kleine, middelgrote en micro-ondernemingen dient te worden overgenomen uit Aanbeveling 2003/361/EG van de Commissie(5).

(12)  De bescherming die door deze verordening wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens. Met betrekking tot de verwerking van gegevens over rechtspersonen en met name als rechtspersonen gevestigde ondernemingen, zoals de naam en de rechtsvorm van de rechtspersoon en de contactgegevens van de rechtspersoon, dient geen beroep op deze verordening te kunnen worden gedaan. Dit dient ook te gelden wanneer de naam van de rechtspersoon de namen van een of meer natuurlijke personen bevat.

(13)  De bescherming van personen dient technologisch neutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van personen dient zowel te gelden bij automatische als manuele verwerking van persoonsgegevens, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze verordening te vallen.

(14)  Deze verordening is niet van toepassing op vraagstukken met betrekking tot de bescherming van grondrechten en fundamentele vrijheden of het vrije verkeer van gegevens in verband met niet onder het Unierecht vallende activiteiten en betreft noch de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, die onder . Verordening (EG) nr. 45/2001 vallen, noch de gegevensverwerking die de lidstaten verrichten bij activiteiten in verband met het gemeenschappelijk buitenlands en veiligheidsbeleid van de Unie van het Europees Parlement en de Raad(6) dient in overeenstemming te worden gebracht met deze verordening en in overeenstemming met deze verordening te worden toegepast. [Am. 1]

(15)  Deze verordening dient niet van toepassing te zijn op de verwerking van persoonsgegevens van louter persoonlijke, familiegerelateerde of huishoudelijke aard, zoals correspondentie of adressenbestanden of een particuliere verkoop, door een natuurlijke persoon, wanneer deze verwerking zonder commercieel belang wordt verricht en dus geen enkel verband houdt met een beroeps- of handelsactiviteit. De uitzondering Deze verordening dient evenmin evenwel te gelden voor de voor de verwerking verantwoordelijken en of de verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke activiteiten. [Am. 2]

(16)  De bescherming van personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens is aan een specifiek uniaal rechtsinstrument onderworpen. Deze verordening dient derhalve niet van toepassing te zijn op de met die doeleinden verrichte verwerkingsactiviteiten. Het gebruik van overeenkomstig deze verordening door de openbare autoriteiten verwerkte gegevens met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties dient echter te worden geregeld bij het meer specifieke uniale rechtsinstrument (Richtlijn 2014/EU van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens).

(17)  Deze verordening dient geen afbreuk te doen aan de toepassing van Richtlijn 2000/31/EG van het Europees Parlement en de Raad(7), inzonderheid de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn.

(18)  Deze verordening biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten. Persoonsgegevens in documenten die worden gehouden door een overheidsinstantie of een overheidsorgaan mogen door die instantie of dat orgaan worden bekendgemaakt in overeenstemming met het Unierecht of het recht van de lidstaat betreffende het recht van toegang van het publiek tot officiële documenten, waardoor het recht van gegevensbescherming wordt verzoend met het recht van toegang van het publiek tot officiële documenten en er wordt gezorgd voor een billijk evenwicht van de uiteenlopende betrokken belangen. [Am. 3]

(19)  Verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie dient overeenkomstig deze verordening te worden verricht, of de eigenlijke verwerking nu in de Unie plaatsvindt of niet. Vestiging veronderstelt het effectief en daadwerkelijk uitoefenen van activiteiten door een vaste vestiging. De rechtsvorm van een dergelijke vestiging, of het nu gaat om een bijkantoor of om een dochteronderneming met rechtspersoonlijkheid, is daarbij niet doorslaggevend.

(20)  Om te waarborgen dat personen niet worden uitgesloten van de bescherming waarop zij krachtens deze verordening recht hebben, dient op de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen door een niet in de Unie gevestigde verwerker deze verordening van toepassing te zijn wanneer de verwerking verband houdt met het aanbieden van goederen of diensten, ongeacht of deze verband houden met een betaling of niet, aan dergelijke betrokkenen of met het observeren van hun gedrag die betrokkenen. Om te bepalen of een dergelijke voor de verwerking verantwoordelijke goederen of diensten aan dergelijke betrokkenen in de Unie aanbiedt, moet worden nagegaan of de voor de verwerking verantwoordelijke klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in één of meer lidstaten in de Unie. [Am. 4]

(21)  Om uit te maken of een verwerking kan worden beschouwd als “observeren/volgen van gedrag” van betrokkenen, dient te worden vastgesteld of natuurlijke personen op het internet worden gevolgd, ongeacht de oorsprong van de gegevens, dan wel of andere gegevens over hen worden verzameld, met inbegrip van gegevens uit openbare registers en aankondigingen in de Unie die toegankelijk zijn buiten de Unie, met de bedoeling om meteen, of eventueel achteraf gegevensverwerkingstechnieken te gebruiken waarbij een “profiel” op een natuurlijke persoon wordt toegepast, in het bijzonder om besluiten over hem te nemen of om zijn persoonlijke voorkeuren, gedragingen en attitudes te analyseren of te voorspellen. [Am. 5]

(22)  Wanneer uit hoofde van het internationale publiekrecht de nationale wet van een lidstaat van toepassing is, dient deze verordening ook van toepassing te zijn op een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar bijvoorbeeld actief is bij een diplomatieke vertegenwoordiging of een consulaire post.

(23)  De beschermingsbeginselen beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten valt dat zij door de voor de verwerking verantwoordelijke, of door ieder ander worden gebruikt om de persoon direct of indirect te identificeren of uit te kiezen. Om uit te maken of van middelen redelijkerwijs te verwachten valt dat zij zullen worden gebruikt om de persoon te identificeren, dienen alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, in aanmerking te worden genomen, rekening houdend met de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkeling. De beschermingsbeginselen dienen bijgevolg niet van toepassing te zijn op anonieme gegevens, die zodanig anoniem zijn gemaakt dat de persoon op wie die aangezien het in dit geval niet gaat om gegevens betrekking hebben, niet identificeerbaar is betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Deze verordening heeft derhalve geen betrekking op de verwerking van dergelijke anonieme gegevens, onder meer voor statistische en onderzoeksdoeleinden. [Am. 6]

(24)  Bij het gebruik van onlinediensten kunnen natuurlijke personen worden gekoppeld aan online-identificatiemiddelen via hun Deze verordening dient van toepassing te zijn op verwerking waarbij identificatiemiddelen betrokken zijn via apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen en identificatiecookies. Dit kan sporen achterlaten die, in combinatie met unieke identificatoren en andere door de servers ontvangen informatie, kunnen worden gebruikt om profielen op te stellen van personen en personen te herkennen. Identificatienummers, locatiegegevens, online-identificatiemiddelen en andere specifieke factoren hoeven dus niet onder alle omstandigheden als persoonsgegevens te worden beschouwd. en radiofrequentie-identificatietags, tenzij deze identificatiemiddelen geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. [Am. 7]

(25)  Toestemming dient uitdrukkelijk te worden gegeven op elke passende wijze die de gebruiker in staat stelt door middel van hetzij een verklaring, hetzij een ondubbelzinnige, actieve handeling op basis van een keuze vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, teneinde te waarborgen dat personen er zich bewust van zijn dat zij toestemming geven voor de verwerking van persoonsgegevens,. bijvoorbeeld door Ondubbelzinnige, actieve handelingen omvatten het bij een bezoek aan een internetwebsite op een vakje te klikken, of door een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilte, het louter gebruiken van een dienst of inactiviteit dient derhalve niet als toestemming te gelden. De toestemming dient te gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doelen dienen. Indien de betrokkene zijn toestemming moet geven na een elektronisch verzoek, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de betrokken dienst. [Am. 8]

(26)  Persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van de betrokkene, informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon; een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van de persoon geldt voor gezondheidsdoeleinden; informatie over de persoon die tijdens de verstrekking van gezondheidszorg aan hem is verzameld; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters; de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene; of informatie over bv. ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.

(27)  De belangrijkste vestiging van een voor de verwerking verantwoordelijke in de Unie dient te worden bepaald op grond van objectieve criteria, zoals het effectief en daadwerkelijk uitvoeren van beheersactiviteiten door een vaste vestiging, waar de voornaamste besluiten worden genomen over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens. Dit criterium dient los te staan van het feit of de verwerking van de persoonsgegevens daadwerkelijk op die locatie plaatsvindt; de aanwezigheid en het gebruik van technische middelen en technologieën voor de verwerking van persoonsgegevens of verwerkingsactiviteiten zijn niet bepalend voor het belang van een vestiging en zijn dan ook geen doorslaggevende criteria om te bepalen of het om een belangrijkste vestiging gaat. De belangrijkste vestiging van de verwerker dient de plaats te zijn waar zich zijn centrale administratie in de Unie bevindt.

(28)  Een groep van ondernemingen dient te bestaan uit een onderneming die zeggenschap uitoefent en de ondernemingen waarover zeggenschap wordt uitgeoefend, waarbij de onderneming die zeggenschap uitoefent de onderneming dient te zijn die overheersende invloed kan uitoefenen over de andere ondernemingen uit hoofde van eigendom, financiële deelneming of op haar van toepassing zijnde voorschriften, of op grond van de bevoegdheid om voorschriften inzake de bescherming van persoonsgegevens te doen uitvoeren.

(29)  Kinderen verdienen met betrekking tot hun persoonsgegevens extra bescherming, aangezien zij zich allicht minder bewust zijn van de risico’s, gevolgen, beschermingsmaatregelen en rechten in verband met de verwerking van persoonsgegevens. Voor de vaststelling of een persoon een kind is, dient in deze verordening de in het VN-Verdrag inzake de rechten van het kind vervatte definitie te worden overgenomen. Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene in verband met het rechtstreeks aanbieden van goederen of diensten aan kinderen, dient toestemming te worden gegeven of machtiging tot toestemming te worden verleend door de ouder of voogd van het kind wanneer het kind jonger dan 13 jaar is. Wanneer kinderen de doelgroep zijn, dient op de leeftijd afgestemde taal te worden gebruikt. Andere grondslagen voor rechtmatige verwerking zoals redenen van algemeen belang moeten van toepassing blijven, bijvoorbeeld voor verwerking in de context van preventieve of adviseringsdiensten die rechtstreeks aan het kind worden aangeboden. [Am. 9]

(30)  Elke verwerking van persoonsgegevens dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van de gegevens. De gegevens dienen adequaat, ter zake dienend te zijn en beperkt te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; derhalve dient er met name voor te worden gezorgd dat de verzamelde gegevens niet excessief zijn en dat de opslagperiode van de gegevens tot een strikt minimum wordt beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden verwezenlijkt. Alle redelijke maatregelen worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de voor de verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens of voor een periodieke toetsing.

(31)  Voor rechtmatige verwerking van persoonsgegevens is toestemming van de betrokkene vereist of een andere gerechtvaardigde grondslag waarin de wet voorziet, hetzij in deze verordening, hetzij in andere wetgeving van de Unie of van de lidstaten als bedoeld in deze verordening. Indien een kind of een persoon niet handelingsbekwaam is, dient in het desbetreffende recht van de Unie of van de lidstaat te zijn vastgesteld onder welke voorwaarden de betreffende persoon zijn toestemming geeft of machtiging tot toestemming verleent. [Am. 10]

(32)  Wanneer de verwerking plaatsvindt op grond van toestemming van de betrokkene, dient het bewijs dat de betrokkene toestemming heeft gegeven voor de verwerking te worden geleverd door de voor de verwerking verantwoordelijke. Met name in de context van een schriftelijke verklaring over een andere zaak dient te worden gewaarborgd dat de betrokkene zich ervan bewust is dat hij toestemming geeft en hoever deze toestemming reikt. Om te voldoen aan het beginsel van gegevensminimalisering mag de bewijslevering niet worden geïnterpreteerd als het verstrekken van de positieve identificatie van betrokkenen, tenzij dit noodzakelijk is. Net als bij regelingen in het burgerlijk recht (bijvoorbeeld Richtlijn 93/13/EEG(8)) moet het beleid inzake gegevensbescherming zo duidelijk en transparant mogelijk zijn. Het mag geen verborgen of nadelige bepalingen bevatten. Er kan geen toestemming worden gegeven voor de verwerking van persoonsgegevens van derden. [Am. 11]

(33)  Om te waarborgen dat het om vrije toestemming gaat, dient duidelijk te worden gemaakt dat toestemming geen geldige rechtsgrondslag is wanneer de betrokkene geen echte vrije keuze heeft en zijn toestemming derhalve niet kan weigeren of intrekken zonder nadelige gevolgen. Dit is met name het geval indien de voor de verwerking verantwoordelijke een overheidsinstantie is die krachtens haar overheidsbevoegdheden een verplichting kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil gegeven. Het gebruik van standaardkeuzes die de betrokkene dient te wijzigen om bezwaar te maken tegen de verwerking, zoals het gebruik van reeds aangekruiste vakjes, is geen uiting van vrije toestemming. Toestemming voor de verwerking van aanvullende persoonsgegevens die niet noodzakelijk zijn voor het verlenen van een dienst mag niet vereist zijn voor het gebruiken van de dienst. Wanneer de toestemming wordt ingetrokken, mag dit de beëindiging of niet-uitvoering van een dienst die afhankelijk is van de gegevens mogelijk maken. Als niet duidelijk kan worden vastgesteld wanneer het voorgenomen doel is verwezenlijkt, moet de voor de verwerking verantwoordelijke de betrokkene regelmatig informatie verstrekken over de verwerking en verzoeken zijn toestemming opnieuw te bevestigen. [Am. 12]

(34)  Toestemming kan geen rechtsgrondslag voor verwerking zijn wanneer er sprake is van een duidelijke onevenwichtigheid tussen de betrokkene en de voor de verwerking verantwoordelijke. Dit is met name het geval wanneer de betrokkene zich in een situatie van afhankelijkheid jegens de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn persoonsgegevens worden verwerkt door zijn werkgever. Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie is, zou er alleen sprake zijn van een onevenwichtigheid bij specifieke gegevensverwerkingsoperaties als deze overheidsinstantie krachtens haar overheidsbevoegdheden een verplichting kan opleggen en de toestemming niet kan worden beschouwd als uit vrije wil gegeven, gelet op het belang van de betrokkene. [Am. 13]

(35)  Verwerking die nodig is in het kader van een contract of een voorgenomen contract, dient rechtmatig te zijn.

(36)  Wanneer de verwerking wordt verricht omdat de voor de verwerking verantwoordelijke hiertoe wettelijk is verplicht of wanneer de verwerking nodig is voor de vervulling van een taak van algemeen belang dan wel voor een taak in het kader van de uitoefening van het openbaar gezag, dient de verwerking een rechtsgrondslag te hebben in recht van de Unie of van de lidstaat die voldoet aan de in het Handvest vervatte vereisten voor beperkingen van de rechten en vrijheden. Dit moet collectieve overeenkomsten omvatten die in het nationaal recht kunnen worden erkend als algemeen geldend. Ook dient in het recht van de Unie of van de lidstaat te worden vastgesteld of de voor de verwerking verantwoordelijke die belast is met een taak van algemeen belang dan wel met een taak in het kader van de uitoefening van het openbaar gezag een overheidsdienst of een andere publiekrechtelijke of privaatrechtelijke persoon, zoals een beroepsvereniging, moet zijn. [Am. 14]

(37)  De verwerking van persoonsgegevens dient ook als geoorloofd te worden beschouwd wanneer zij nodig is voor de bescherming van een belang dat voor het leven van de betrokkene essentieel is.

(38)  Het gerechtvaardigde belang van een de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, kan een rechtsgrondslag voor verwerking bieden, mits wordt voldaan aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke en mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren. Hierbij is een zorgvuldige beoordeling geboden, met name wanneer de betrokkene een kind is, aangezien kinderen specifieke bescherming verdienen. Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, dient verwerking die beperkt is tot pseudonieme gegevens te worden geacht te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. De betrokkene dient het recht te hebben kosteloos bezwaar te maken tegen de verwerking op gronden die verband houden met zijn bijzondere situatie. Om transparantie te waarborgen dient de voor de verwerking verantwoordelijke te worden verplicht de betrokkene uitdrukkelijk over de gerechtvaardigde belangen die worden nagestreefd en het recht van bezwaar te informeren, en ook te worden verplicht deze gerechtvaardigde belangen te staven. De belangen en grondrechten van de betrokkene wegen met name zwaarder dan het belang van de voor de verwerking verantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever is om de rechtsgrondslag te creëren voor gegevensverwerking door overheidsinstanties, dient deze rechtsgrond niet van toepassing te zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. [Am. 15]

(39)  De verwerking van verkeersgegevens voor zover die strikt noodzakelijk en evenredig is met het oog op netwerk- en informatieveiligheid, d.w.z. dat een netwerk of informatiesysteem op een bepaald vertrouwelijkheidsniveau bestand is tegen incidentele gebeurtenissen of onwettige of kwaadaardige acties die de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van opgeslagen of doorgegeven gegevens in het gedrang brengen, en de beveiliging van de desbetreffende diensten die door deze netwerken en systemen worden geboden of via deze toegankelijk zijn, door overheidsinstanties, responsteams voor computernoodgevallen (Computer Emergency Response Teams, CERT’s), computercalamiteitenteams (Computer Security Incident Response Teams, CSIRT’s) aanbieders van elektronische communicatienetwerken of –diensten en aanbieders van beveiligingstechnologie en -diensten, is een gerechtvaardigd belang van de voor de verwerking verantwoordelijke. Zo kan er bijvoorbeeld sprake zijn van het verhinderen van onbevoegde toegang tot elektronischecommunicatienetwerken en van verspreiding van kwaadaardige codes, alsook van het stoppen van „denial of service”- aanvallen en van schade aan computers en elektronischecommunicatiesystemen. Dit beginsel is eveneens van toepassing op de verwerking van persoonsgegevens om onbevoegde toegang tot en misbruik van algemeen beschikbare netwerk- of informatiesystemen te beperken, zoals het op een zwarte lijst plaatsen van elektronische identificatiemiddelen. [Am. 16]

(39 bis)  Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, moet de preventie of beperking van vorderingen aan de zijde van de voor de verwerking verantwoordelijke worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. Hetzelfde beginsel geldt ook voor de toepassing van rechtsvorderingen tegen een betrokkene, zoals de inning van schulden of vorderingen tot schadevergoeding en andere vormen van genoegdoening. [Am. 17]

(39 ter)  Mits het belang of de rechten en vrijheden van de betrokkene niet prevaleren, moet de verwerking van persoonsgegevens voor direct marketing-doeleinden voor eigen en soortgelijke producten en diensten of ten behoeve van direct marketing per post worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke, indien uiterst zichtbare informatie over het recht op bezwaar en over de bron van de gegevens wordt verstrekt. De verwerking van zakelijke contactgegevens moet algemeen worden geacht te worden uitgevoerd in het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en te voldoen aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke. Hetzelfde moet gelden voor de verwerking van persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt. [Am. 18]

(40)  De verwerking van persoonsgegevens voor andere doeleinden dient alleen te worden toegestaan als de verwerking verenigbaar is met de doeleinden waarvoor de gegevens in eerste instantie zijn verzameld, met name wanneer de verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek. Wanneer het andere doeleinde niet verenigbaar is met het doeleinde waarvoor de gegevens aanvankelijk zijn verzameld, dient de voor de verwerking verantwoordelijke toestemming van de betrokkene te verkrijgen voor de verwerking voor dit andere doeleinde of de verwerking op een andere rechtsgrondslag te baseren, in het bijzonder wanneer hierin wordt voorzien door de wetgeving van de Unie of door de wetgeving van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is. Er dient in ieder geval voor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene wordt geïnformeerd over dergelijke andere doeleinden. [Am. 19]

(41)  Persoonsgegevens die door hun aard bijzonder gevoelig en kwetsbaar zijn wat betreft de grondrechten of de persoonlijke levenssfeer, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de betrokkene hier uitdrukkelijk toestemming voor geeft. Niettemin dient uitdrukkelijk in uitzonderingen op dit verbod te worden voorzien met het oog op specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van wettige activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken. [Am. 20]

(42)  Er dient ook van het verbod op de verwerking van categorieën gevoelige gegevens te kunnen worden afgeweken, indien de wet hierin voorziet en er passende waarborgen worden geboden ter bescherming van persoonsgegevens en andere grondrechten, op grond van een zwaarwegend algemeen belang en in het bijzonder voor gezondheidsdoeleinden, zoals volksgezondheid en sociale bescherming en het beheer van gezondheidsdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, of voor historisch, statistisch en wetenschappelijk onderzoek, of voor archiefdiensten. [Am. 21]

(43)  Bovendien vindt de verwerking van persoonsgegevens door overheidsinstanties ter verwezenlijking van in het constitutionele recht of in het volkenrecht vastgelegde doelstellingen van officieel erkende religieuze verenigingen plaats op grond van een algemeen belang.

(44)  Als het bij verkiezingsactiviteiten voor de goede werking van de democratie in een lidstaat vereist is dat politieke partijen gegevens over de politieke opvattingen van personen verzamelen, kan de verwerking van zulke gegevens op grond van een algemeen belang worden toegelaten, mits er passende garanties worden vastgesteld.

(45)  Wanneer de door de voor de verwerking verantwoordelijke in de door hem verwerkte gegevens geen natuurlijk persoon kan identificeren, hoeft hij niet te worden verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, aanvullende informatie te verkrijgen ter identificatie van de betrokkene. Bij een verzoek om toegang moet de voor de verwerking verantwoordelijke bevoegd zijn de betrokkene aanvullende informatie te vragen om de gezochte persoonsgegevens te kunnen vinden. Als de betrokkene deze gegevens kan verstrekken, mogen de voor de verwerking verantwoordelijken niet over de mogelijkheid beschikken om een gebrek aan informatie in te roepen als reden om een verzoek om toegang te weigeren. [Am. 22]

(46)  Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of de betrokkene eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden gebruikt. Dit geldt in het bijzonder voor onlineadvertenties en andere situaties waarin het door zowel het grote aantal spelers als de technologische complexiteit van de praktijk voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn of haar persoonsgegevens worden verzameld. Aangezien kinderen specifieke bescherming verdienen, dient wanneer de verwerking specifiek betrekking heeft op een kind, de informatie en communicatie in zulke duidelijke en eenvoudige taal te worden gesteld dat het kind deze gemakkelijk kan begrijpen.

(47)  Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn of haar rechten uit hoofde van deze verordening uit te oefenen, zoals mechanismen om kosteloos te verzoeken om, met name, toegang tot gegevens, rectificatie, uitwissing en uitoefening van het recht van bezwaar te krijgen. De voor de verwerking verantwoordelijke dient verplicht te zijn binnen een gestelde redelijke termijn te reageren op een verzoek van de betrokkene en een eventuele weigering om gehoor te geven aan het verzoek van de betrokkene te motiveren. [Am. 23]

(48)  Overeenkomstig de beginselen van eerlijke en transparante verwerking dient de betrokkene met name te worden ingelicht over het feit dat er verwerking plaatsvindt en waartoe, en te worden gewezen op over hoe lang de bewaringstermijn van de gegevens, waarschijnlijk zullen worden bewaard voor elk doeleinde, over de vraag of de gegevens worden doorgegeven aan derden of derde landen, over het bestaan van mogelijkheden om bezwaar aan te tekenen en over het het recht van toegang, rectificatie of uitwissing, en het recht een klacht in te dienen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem te worden medegedeeld of hij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. Deze informatie dient te worden verstrekt, wat eveneens kan betekenen dat ze ruim beschikbaar moet worden gesteld, aan de betrokkene na de verstrekking van vereenvoudigde informatie in de vorm van gestandaardiseerde icoontjes. Dit betekent eveneens dat persoonsgegevens dusdanig moeten worden verwerkt dat de betrokkene in staat is zijn rechten daadwerkelijk uit te oefenen. [Am. 24]

(49)  De informatie over de verwerking van persoonsgegevens betreffende de betrokkene dient hem of haar te worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, binnen redelijke tijd, naargelang de specifieke omstandigheden. Wanneer de gegevens rechtmatig kunnen worden verstrekt aan een andere ontvanger, dient de betrokkene te worden meegedeeld wanneer de gegevens voor het eerst aan de ontvanger worden verstrekt.

(50)  Deze verplichting is echter overbodig wanneer de betrokkene al over op de hoogte is van deze informatie beschikt, of wanneer de vastlegging of mededeling van de gegevens uitdrukkelijk bij wet is voorgeschreven of de verstrekking van informatie aan de betrokkene onmogelijk blijkt of onevenredig veel moeite zou kosten. Dit laatste zou met name het geval kunnen zijn wanneer verwerking nodig is voor historisch, statistisch of wetenschappelijk onderzoek; hierbij mag in aanmerking worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke compenserende maatregelen kunnen worden getroffen. [Am. 25]

(51)  Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens worden verwerkt, hoe lang zij naar schatting worden bewaard, welke ontvangers de gegevens ontvangen, welke algemene logica er ten grondslag ligt aan de verwerking van de gegevens en, ten minste wanneer de verwerking op profilering is gebaseerd, wat de gevolgen zouden kunnen zijn van een dergelijke verwerking. Dit recht dient geen afbreuk te doen aan de rechten en vrijheden van anderen, met inbegrip van het zakengeheim of de intellectuele eigendom, en met name aan bijvoorbeeld met betrekking tot het auteursrecht dat de software beschermt. Deze overwegingen mogen er echter niet toe leiden dat de betrokkene alle informatie wordt onthouden. [Am. 26]

(52)  De voor de verwerking verantwoordelijke dient, met name met betrekking tot onlinediensten en online-identificatiemiddelen, alle redelijke maatregelen te nemen om de identiteit te controleren van een betrokkene die om toegang verzoekt. Een voor de verwerking verantwoordelijke dient persoonsgegevens niet uitsluitend te bewaren om op eventuele verzoeken te kunnen reageren.

(53)  Eenieder dient het recht te hebben persoonsgegevens over zichzelf te laten rectificeren en het “recht om te worden vergeten wissen”, als het bewaren van dergelijke gegevens niet in overeenstemming is met deze verordening. Betrokkenen dienen met name het recht te hebben dat hun persoonsgegevens worden uitgewist en niet verder worden verwerkt als de gegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt, als de betrokkenen hun toestemming voor de verwerking hebben ingetrokken of bezwaar maken tegen de verwerking van hun persoonsgegevens, of als de verwerking van hun persoonsgegevens op een ander punt niet met deze verordening in overeenstemming is. Dit recht is uitermate relevant wanneer de betrokkene toestemming heeft gegeven als kind, toen hij zich nog niet volledig bewust was van de risico’s van verwerking, en dergelijke persoonsgegevens later wil verwijderen, met name van het internet. Gegevens dienen echter langer te kunnen worden bewaard als dit nodig is voor historisch, statistisch en wetenschappelijk onderzoek, om redenen van algemeen belang op het gebied van de volksgezondheid, voor de uitoefening van het recht op vrijheid van meningsuiting, wanneer de wet dit voorschrijft of wanneer er een reden is om de verwerking van gegevens te beperken in plaats van de gegevens te wissen. Het recht om gegevens te laten wissen moet ook niet van toepassing zijn indien het bewaren van persoonsgegevens noodzakelijk is voor de uitvoering van een contract met de betrokkene, of indien er een wettelijke verplichting bestaat om deze gegevens te bewaren. [Am. 27]

(54)  Ter versterking van het “recht om gegevens te worden vergeten laten wissen” door onlinetoepassingen, dient het recht op uitwissing van gegevens zodanig te worden uitgebreid, dat de voor de verwerking verantwoordelijke die de persoonsgegevens zonder wettelijke rechtvaardiging openbaar heeft gemaakt, verplicht is alle nodige stappen te ondernemen om de gegevens te laten wissen, eveneens door derden die dergelijke gegevens verwerken, ervan op , onverminderd het recht van de hoogte te stellen dat de betrokkene hun verzoekt iedere koppeling met, of kopie of reproductie van die persoonsgegevens uit te wissen. De voor de verwerking verantwoordelijke dient alle redelijke maatregelen te nemen, waaronder technische maatregelen, om te waarborgen dat voor gegevens waarvan de openbaarmaking zijn verantwoordelijkheid is, deze derden daadwerkelijk worden geïnformeerd. Ten aanzien van openbaarmaking van persoonsgegevens door een derde dient de voor de verwerking verantwoordelijke te worden beschouwd als verantwoordelijk voor de openbaarmaking als hij de derde toestemming heeft verleend voor de openbaarmaking. om schadevergoeding te eisen. [Am. 28]

(54 bis)  Gegevens waarvan de betrokkene de juistheid betwist en waarvan niet kan worden vastgesteld of zij juist dan wel onjuist zijn, worden afgeschermd tot wanneer de kwestie opgehelderd is. [Am. 29]

(55)  Om de controle over hun eigen gegevens en hun recht van toegang verder te versterken, dienen, wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, betrokkenen het recht te hebben om van de gegevens over hen ook een kopie in een elektronisch en algemeen gebruikt formaat te ontvangen. De betrokkenen dienen deze door hen verstrekte gegevens ook van de ene geautomatiseerde toepassing, zoals een sociaal netwerk, naar de andere te kunnen doorgeven. Voor de verwerking verantwoordelijken dienen te worden aangemoedigd om interoperabele formaten te ontwikkelen die de meeneembaarheid van gegevens mogelijk maakt. Dit dient van toepassing te zijn wanneer de betrokkenen de gegevens aan het geautomatiseerde verwerkingssysteem heeft verstrekt, door zijn of haar toestemming te geven dan wel een overeenkomst uit te voeren. Aanbieders van diensten van de informatiemaatschappij mogen de doorgifte van die gegevens voor de verlening van hun diensten niet verplicht stellen. [Am. 30]

(56)  Wanneer persoonsgegevens rechtmatig kunnen worden verwerkt ter vrijwaring van een vitaal belang van de betrokkene, of op grond van een algemeen belang, overheidsgezag of een wettig belang van een voor de verwerking verantwoordelijke, dient een betrokkene niettemin op eenvoudige en doeltreffende wijze kosteloos bezwaar te kunnen maken tegen de verwerking van gegevens die op hem of haar betrekking hebben. Het dient aan de voor de verwerking verantwoordelijke te zijn om te bewijzen dat zijn of haar gerechtvaardigde belangen wellicht zwaarder wegen dan de grondrechten en fundamentele vrijheden van de betrokkene. [Am. 31]

(57)  Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing, dient de betrokkene het recht te hebben om hier op eenvoudige en doeltreffende wijze kosteloos heeft bezwaar tegen te maken tegen de verwerking, dient de voor de verwerking verantwoordelijke dit expliciet aan de betrokkene aan te bieden op een begrijpelijke manier, in begrijpelijke vorm en in duidelijke en eenvoudige taal, en hij dient te zorgen voor een duidelijk onderscheid met andere informatie. [Am. 32]

(58)  Iedere Onverminderd de rechtmatigheid van de gegevensverwerking moet iedere natuurlijke persoon dient het recht hebben om bezwaar te hebben niet te worden onderworpen aan een maatregel die is gebaseerd op profilering door middel van geautomatiseerde verwerking. Een dergelijke maatregel maken tegen profilering. Profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen, dient echter wel mogelijk enkel toegelaten te zijn wanneer deze dit uitdrukkelijk is toegestaan bij de wet, of wordt genomen uitgevoerd in het kader van het sluiten of uitvoeren van een overeenkomst of wanneer de betrokkene zijn toestemming heeft gegeven. Op een dergelijke verwerking dienen passende waarborgen van toepassing te zijn, waaronder specifieke informering van de betrokkene, het recht op menselijke tussenkomst beoordeling en de bepaling dat een dergelijke maatregel geen betrekking mag hebben op kinderen. Dergelijke maatregelen mogen niet leiden tot discriminatie van individuen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, seksuele gerichtheid of genderidentiteit. [Am. 33]

(58 bis)   Er moet van worden uitgegaan dat profilering die enkel gebaseerd is op de verwerking van pseudonieme gegevens de belangen, rechten of vrijheden van de betrokkene niet in aanzienlijke mate treft. Indien profilering, gebaseerd op een enkele bron van pseudonieme gegevens of op de samenvoeging van pseudonieme gegevens afkomstig van verschillende bronnen, de voor de verwerking verantwoordelijke in staat stelt om pseudonieme gegevens te koppelen aan een specifieke betrokkene, mogen de verwerkte gegevens niet langer als pseudoniem worden beschouwd. [Am. 34]

(59)  In het recht van de Unie of van de lidstaat kunnen beperkingen worden gesteld aan de specifieke beginselen en de rechten van informatie, rectificatie en wissen of het recht op toegang, rectificatie, uitwissing, gegevensoverdraagbaarheid en en gegevensverkrijging, het recht op bezwaar, alsook aan maatregelen gebaseerd op profilering, aan de melding aan de betrokkene van een inbreuk op persoonsgegevens en aan bepaalde daarmee verband houdende verplichtingen van de voor de verwerking verantwoordelijken, wanneer dat in een democratische samenleving noodzakelijk en proportioneel is voor het beschermen van de openbare veiligheid, waaronder de bescherming van het menselijk leven – met name bij natuurlijke of door de mens veroorzaakte rampen–, voor het voorkomen, onderzoeken en vervolgen van strafbare feiten of van schendingen van de beroepscodes voor gereglementeerde beroepen, voor het beschermen van andere specifieke en welbepaalde algemene belangen van de Unie of een lidstaat, met name een gewichtig economisch of financieel belang van de Unie of een lidstaat, of voor het beschermen van de betrokkene of de rechten en vrijheden van anderen. Deze beperkingen moeten in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. [Am. 35]

(60)  Er dient te worden voorzien in alomvattende verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke, met name met betrekking tot documentatie, gegevensbeveiliging, effectbeoordelingen, de functionaris voor gegevensbescherming en toezicht door gegevensbeschermingsautoriteiten. Met name dient de voor de verwerking verantwoordelijke erop toe te zien en in staat te worden verplicht zijn aan te tonen dat elke verwerking overeenkomstig deze verordening geschiedt. Dit moet worden getoetst door onafhankelijke interne of externe controleurs. [Am. 36]

(61)  Ter bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens zijn zowel bij het ontwerpen als bij de uitvoering van de verwerking passende technische en organisatorische maatregelen nodig, om te waarborgen dat aan de bepalingen van deze verordening wordt voldaan. Teneinde overeenstemming met deze verordening te waarborgen en aan te tonen, dient de voor de verwerking verantwoordelijke intern beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder voldoen aan de beginselen inzake privacy by design en by default. Het beginsel van gegevensbescherming by design vereist dat gegevensbescherming wordt ingebouwd gedurende de gehele levenscyclus van de technologie, van het allereerste ontwerpstadium tot aan de feitelijke uitrol, het gebruik en de uiteindelijke vernietiging ervan. Dit dient eveneens de verantwoordelijkheid te omvatten voor de producten en diensten die worden gebruikt door de voor de verwerking verantwoordelijke of de verwerker. Het beginsel van gegevensbescherming by default vereist dat privacyinstellingen op diensten en producten standaard voldoen aan de algemene beginselen van gegevensbescherming, zoals gegevensminimalisering en beperking van doeleinden. [Am. 37]

(62)  Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk, onder meer wat het toezicht door en de maatregelen van de toezichthoudende autoriteiten betreft, dat de bij deze verordening vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke. De regeling tussen de gemeenschappelijk voor de verwerking verantwoordelijken moet naar behoren weergeven welke effectieve rollen de gezamenlijk voor de verwerking verantwoordelijken vervullen en wat hun onderlinge verhouding is. De verwerking van persoonsgegevens op grond van deze verordening moet de toestemming voor een voor de verwerking verantwoordelijke omvatten om de gegevens door te geven aan een gezamenlijk voor de verwerking verantwoordelijke of aan een verwerker voor de verwerking van de gegevens namens hem of haar. [Am. 38]

(63)  Wanneer de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen gebeurt door een niet in de Unie gevestigde verwerker verband houdt met het aanbieden van goederen of diensten aan dergelijke betrokkenen of met het observeren van hun gedrag, dient de voor de verwerking verantwoordelijke een vertegenwoordiger aan te wijzen, tenzij de voor de verwerking verantwoordelijke is gevestigd in een derde land dat een passend beschermingsniveau waarborgt, de verwerking betrekking heeft op minder dan 5 000 betrokkenen in een achtereenvolgende periode van 12 maanden en er geen speciale categorieën persoonsgegevens worden verwerkt, de voor de voor de verwerking verantwoordelijke een kleine of middelgrote onderneming of een overheidsinstantie of –lichaam is, of de voor de verwerking verantwoordelijke dergelijke betrokkenen slechts incidenteel goederen of diensten aanbiedt. De vertegenwoordiger dient namens de voor de verwerking verantwoordelijke op te treden en kan door iedere toezichthoudende autoriteit worden benaderd. [Am. 39]

(64)  Om uit te maken of een voor de verwerking verantwoordelijke slechts incidenteel goederen en diensten aanbiedt aan betrokkenen die in de Unie wonen, dient te worden vastgesteld of uit de algemene activiteiten van de voor de verwerking verantwoordelijke duidelijk blijkt dat het aanbieden van goederen en diensten aan dergelijke betrokkenen slechts een nevenactiviteit is. [Am. 40]

(65)  Voor het aantonen van Om in staat te zijn om overeenstemming met deze verordening dient aan te tonen, moet de voor de verwerking verantwoordelijke of de verwerker elke verwerking te documenteren. de nodige documentatie bijhouden om te voldoen aan de eisen die in deze verordening zijn vastgesteld. Elke voor de verwerking verantwoordelijke en elke verwerker dient ertoe te worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op verwerkingsactiviteiten om de naleving van de verordening te beoordelen. Goede praktijken en naleving zijn echter van even groot belang en dienen evenveel aandacht te krijgen als de documenten als zodanig. [Am. 41]

(66)  Teneinde de veiligheid te waarborgen en te voorkomen dat verwerking plaatsvindt die strijdig is met deze verordening, dienen de voor de verwerking verantwoordelijke en de verwerker de risico’s die de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico’s te beperken. Deze maatregelen dienen een passend niveau van veiligheid te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van technische normen en organisatorische maatregelen voor de veiligheid van de verwerking dient de Commissie technologische neutraliteit, interoperabiliteit en innovatie te bevorderen en zo nodig samen te werken worden bevorderd en dient samenwerking met derde landen zo nodig te worden aangemoedigd. [Am. 42]

(67)  Een inbreuk op de persoonlijke gegevens kan, wanneer dit probleem niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokkene aanzienlijk economisch verlies en maatschappelijke schade, inclusief identiteitsfraude, tot gevolg hebben. Zodra een De voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij de toezichthoudende autoriteit daarvan dan ook onverwijld, en waar mogelijk dit wil zeggen binnen 24 de 72 uur, op de hoogte te stellen. Wanneer dit niet binnen 24 uur kan worden gerealiseerd, In voorkomend geval dient de kennisgeving vergezeld te gaan van een verklaring voor de vertraging. Wanneer de inbreuk negatieve gevolgen kan hebben voor de persoonsgegevens, dienen de betrokkenen daarvan zonder onnodig uitstel in kennis te worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor de persoonsgegevens of de persoonlijke levenssfeer van een betrokkene, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie. De kennisgeving dient zowel de aard van de inbreuk in verband met persoonsgegevens te vermelden en aanbevelingen te geven over hoe de betrokkene mogelijke negatieve gevolgen kan beperken. De betrokkenen dienen zo snel als redelijkerwijs mogelijk is, in nauwe samenwerking met de toezichthoudende autoriteit en met inachtneming van de door haarzelf of andere relevante autoriteiten (zoals rechtshandhavingsautoriteiten) aangereikte richtsnoeren, in kennis te worden gesteld. Zo zouden betrokkenen bijvoorbeeld onverwijld in kennis moeten worden gesteld om hun de gelegenheid te bieden een onmiddellijke bedreiging te beperken, terwijl een langere termijn gerechtvaardigd kan zijn als er passende maatregelen moeten worden genomen tegen aanhoudende of soortgelijke inbreuken. [Am. 43]

(68)  Om te bepalen of een inbreuk op persoonsgegevens onverwijld aan de toezichthoudende autoriteit en de betrokkene is gemeld, dient te worden vastgesteld of de voor de verwerking verantwoordelijke passende technologische beschermingsmaatregelen en organisatorische maatregelen heeft genomen om onmiddellijk uit te maken of inbreuk op persoonsgegevens heeft plaatsgevonden en de toezichthoudende autoriteiten en de betrokkene zo snel mogelijk te informeren, voordat er persoonlijke of economische belangen worden geschaad, waarbij met name rekening dient te worden gehouden met de aard en ernst van de inbreuk op de persoonsgegevens en de gevolgen en negatieve effecten daarvan voor de betrokkene.

(69)  Bij de vaststelling van gedetailleerde regels betreffende het formaat en de procedures voor het melden van inbreuken in verband met persoonsgegevens dient de nodige aandacht te worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van identiteitsfraude of andere vormen van misbreuk in de praktijk beperkt was. Bovendien dient bij dergelijke regels en procedures rekening te worden gehouden met de gerechtvaardigde belangen van de rechtshandhavingsautoriteiten in gevallen waarin vroegtijdige verstrekking het onderzoek naar de omstandigheden van een inbreuk nodeloos zou hinderen.

(70)  Richtlijn 95/46/EG voorzag in een algemene verplichting om verwerking van persoonsgegevens aan de toezichthoudende autoriteiten te melden. Deze verplichting leidt tot administratieve en financiële lasten, maar heeft niet in alle gevallen bijgedragen tot betere bescherming van de persoonsgegevens. Derhalve dient deze ongedifferentieerde algemene kennisgevingsplicht te worden afgeschaft en te worden vervangen door doeltreffende procedures en mechanismen die gericht zijn op verwerkingsoperaties die naar hun aard, reikwijdte of doeleinden waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen meebrengen. In dergelijke gevallen dient de voor de verwerking verantwoordelijke of de verwerker voorafgaand aan de verwerking een privacyeffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze verordening is voldaan.

(71)  Dit dient met name te gelden voor nieuw opgezette grootschalige bestanden die bedoeld zijn voor het verwerken van een aanzienlijke hoeveelheid persoonsgegevens op regionaal, nationaal of supranationaal niveau en waarvan een groot aantal betrokkenen gevolgen zou kunnen ondervinden.

(71 bis)  Privacyeffectbeoordelingen zijn de essentiële spil van elk duurzaam gegevensbeschermingskader en zorgen ervoor dat ondernemingen zich vanaf het allereerste begin bewust zijn van alle mogelijke gevolgen van hun gegevensverwerkingen. Indien privacyeffectbeoordelingen grondig worden uitgevoerd, kan de kans op gegevensinbreuk en inbreuk op de privacy verregaand worden beperkt. Effectbeoordelingen op het gebied van gegevensverwerking moeten dientengevolge consequent betrekking hebben op het beheer van de gehele levenscyclus van persoonsgegevens, vanaf verzameling tot aan verwerking tot aan verwijdering, waarbij de voorgenomen verwerkingen nauwkeurig worden beschreven, alsmede de risico's voor de rechten en vrijheden van betrokkenen, de voorgenomen maatregelen ter beteugeling van de risico's, de waarborgen, de veiligheidsmaatregelen en de mechanismen ter naleving van deze verordening. [Am. 44]

(71 ter)  Voor de verwerking verantwoordelijken dienen zich gedurende de hele levenscyclus van persoonsgegevens - van de vergaring via de verwerking tot de verwijdering ervan - te richten op de bescherming daarvan door vanaf het allereerste begin te investeren in een duurzaam kader voor gegevensbeheer en dit middels een uitgebreid nalevingsmechanisme ten uitvoer te leggen. [Am. 45]

(72)  Onder bepaalde omstandigheden kan het verstandig en nuttig zijn dat de privacyeffectbeoordeling zich niet beperkt tot een enkel project, bijvoorbeeld wanneer overheidsinstanties of ‑lichamen een gemeenschappelijk applicatie- of verwerkingsplatform willen opzetten of wanneer meerdere voor de verwerking verantwoordelijken van plan zijn een gemeenschappelijke applicatie- of verwerkingsomgeving in te voeren voor een hele bedrijfstak, of een segment daarvan, of voor een gangbare horizontale activiteit.

(73)  Privacyeffectbeoordelingen dienen te worden verricht door een overheidsinstantie of –lichaam, indien een dergelijke beoordeling niet al is uitgevoerd in het kader van de aanneming van de nationale wet waarop de vervulling van de taken van de overheidsinstantie of het overheidslichaam is gebaseerd en waarin de specifieke verwerking of reeks verwerkingen wordt geregeld. [Am. 46]

(74)  Wanneer een privacyeffectbeoordeling uitwijst dat verwerking bijvoorbeeld door het gebruik van specifieke nieuwe technologieën gepaard gaat met grote specifieke risico’s voor de rechten en vrijheden van betrokkenen, zoals het uitsluiten van personen van hun recht, dienen voor het begin van de verwerkingen de functionaris voor gegevensbescherming of de toezichthoudende autoriteiten te worden geraadpleegd over gevoelige activiteiten die mogelijk niet in overeenstemming zijn met deze verordening, en zijn voorstellen geboden om de situatie te verbeteren. Een dergelijke raadpleging van de toezichthoudende autoriteit dient ook te worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of op basis van een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. [Am. 47]

(74 bis)  Effectbeoordelingen kunnen alleen van nut zijn indien voor de verwerking verantwoordelijken ervoor zorgen dat zij de oorspronkelijk erin vervatte beloften naleven. Voor de verwerking verantwoordelijken moeten daarom periodieke evaluaties inzake gegevensbescherming uitvoeren waaruit blijkt dat de ingestelde mechanismen voor gegevensverwerking in overeenstemming zijn met de in de effectbeoordeling inzake gegevensbescherming gedane toezeggingen. Verder moet blijken dat de voor de verwerking verantwoordelijke in staat is de onafhankelijke keuzes van de betrokkenen te eerbiedigen. Indien er inconsistenties uit de evaluatie blijken, dienen deze bovendien in de evaluatie te worden uitgelicht en moeten er aanbevelingen worden gedaan voor het bewerkstelligen van volledige naleving. [Am. 48]

(75)  Wanneer de verwerking wordt uitgevoerd in de overheidssector of wanneer de verwerking in de particuliere sector wordt uitgevoerd door een grote onderneming betrekking heeft op meer dan 5 000 betrokkenen binnen een periode van 12 maanden, of wanneer de kernactiviteiten, ongeacht de grootte van de onderneming, verwerkingen omvatten van gevoelige gegevens, of verwerkingen die regelmatig en stelselmatig toezicht vereisen, dient iemand de voor de verwerking verantwoordelijke of de verwerker bij te staan bij het toezicht op de interne naleving van deze verordening. Wanneer wordt nagegaan of gegevens over een groot aantal betrokkenen worden verwerkt, moet geen rekening worden gehouden met gearchiveerde gegevens die dusdanig beperkt zijn dat ze niet vallen onder de normale toegangs- en verwerkingsactiviteiten van de voor de verwerking verantwoordelijke en niet langer kunnen worden gewijzigd. Dergelijke functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk te vervullen, of zij nu in dienst van de voor de verwerking verantwoordelijke zijn of niet en of zij deze opdracht nu voltijds uitvoeren of niet, en ze dienen te genieten van speciale bescherming tegen ontslag. De uiteindelijke verantwoordelijkheid moet bij de leiding van een organisatie blijven berusten. De functionaris voor gegevensbescherming moet met name worden geraadpleegd voordat systemen voor de geautomatiseerde verwerking van persoonsgegevens worden ontworpen, aangekocht, ontwikkeld en opgezet, om de beginselen van privacy by design en privacy by default te kunnen naleven. [Am. 49]

(75 bis)  De functionaris voor gegevensbescherming dient ten minste over de volgende kwalificaties te beschikken: brede kennis van de inhoud en toepassing van de wet inzake gegevensbescherming, met inbegrip van technische en organisatorische maatregelen en procedures; deskundig betreffende de technische vereisten voor privacy by design, privacy by default en gegevensbeveiliging; sectorspecifieke kennis in overeenstemming met de grootte van de voor de verwerking verantwoordelijke of de verwerker en de gevoeligheid van de te verwerken gegevens; het vermogen om inspecties en raadplegingen te verrichten, om documentatie te verzamelen en logbestanden te analyseren; en het vermogen om met werknemersvertegenwoordigers te werken. De voor de verwerking verantwoordelijke moet de functionaris voor gegevensbescherming de kans bieden deel te nemen aan voortgezette opleiding om de gespecialiseerde kennis te onderhouden die hij of zij nodig heeft bij de uitvoering van zijn of haar taken. Om tot functionaris voor gegevensbescherming aangewezen te worden is het niet absoluut noodzakelijk dat de respectieve functionaris zich voltijds van zijn taken kwijt. [Am. 50]

(76)  Verenigingen en andere organen die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, dienen te worden aangemoedigd om, na raadpleging van de vertegenwoordigers van de werknemers, gedragscodes op te stellen, binnen de grenzen van deze verordening, teneinde de doeltreffende uitvoering van deze verordening in de praktijk te bevorderen, rekening houdend met het specifieke karakter van de verwerkingen in sommige sectoren. Zulke codes moeten het voor de sector eenvoudiger maken om deze verordening na te leven. [Am. 51]

(77)  Teneinde de transparantie en naleving van deze verordening te versterken, dient het instellen van certificeringsmechanismen en gegevensbeschermingszegels en ‑merktekens gestandaardiseerde merktekens te worden bevorderd, zodat betrokkenen snel, betrouwbaar en controleerbaar het beschermingsniveau van relevante producten en diensten kunnen beoordelen. Een "Europese Gegevensbeschermingszegel" dient op Europees niveau te worden ingevoerd om vertrouwen te scheppen bij betrokkenen, alsmede rechtszekerheid te bieden aan de voor de verwerking verantwoordelijken en tegelijkertijd Europese gegevensbeschermingsnormen te exporteren zodat niet-Europese bedrijven dankzij hun certificering makkelijker toe kunnen treden tot Europese markten. [Am. 52]

(78)  Grensoverschrijdend verkeer van persoonsgegevens is noodzakelijk voor de ontwikkeling van het internationale handelsverkeer en de internationale samenwerking. De groei van dit verkeer brengt nieuwe uitdagingen en aandachtspunten mee met betrekking tot de bescherming van persoonsgegevens. Wanneer persoonsgegevens echter van de Unie naar derde landen of internationale organisaties worden overgedragen, mag dit niet ten koste gaan van het beschermingsniveau waarvan personen in de Unie door deze verordening verzekerd zijn. Doorgifte naar derde landen mag in ieder geval alleen plaatsvinden in volledige overeenstemming met deze verordening.

(79)  Deze verordening doet geen afbreuk aan internationale overeenkomsten die de Unie en derde landen hebben gesloten om de doorgifte van persoonsgegevens te regelen en waarin passende waarborgen voor de betrokkenen zijn opgenomen die zorgen voor een passende mate van bescherming van de grondrechten van burgers. [Am. 53]

(80)  De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is. De Commissie kan eveneens besluiten om, nadat zij het derde land daarvan in kennis heeft gesteld en haar beweegredenen volledig heeft toegelicht, een dergelijk besluit in te trekken. [Am. 54]

(81)  Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie bij haar beoordeling van het derde land in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(82)  De Commissie kan tevens besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. Wetgeving die voorziet in extraterritoriale toegang tot in de Unie verwerkte persoonsgegevens zonder toestemming krachtens het recht van de Unie of van de lidstaat, dient te worden beschouwd als een teken van een gebrekkig beschermingsniveau. De doorgifte van persoonsgegevens naar dat derde land dient dan te worden verboden. Er dient te worden geregeld dat er in die gevallen overleg plaatsvindt tussen de Commissie en de betrokken derde landen en internationale organisaties. [Am. 55]

(83)  Indien er geen besluit is genomen waarbij een beschermingsniveau passend wordt verklaard, dient de voor de verwerking verantwoordelijke of de verwerker maatregelen te nemen om het ontoereikende niveau van gegevensbescherming in een derde land te verhelpen door middel van passende waarborgen voor de betrokkenen. Dergelijke passende maatregelen kunnen erin bestaan gebruik te maken van bindende bedrijfsvoorschriften, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie, modelbepalingen inzake gegevensbescherming die zijn vastgesteld door een toezichthoudende autoriteit of contractbepalingen die zijn goedgekeurd door een toezichthoudende autoriteit. of andere geschikte en evenredige maatregelen die gerechtvaardigd zijn in het licht van alle omstandigheden van een gegevensbewerking of een reeks van gegevensbewerkingen en die zijn goedgekeurd door een toezichthoudende autoriteit Deze passende waarborgen moeten de eerbiediging van de rechten van betrokkenen handhaven op een manier die passend is voor verwerkingen binnen de EU, in het bijzonder met betrekking tot doelbinding, recht tot toegang, rectificatie, uitwissing en schadevergoeding. Deze waarborgen moeten met name zorgen voor de naleving van de beginselen met betrekking tot de verwerking van persoonsgegevens, de rechten van de betrokkene waarborgen, zorgen voor effectieve vorderingsmechanismen, zorgen voor de naleving van de beginselen inzake privacy by design en by default en het bestaan van een functionaris voor gegevensbescherming verzekeren. [Am. 56]

(84)  Dat de voor de verwerking verantwoordelijke of verwerker kan gebruikmaken van modelbepalingen inzake gegevensbescherming die zijn vastgesteld door de Commissie of een toezichthoudende autoriteit, dient niet in te houden dat hij de modelbepalingen inzake gegevensbescherming niet in een bredere overeenkomst mag opnemen of geen andere bepalingen of bijkomende waarborgen mag toevoegen, mits deze niet direct of indirect in tegenspraak zijn met de door de Commissie of een toezichthoudende autoriteit vastgestelde standaardcontractbepalingen en geen afbreuk doen aan de grondrechten of fundamentele vrijheden van de betrokkenen. De door de Commissie vastgestelde modelbepalingen inzake gegevensbescherming kunnen betrekking hebben op verschillende situaties, met name op overdrachten van voor de verwerking verantwoordelijken die in de Unie gevestigd zijn naar voor de verwerking verantwoordelijken die buiten de Unie gevestigd zijn en van voor de verwerking verantwoordelijken die in de Unie gevestigd zijn naar verwerkers, met inbegrip van subverwerkers, die buiten de Unie gevestigd zijn. Voor de verwerking verantwoordelijken en verwerkers moeten worden aangemoedigd om nog striktere waarborgen te bieden via bijkomende contractuele verplichtingen die de standaardclausules inzake gegevensbescherming aanvullen. [Am. 57]

(85)  Een bedrijfsconcern dient voor zijn internationale doorgiften uit de Unie naar organisaties binnen hetzelfde bedrijfsconcern te kunnen gebruikmaken van goedgekeurde bindende bedrijfsregels, mits daarin bepaalde alle essentiële beginselen en afdwingbare rechten zijn vastgelegd die passende waarborgen bieden ten aanzien van de doorgifte of categorieën van doorgiften van persoonsgegevens. [Am. 58]

(86)  Doorgifte dient mogelijk te zijn in bepaalde gevallen waarin de betrokkene daartoe toestemming heeft gegeven, wanneer de doorgifte nodig is in het kader van een overeenkomst of van een rechtsvordering, wanneer in het recht van de Unie of van de lidstaat vastgelegde gewichtige redenen van algemeen belang zulks vereisen, of wanneer het gaat om een doorgifte uit een bij de wet ingesteld register dat bedoeld is voor raadpleging door het publiek of personen met een gerechtvaardigd belang. In het laatste geval dient bij een dergelijke doorgifte niet de totaliteit van de in dit register opgenomen gegevens of categorieën gegevens te worden verstrekt en wanneer een register bedoeld is voor raadpleging door personen met een gerechtvaardigd belang, dient de doorgifte slechts plaats te vinden op verzoek van deze personen of wanneer de gegevens voor hen zijn bestemd, waarbij ten volle rekening wordt gehouden met de belangen en de grondrechten van de betrokkene. [Am. 59]

(87)  Deze afwijkingen dienen met name te gelden voor gegevensdoorgiften die nodig zijn op grond van gewichtige redenen van algemeen belang, zoals internationale gegevensuitwisselingen tussen mededingingsautoriteiten, belasting- of douanediensten, financiële toezichthoudende autoriteiten, diensten met bevoegdheid op het gebied van de sociale zekerheid of de autoriteiten volksgezondheid, of de overheidsinstellingen belast met de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, waaronder de voorkoming van witwassen en de bestrijding van terrorismefinanciering. Doorgifte van persoonsgegevens dient ook als rechtmatig te worden beschouwd wanneer deze nodig is voor de bescherming van een belang dat essentieel is voor het leven van de betrokkene of dat van een andere persoon, indien de betrokkene niet in staat is zijn toestemming te geven. Het doorgeven van persoonsgegevens voor zulke belangrijke doeleinden van algemeen belang mag enkel gebeuren voor occasionele doorgiften. Alle omstandigheden van de doorgifte moeten in elk afzonderlijk geval grondig worden overwogen. [Am. 60]

(88)  Doorgiften die niet als frequent of massaal kunnen worden aangemerkt, dienen ook mogelijk te zijn voor gerechtvaardigde belangen van door de voor de verwerking verantwoordelijke of de verwerker, indien hij alle omstandigheden in verband met de gegevensdoorgifte heeft beoordeeld. Met betrekking tot de verwerking voor historische, statistische of wetenschappelijke doeleinden dient rekening te worden gehouden met de gewettigde verwachting van de maatschappij dat er wordt gestreefd naar vermeerdering van kennis. [Am. 61]

(89)  Wanneer de Commissie niet heeft besloten of het niveau van gegevensbescherming in een derde land passend is, dient de voor de verwerking verantwoordelijke in elk geval gebruik te maken van oplossingen die de betrokkenen ook na de doorgifte van hun gegevens op een juridisch bindende manier verzekeren van de rechten en waarborgen die in de Unie gelden voor gegevensverwerking, voor zover de verwerking niet massaal, steeds terugkerend en structureel is. Die verzekering dient financiële schadeloosstelling te omvatten bij verlies, onbevoegde toegang of verwerking van de gegevens en een verplichting, ongeacht de nationale wetgeving, om volledige informatie te verstrekken betreffende elke toegang tot de gegevens door overheidsinstanties in het derde land. [Am. 62]

(90)  Sommige derde landen stellen wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften vast waarmee wordt beoogd de gegevensverwerkingsactiviteiten van natuurlijke en rechtspersonen die onder de jurisdictie van de lidstaten vallen, rechtstreeks te regelen. De extraterritoriale toepassing van deze wetten, bestuursrechtelijke bepalingen en andere rechtsvoorschriften kan in strijd zijn met het internationaal recht en een belemmering vormen voor de bij deze verordening gegarandeerde bescherming van personen in de Unie. Doorgiften dienen alleen te kunnen plaatsvinden wanneer wordt voldaan aan de voorwaarden die in deze verordening worden gesteld aan doorgifte naar derde landen. Dit kan onder meer het geval zijn wanneer verstrekking nodig is voor een algemeen belang dat erkend is in het Unierecht of in het recht van de lidstaat waarvan de voor de verwerking verantwoordelijke onderdaan is. Het is aan de Commissie om door middel van een gedelegeerde handeling vast te stellen wanneer er sprake is van zwaarwegende algemene belangen. Wanneer voor de verwerking verantwoordelijken of verwerkers worden geconfronteerd met tegenstrijdige nalevingseisen tussen de jurisdictie van de Unie enerzijds en die van een derde land anderzijds, moet de Commissie ervoor zorgen dat het recht van de Unie te allen tijde prevaleert. De Commissie moet de voor de verwerking verantwoordelijke en de verwerker richtsnoeren bieden en bijstand verlenen en het conflict omtrent de rechtsbevoegdheid met het derde land in kwestie proberen op te lossen. [Am. 63]

(91)  Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen, met name teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die informatie. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden, inconsistente rechtskaders en praktische obstakels, zoals beperkte middelen. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met soortgelijke instanties in het buitenland.

(92)  Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteit wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De lidstaten hebben de mogelijkheid om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Een autoriteit dient te beschikken over passende financiële en personele middelen om haar opdracht volledig te vervullen, rekening houdend met de omvang van de bevolking en het volume van de verwerking van persoonsgegevens. [Am. 64]

(93)  Wanneer een lidstaat meerdere toezichthoudende autoriteiten instelt, dient die lidstaat bij wet mechanismen in te stellen om ervoor te zorgen dat de toezichthoudende autoriteiten effectief deelnemen aan de conformiteitstoetsing. De betrokken lidstaat dient met name de toezichthoudende autoriteit aan te wijzen die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan de toetsing, teneinde een vlotte en soepele samenwerking met andere toezichthoudende autoriteiten, het Europees Comité voor gegevensbescherming en de Commissie te verzekeren.

(94)  Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen, met bijzondere aandacht voor de passende technische en juridische vaardigheden van het personeel, en de huisvesting en infrastructuur die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. [Am. 65]

(95)  De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat de leden hetzij door het parlement, hetzij of door de regering van de lidstaat worden benoemd, waarbij de mogelijkheid van politieke inmenging tot een minimum moet worden beperkt, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden, het voorkomen van belangenverstrengeling en de positie van de leden. [Am. 66]

(96)  De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van persoonsgegevens binnen de interne markt te vergemakkelijken. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken.

(97)  Wanneer de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie in meer dan één lidstaat plaatsvindt, dient één enkele toezichthoudende autoriteit, bevoegd te zijn het voorkomen van belangenvermenging voor en als de uitoefening van autoriteit die verantwoordelijk is voor het toezicht op de activiteiten van de voor de verwerking verantwoordelijke of de verwerker in de hele Unie en de daarmee samenhangende besluiten te nemen, teneinde de consequente toepassing van de richtlijn te bevorderen, rechtszekerheid te bieden en de administratieve belasting voor dergelijke voor de verwerking verantwoordelijken en verwerkers te verminderen. [Am. 67]

(98)  De bevoegde leidende autoriteit die een dergelijk éénloketsysteem aanbiedt, dient de toezichthoudende autoriteit te zijn van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker zijn belangrijkste vestiging heeft of zijn vertegenwoordiger. Het Europees Comité voor gegevensbescherming kan via de conformiteitstoetsing in bepaalde gevallen op vraag van een bevoegde autoriteit de hoofdautoriteit aanwijzen. [Am. 68]

(98 bis)  Betrokkenen van wie persoonsgegevens worden verwerkt door een voor de verwerking verantwoordelijke of verwerker in een andere lidstaat, moeten de mogelijkheid hebben zich tot de toezichthoudende autoriteit van hun keuze te richten. De hoofdautoriteit voor de gegevensbescherming moet haar activiteiten met die van de andere betrokken autoriteiten coördineren. [Am. 69]

(99)  Hoewel deze verordening ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun gerechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken te vrijwaren. Deze ontheffing dient echter strikt beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(100)  Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de bevoegdheid om onderzoek te verrichten en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden. De toezichthoudende autoriteiten dienen hun onderzoeksbevoegdheden met betrekking tot toegang tot lokalen uit te oefenen conform het Unierecht en het recht van de lidstaten. Dit geldt met name voor de verplichting van voorafgaande toestemming van een rechterlijke instantie.

(101)  Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene of een vereniging die optreedt in het algemeen belang zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, heeft een voor het specifieke geval passende reikwijdte en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene of de vereniging binnen een redelijke termijn in kennis te stellen van de voortgang en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt. [Am. 70]

(102)  De toezichthoudende autoriteiten dienen bij voorlichtingsactiviteiten voor het publiek specifieke maatregelen te nemen voor de voor de verwerking verantwoordelijken en de verwerkers.

(103)  De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de conformiteit van de toepassing en handhaving van deze verordening binnen de interne markt.

(104)  Iedere toezichthoudende autoriteit dient het recht te hebben om deel te nemen aan gezamenlijke operaties van toezichthoudende autoriteiten. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren.

(105)  Om te verzekeren dat deze verordening in de gehele Unie consequent wordt toegepast, dient een conformiteitstoetsing te worden vastgesteld voor samenwerking tussen de toezichthoudende autoriteiten en met de Commissie. Deze toetsing dient met name te worden toegepast wanneer een toezichthoudende autoriteit voornemens is een maatregel te nemen inzake verwerkingen die betrekking hebben op het aanbieden van goederen of diensten aan betrokkenen in meerdere lidstaten of op het toezicht op dergelijke betrokkenen, of die aanzienlijke gevolgen kunnen hebben voor het vrije verkeer van persoonsgegevens. Het dient ook van toepassing te zijn wanneer een toezichthoudende autoriteit of de Commissie verzoekt om de aangelegenheid aan de conformiteitstoetsing te onderwerpen. Bovendien dienen de betrokkenen het recht te hebben een consequente toepassing te eisen indien zij van oordeel zijn dat een door een gegevensbeschermingsautoriteit van een lidstaat genomen maatregel niet aan het criterium van een consequente toepassing voldoet. Deze toetsing dient geen afbreuk te doen aan maatregelen die de Commissie kan nemen in de uitoefening van de bevoegdheden die haar bij de Verdragen zijn toegekend. [Am. 71]

(106)  Bij de toepassing van de conformiteitstoetsing dient het Europees Comité voor gegevensbescherming binnen een bepaalde termijn een advies uitbrengen, indien een gewone meerderheid van stemmen van zijn leden daartoe beslist of indien een toezichthoudende autoriteit of de Commissie daarom verzoekt.

(106 bis)  Om ervoor te zorgen dat deze verordening consistent wordt toegepast, kan het Europees Comité voor gegevensbescherming in afzonderlijke gevallen een besluit vaststellen dat bindend is voor de bevoegde toezichthoudende autoriteiten. [Am. 72]

(107)  Teneinde ervoor te zorgen dat de bepalingen van deze verordening worden nageleefd, kan de Commissie hierover een advies uitbrengen of een besluit vaststellen waarbij de toezichthoudende autoriteit wordt verplicht haar ontwerpmaatregel in te trekken. [Am. 73]

(108)  Er kan dringend moeten worden opgetreden om de belangen van de betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk zou kunnen worden belemmerd. Derhalve dient een toezichthoudende autoriteit de mogelijkheid te hebben om bij het verrichten van de conformiteitstoetsing voorlopige maatregelen met een bepaalde geldigheidsduur vast te stellen.

(109)  De verrichting van deze toetsing dient een voorwaarde te zijn voor de rechtsgeldigheid en handhaving van het betrokken besluit door een toezichthoudende autoriteit. In andere gevallen van grensoverschrijdende relevantie kunnen de betrokken toezichthoudende autoriteiten op bilaterale of multilaterale basis wederzijdse bijstand en gezamenlijke onderzoeken uitvoeren zonder dat de conformiteitstoetsing hoeft te worden verricht.

(110)  Op het niveau van de Unie dient een Europees Comité voor gegevensbescherming te worden ingesteld. Dit comité dient de bij artikel 29 van Richtlijn 95/46/EG opgerichte Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens te vervangen. Het dient te bestaan uit de hoofden van de toezichthoudende autoriteit van iedere lidstaat en de Europese Toezichthouder voor gegevensbescherming. De Commissie dient deel te nemen aan zijn activiteiten. Het Europees Comité voor gegevensbescherming dient bij te dragen tot de consistente toepassing van deze richtlijn in de Unie, onder meer door de Commissie instellingen van de Unie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie, met inbegrip van de coördinatie van gezamenlijke operaties, te bevorderen. Het Europees Comité voor gegevensbescherming dient bij de uitvoering van zijn taken onafhankelijk op te treden. Het Europees Comité voor gegevensbescherming dient de dialoog met de betrokken belanghebbenden, zoals verenigingen van betrokkenen, consumentenorganisaties, voor de verwerking verantwoordelijken en andere relevante belanghebbenden en deskundigen, te versterken. [Am. 74]

(111)  Iedere betrokkene dient Betrokkenen dienen het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een effectief beroep in rechte in te stellen overeenkomstig artikel 47 van het Handvest, indien hij meent indien zij menen dat inbreuk is gemaakt op zijn hun rechten uit hoofde van deze verordening of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene. [Am. 75]

(112)  Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben handelen in het algemeen belang en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit of namens betrokkenen , door wie zij naar behoren zijn gemachtigd met hun toestemming, of het recht op beroep in rechte uit te oefenen en indien ze hiervoor gemachtigd zijn door de betrokkene, of om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk op persoonsgegevens deze verordening heeft voorgedaan. [Am. 76]

(113)  Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechten van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(114)  Teneinde de juridische bescherming van de betrokkene te beschermen wanneer de bevoegde toezichthoudende autoriteit is gevestigd in een andere lidstaat dan die waar de betrokkene woont, kan de betrokkene alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen handelen in verband met de bescherming van hun persoonsgegevens tot doel hebben, vragen om namens hem in het algemeen belang, machtigen om in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen. [Am. 77]

(115)  Wanneer de bevoegde toezichthoudende autoriteit in een andere lidstaat is gevestigd en niet optreedt of onvoldoende maatregelen heeft getroffen naar aanleiding van een klacht, kan de betrokkene de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft, verzoeken om tegen die bevoegde toezichthoudende autoriteit een vordering in te stellen bij de bevoegde gerechtelijke instantie in de andere lidstaat. Dit is niet van toepassing op personen die niet in de EU verblijven. De beslissing of het passend is om gevolg te geven aan het verzoek, is aan de aangezochte toezichthoudende autoriteit en kan worden onderworpen aan rechterlijke toetsing. [Am. 78]

(116)  Voor procedures tegen een voor de verwerking verantwoordelijke of een verwerker dient de verzoeker te kunnen kiezen om de zaak aanhangig te maken bij een rechter in de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft, of of, in ingeval van verblijf in de Unie, dit te doen in de lidstaat waar de betrokkene woont, tenzij de voor de verwerking verantwoordelijke een overheidsinstantie van de Unie of van een lidstaat is die krachtens overheidsbevoegdheid handelt. [Am. 79]

(117)  De rechters dienen te worden verplicht contact met elkaar op te nemen, wanneer er aanwijzingen zijn dat er parallelle procedures aanhangig zijn bij rechters in andere lidstaten. De rechters dienen de mogelijkheid te hebben een zaak op te schorten indien in een andere lidstaat een parallelle zaak aanhangig is. De lidstaten dienen erop toe te zien dat bij rechtsgedingen, met het oog op hun effectiviteit, snel maatregelen kunnen worden getroffen om inbreuken op deze verordening te doen eindigen of te voorkomen.

(118)  Iedere schade, ongeacht het materiële of immateriële schade betreft, die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die alleen van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht. [Am. 80]

(119)  Er moet worden voorzien in sancties jegens iedere persoon, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht valt, die deze verordening niet naleeft. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen. Voor de regels inzake sancties dienen passende procedurele waarborgen te gelden overeenkomstig de algemene beginselen van het recht van de Unie en het Handvest, met inbegrip van de beginselen met betrekking tot het recht op een effectief beroep in rechte, een eerlijke rechtsbedeling en het beginsel "ne bis in idem". [Am. 81]

(119 bis)  De lidstaten dienen bij het opleggen van sancties de passende procedurele waarborgen volledig te eerbiedigen, met inbegrip van het recht op een effectief beroep in rechte, een eerlijke rechtsbedeling en het beginsel "ne bis in idem". [Am. 82]

(120)  Teneinde de administratieve sancties tegen inbreuken op deze verordening te versterken en te harmoniseren dient iedere toezichthoudende autoriteit bevoegd te zijn om administratieve overtredingen te bestraffen. In deze verordening dienen de overtredingen te worden benoemd en maxima te worden vastgesteld voor de daaraan verbonden administratieve geldboeten, die evenredig moeten zijn met de betrokken situatie en per afzonderlijk geval dienen te worden bepaald, met inachtneming van met name de aard, de ernst en de duur van de inbreuk. De conformiteitstoetsing kan ook worden gebruikt met betrekking tot verschillen bij de toepassing van administratieve sancties.

(121)  Voor Telkens als dat nodig is, dienen voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor artistieke en literaire doeleinden dient te worden voorzien in uitzonderingen op of afwijkingen van een aantal bepalingen van deze verordening te gelden teneinde het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting, inzonderheid het recht om inlichtingen te ontvangen of te verstrekken, zoals dat met name bij artikel 11 van het Handvest wordt gewaarborgd. Dit dient met name voor de verwerking van persoonsgegevens voor audiovisuele doeleinden en in nieuws- en persarchieven te gelden. Derhalve dienen de lidstaten wettelijke maatregelen te treffen om de uitzonderingen en beperkingen vast te stellen die nodig zijn voor een juiste balans tussen deze grondrechten. De lidstaten dienen dergelijke uitzonderingen en afwijkingen vast te stellen met betrekking tot de algemene beginselen, de rechten van betrokkenen, de voor de verwerking verantwoordelijke en de verwerker, de doorgifte van gegevens naar derde landen of internationale organisaties, de onafhankelijke toezichthoudende autoriteiten en samenwerking en conformiteit, en betreffende specifieke situaties op het gebied van gegevensverwerking. Zulks mag de lidstaten er evenwel niet toe bewegen te voorzien in uitzonderingen op de andere bepalingen van deze verordening. Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd. Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten interpreteren zodat ze alle activiteiten derhalve als “journalistiek” aan te merken, indien deze activiteiten omvatten die gericht zijn op de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium, eveneens rekening houdend met de technologische ontwikkeling. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd. [Am. 83]

(122)  Voor de verwerking van persoonsgegevens betreffende de gezondheid, als een speciale categorie gegevens waarvoor betere bescherming is vereist, kunnen in verband met het belang van personen en de samenleving als geheel vaak gegronde redenen worden aangevoerd, zoals met name het waarborgen van de continuïteit van grensoverschrijdende gezondheidszorg. Derhalve dient deze verordening te voorzien in geharmoniseerde voorwaarden voor de verwerking van persoonsgegevens betreffende de gezondheid, met specifieke en passende waarborgen voor de bescherming van de grondrechten en de persoonsgegevens. Dit houdt ook in dat personen het recht dienen te hebben op toegang tot de persoonsgegevens betreffende hun gezondheid, zoals de gegevens in hun medische dossier, dat informatie bevat over diagnoses, onderzoeksuitslagen, beoordelingen door behandelend artsen en verrichte behandelingen en ingrepen.

(122 bis)   Een gezondheidswerker die persoonsgegevens betreffende de gezondheid verwerkt, dient waar mogelijk geanonimiseerde gegevens of gegevens onder pseudoniem te ontvangen, zodat de identiteit van de betrokkene alleen voor de huisarts of de specialist bekend is die om verwerking van die gegevens heeft verzocht. [Am. 84]

(123)  Het kan om redenen van algemeen belang op het gebied van de volksgezondheid nodig zijn om persoonsgegevens over gezondheid zonder toestemming van de betrokkene te verwerken. In dat verband dient “volksgezondheid” overeenkomstig de definitie van Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad(9) van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk te worden uitgelegd als alle elementen in verband met de gezondheid, namelijk gezondheidstoestand, inclusief morbiditeit en beperkingen, de determinanten die een effect hebben op die gezondheidstoestand, de behoeften aan gezondheidszorg, middelen ten behoeve van de gezondheidszorg, de verstrekking van en de universele toegang tot gezondheidszorg, alsmede de uitgaven voor en de financiering van de gezondheidszorg, en de doodsoorzaken. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang mag er niet toe te leiden dat persoonsgegevens door derden zoals werkgevers, verzekeringsmaatschappijen en banken voor andere doeleinden worden verwerkt. [Am. 85]

(123 bis)   De verwerking van persoonsgegevens betreffende de gezondheid, als een bijzondere categorie gegevens, kan noodzakelijk zijn voor historisch, statistisch of wetenschappelijk onderzoek. Daarom is in deze verordening een uitzondering opgenomen op de eis van toestemming in gevallen van onderzoek van gewichtig algemeen belang. [Am. 86]

(124)  De algemene beginselen inzake de bescherming van personen met betrekking tot de verwerking van persoonsgegevens dienen ook van toepassing te zijn op de arbeidsverhouding en de sociale zekerheid. De lidstaten moeten Teneinde de mogelijkheid hebben de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding en de verwerking van persoonsgegevens voor socialezekerheidsdoeleinden te reglementeren, dienen de lidstaten de mogelijkheid hebben om, binnen de grenzen van overeenkomstig de voorschriften en minimumnormen die in deze verordening, specifieke voorschriften vast te stellen voor zijn vastgesteld. Indien de regeling van aangelegenheden betreffende de arbeidsverhouding door een overeenkomst tussen de werknemersvertegenwoordigers en de leiding van de onderneming of van de onderneming die zeggenschap uitoefent binnen een concern is voorzien in het kader van de wetgeving van de betrokken lidstaat (collectieve overeenkomst) of in overeenstemming met Richtlijn 2009/38/EG van het Europees Parlement en de Raad(10), mag de verwerking van persoonsgegevens in het kader van de arbeidsverhouding ook door dergelijke overeenkomst geregeld worden. [Am. 87]

(125)  Om rechtmatig te zijn, dient bij de verwerking van persoonsgegevens voor historisch, statistisch en wetenschappelijk onderzoek ook andere relevante wetgeving in acht te worden genomen, zoals de wetgeving inzake klinische proeven.

(125 bis)  Persoonsgegevens mogen eveneens later worden verwerkt door archiefdiensten voor wie het verzamelen, bewaren, verstrekken van informatie over, exploiteren en verspreiden van archiefstukken in het algemeen belang de hoofdtaak of een wettelijke verplichting is. Het recht op bescherming van persoonsgegevens dient in de wetgeving van de lidstaten in overeenstemming te worden gebracht met de regels inzake archieven en de toegang van burgers tot administratieve informatie. De lidstaten moeten aansporen tot de uitwerking, in het bijzonder door de Europese Archiefgroep, van regels ter waarborging van de vertrouwelijkheid van gegevens ten opzichte van derden en de authenticiteit, de integriteit en de goede opslag van de gegevens. [Am. 88]

(126)  Voor de toepassing van deze verordening dient wetenschappelijk onderzoek fundamenteel onderzoek, toegepast onderzoek en uit particuliere middelen gefinancierd onderzoek te omvatten en dient bovendien de doelstelling van de Unie uit hoofde van artikel 179, lid 1, van het Verdrag betreffende de werking van de Europese Unie, te weten de totstandbrenging van een Europese onderzoeksruimte, in acht te worden genomen. De verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag er niet toe leiden dat persoonsgegevens voor andere doeleinden worden verwerkt, tenzij de betrokkene hier toestemming voor geeft of op basis van het recht van de Unie of het recht van de lidstaat. [Am. 89]

(127)  Met betrekking tot de bevoegdheden van de toezichthoudende autoriteiten om van de voor de verwerking verantwoordelijke of de verwerker toegang tot persoonsgegevens en tot zijn lokalen te verkrijgen, kunnen de lidstaten, binnen de grenzen van deze verordening, bij wet specifieke bepalingen vaststellen om het beroepsgeheim of andere, gelijkwaardige geheimhoudingsplichten te waarborgen, voor zover dit nodig is om het recht op bescherming van persoonsgegevens met het beroepsgeheim te verzoenen.

(128)  Overeenkomstig artikel 17 van het Verdrag betreffende de werking van de Europese Unie eerbiedigt deze verordening de status die kerken en religieuze verenigingen en gemeenschappen volgens het nationaal recht in de lidstaten hebben, en doet daaraan geen afbreuk. Wanneer een kerk in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide passende voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepast, dienen deze bestaande voorschriften derhalve van toepassing te blijven, wanneer zij met deze verordening in overeenstemming worden gebracht. Dergelijke kerken en religieuze verenigingen dienen verplicht te worden om voor de instelling van een volledig onafhankelijke toezichthoudende autoriteit te zorgen. en als dusdanig worden erkend. [Am. 90]

(129)  Teneinde de doelstellingen van deze verordening te verwezenlijken, te weten het beschermen van de grondrechten en de fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens in de Unie, moet aan de Commissie de bevoegdheid worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. Gedelegeerde handelingen dienen met name te worden vastgesteld met betrekking tot de rechtmatigheid van verwerkingen; het vaststellen van de criteria en voorwaarden inzake de toestemming van kinderen; de verwerking van bijzondere categorieën van gegevens; de vaststelling van de criteria en voorwaarden voor de beoordeling of verzoeken en vergoedingen in verband met de uitoefening van de rechten van de betrokkene duidelijk buitensporig zijn; de criteria en vereisten voor van op pictogrammen gebaseerde informatieverstrekking; het informeren van de betrokkene en met betrekking tot het recht van toegang; het recht om te worden vergeten en om gegevens te laten wissen; maatregelen op basis van profilering; ; de verklaring dat gedragscodes in overeenstemming met deze verordening zijn; criteria en vereisten met betrekking tot de verantwoordelijkheden van de voor de verwerking verantwoordelijke en met betrekking tot privacy by design en by default; verwerkers; criteria en vereisten voor de documentatie en de beveiliging van verwerkingen; criteria en vereisten voor de vaststelling van inbreuken in verband met persoonsgegevens en voor de melding daarvan aan de toezichthoudende autoriteit, en inzake de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de betrokkene heeft; de criteria en voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling is vereist; de criteria en vereisten voor de vaststelling van grote specifieke risico’s die voorafgaande raadpleging vereisen; de aanwijzing en de taken van de functionaris voor gegevensbescherming; gedragscodes; criteria en vereisten voor certificeringsmechanismen; het passende beveiligingsniveau dat door een derde land of een internationale organisatie wordt verschaft; criteria en vereisten voor doorgiften op grond van bindende bedrijfsvoorschriften; uitzonderingen inzake doorgifte; administratieve sancties; verwerking voor gezondheidsdoeleinden ; en verwerking in het kader van de arbeidsverhouding en verwerking voor historisch, statistisch en wetenschappelijk onderzoek. Het is van bijzonder belang dat de Commissie bij tijdens haar voorbereidende werkzaamheden passend overleg pleegt, ook toereikende raadplegingen verricht, onder meer op deskundigenniveau en in het bijzonder met het Europees Comité voor gegevensbescherming. De Commissie moet bij de voorbereiding en opstelling van de gedelegeerde handelingen ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad. [Am. 91]

(130)  Om eenvormige voorwaarden te waarborgen voor de tenuitvoerlegging van deze verordening moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend voor: het vaststellen van modelformulieren inzake voor specifieke methoden ter verkrijging van verifieerbare toestemming met betrekking tot de verwerking van persoonsgegevens van kinderen; standaardprocedures en modelformulieren voor de mededeling aan de betrokkenen betreffende de uitoefening van de hun rechten van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene, modelformulieren en –procedures inzake in verband met het recht op toegang, onder meer voor het meedelen van toegang; het recht van gegevensoverdraagbaarheid de persoonsgegevens aan de betrokkene; modelformulieren inzake de verantwoordelijkheid van documentatie die door de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking en de verwerker moet worden bijgehouden; het standaardformaat en de standaardprocedures modelformulier voor de melding van een inbreuk inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling voor het documenteren van een inbreuk in verband met persoonsgegevens; en formulieren voor voorafgaande raadpleging en informatieverstrekking aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing toezichthoudende autoriteit. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren(11). In deze context dient de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging te nemen. [Am. 92]

(131)  De onderzoeksprocedure dient te worden toegepast voor de vaststelling van specifieke modelformulieren : voor specifieke methoden ter verkrijging van verifieerbare toestemming met betrekking tot de verwerking van persoonsgegevens van kinderen; standaardprocedures en modelformulieren voor de mededeling aan de betrokkenen betreffende de uitoefening van de hun rechten; van betrokkenen; modelformulieren voor het verstrekken van informatie aan de betrokkene; modelformulieren en standaardprocedures inzake ; in verband met het recht op toegang, onder meer voor het meedelen van toegang; het recht van gegevensoverdraagbaarheid de persoonsgegevens aan de betrokkene; modelformulieren inzake de verantwoordelijkheid van documentatie die door de voor de verwerking verantwoordelijke voor privacy by design en by default en voor de documentatie; specifieke vereisten voor de beveiliging van de verwerking; en de verwerker moet worden bijgehouden; het standaardformaat en de standaardprocedures voor de melding van een inbreuk inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit en de mededeling voor het documenteren van een inbreuk in verband met persoonsgegevens; voor voorafgaande raadpleging en informatieverstrekking aan de betrokkene; normen en procedures voor een privacyeffectbeoordeling; formulieren en procedures voor voorafgaande toestemming en voorafgaande raadpleging; technische normen en mechanismen voor certificering; het door een derde land, een gebied of een verwerkingssector binnen dat derde land of een internationale organisatie geboden passende beschermingsniveau; niet bij EU-wetgeving toegestane verstrekkingen; wederzijdse bijstand; gezamenlijk optreden; besluiten in het kader van de conformiteitstoetsing, toezichthoudende autoriteit, aangezien dit handelingen van algemene strekking zijn. [Am. 93]

(132)  Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt en wanneer er sprake is van aan de toezichthoudende autoriteiten in het kader van de conformiteitstoetsing gemelde aangelegenheden, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen. [Am. 94]

(133)  Daar de doelstellingen van deze verordening, namelijk het waarborgen van een gelijkwaardig niveau van bescherming van personen en van het vrije verkeer van gegevens in de hele Unie, niet voldoende door de lidstaten kunnen worden verwezenlijkt maar vanwege de omvang en de gevolgen van de maatregelen, beter op het niveau van de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel, gaat deze verordening niet verder dan wat nodig is om deze doelstelling te verwezenlijken.

(134)  Richtlijn 95/46/EG dient door deze verordening te worden vervangen. Voor zover besluiten van de Commissie en door de toezichthoudende autoriteiten verleende toestemmingen zijn gebaseerd op Richtlijn 95/46/EG dienen zij echter van kracht te blijven. Besluiten van de Commissie en toestemmingen van de toezichthoudende autoriteiten betreffende doorgiften van persoonsgegevens aan derde landen overeenkomstig artikel 41, lid 8, moeten van kracht blijven tijdens een overgangsperiode van vijf jaar na de inwerkingtreding van deze verordening, tenzij ze door de Commissie vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 95]

(135)  Deze verordening dient van toepassing te zijn op alle aangelegenheden die betrekking hebben op de bescherming van grondrechten en fundamentele vrijheden in het kader van de verwerking van persoonsgegevens waarvoor de in Richtlijn 2002/58/EG van het Europees Parlement en de Raad(12) opgenomen specifieke verplichtingen met dezelfde doelstelling niet gelden, met inbegrip van de verplichtingen van de voor de verwerking verantwoordelijke en de rechten van natuurlijke personen. Om de verhouding tussen deze verordening en Richtlijn 2002/58/EG te verduidelijken, dient die richtlijn dienovereenkomstig te worden gewijzigd.

(136)  Wat Noorwegen en IJsland betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop IJsland en Noorwegen worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(13).

(137)  Wat Zwitserland betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop de Zwitserse Bondsstaat wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(14).

(138)  Wat Liechtenstein betreft, vormt deze verordening, voor zover zij van toepassing is op de verwerking van persoonsgegevens door bij de uitvoering van het Schengenacquis betrokken autoriteiten, een ontwikkeling van de bepalingen van het Schengenacquis in de zin van het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(15).

(139)  Aangezien het recht op bescherming van persoonsgegevens, zoals het Hof van Justitie heeft benadrukt, geen absolute gelding heeft, maar in relatie tot de functie ervan in de samenleving moet worden beschouwd en moet worden afgewogen tegen andere grondrechten, overeenkomstig het evenredigheidsbeginsel, eerbiedigt deze verordening alle grondrechten en ‑beginselen die in het Handvest zijn erkend en in de Verdragen zijn verankerd, met name het recht op de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, het recht op bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, alsook het recht op culturele, godsdienstige en taalkundige verscheidenheid,

HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.  Bij deze verordening worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

2.  Deze verordening beschermt de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op de bescherming van persoonsgegevens.

3.  Het vrije verkeer van persoonsgegevens in de Unie wordt niet beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Artikel 2

Materiële werkingssfeer

1.  Deze verordening is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens, ongeacht de verwerkingsmethode, die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen, alsmede op de niet-geautomatiseerde verwerking van zulke gegevens.

2.  Deze verordening is niet van toepassing op de verwerking van persoonsgegevens:

a)  in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, met name activiteiten op het gebied van nationale veiligheid;

b)  door de instellingen, organen, bureaus en agentschappen van de Unie;

c)  door de lidstaten bij de uitvoering van activiteiten die binnen de werkingssfeer van hoofdstuk 2 van titel V van het Verdrag betreffende de Europese Unie vallen;

d)  die door een natuurlijke natuurlijk persoon zonder commercieel belang bij de uitoefening van zijn in activiteiten met uitsluitend persoonlijke of huishoudelijke activiteiten doeleinden wordt verricht. Deze uitzondering geldt ook voor de publicatie van persoonsgegevens wanneer redelijkerwijs kan worden aangenomen dat er zich slechts een beperkt aantal personen toegang tot zal verschaffen;

e)  door de bevoegde autoriteiten overheidsinstanties met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen.

3.  Deze verordening laat de toepassing van Richtlijn 2000/31/EG, met name de bepalingen inzake de aansprakelijkheid van dienstverleners die als tussenpersoon optreden in de artikelen 12 tot en met 15 van die richtlijn, onverlet. [Am. 96]

Artikel 3

Geografisch toepassingsgebied

1.  Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking plaatsvindt in de Unie of niet.

2.  Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen in de Unie wonende betrokkenen door een niet in de Unie gevestigde voor de verwerking verantwoordelijke of verwerker, wanneer de verwerking betrekking heeft op:

a)  het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of die betrokkene daarvoor een vergoeding dient te betalen; of

b)  het observeren van hun gedrag die betrokkenen.

3.  Deze verordening is van toepassing op de verwerking van persoonsgegevens door een voor de verwerking verantwoordelijke die niet in de Unie is gevestigd, maar in een plaats waar krachtens het internationaal publiekrecht het nationale recht van een lidstaat van toepassing is. [Am. 97]

Artikel 4

Definities

Voor de toepassing van deze verordening wordt verstaan onder:

(1)  “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.

(2)  “persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon;

(2 bis)  "pseudonieme gegevens": persoonsgegevens die niet aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, zo lang als dergelijke aanvullende informatie apart wordt bewaard en op voorwaarde dat technische en organisatorische maatregelen worden genomen om niet-koppeling te waarborgen;

(2 ter)  "geëncrypteerde gegevens": persoonsgegevens die met behulp van technische beschermingsmaatregelen onbegrijpelijk zijn gemaakt voor eenieder die geen recht op toegang daartoe heeft;

(3)  “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het wissen of vernietigen van gegevens.

(3 bis)  "profilering": iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen;

(4)  “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(5)  “voor de verwerking verantwoordelijke”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan lichaam die, respectievelijk dat, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij het recht van de Unie of het van de lidstaat, kan in het recht van de Unie of het recht van de lidstaat worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(6)  “verwerker”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(7)  “ontvanger”: de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander orgaan aan wie, respectievelijk waaraan de gegevens worden meegedeeld;

(7 bis)  "derde": de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam, niet zijnde de betrokkene, noch de voor de verwerking verantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de voor de verwerking verantwoordelijke of de verwerker gemachtigd zijn om de gegevens te verwerken;

(8)  “toestemming van de betrokkene”: elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem of haar betreffende persoonsgegevens worden verwerkt;

(9)  “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig tot gevolg;

(10)  “genetische gegevens”: alle gegevens, van welke aard ook, over persoonsgegevens met betrekking tot de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen genetische kenmerken van een persoon zoals aangetoond middels een analyse van een biologisch monster van het individu in kwestie, in het bijzonder van desoxyribonucleïnezuur (DNA) of ribonucleïnezuur (RNA) of andere elementen waarmee soortgelijke informatie verkregen kan worden;

(11)  “biometrische gegevens”: alle gegevens persoonsgegevens met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

(12)  “gegevens over gezondheid”: alle informatie persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13)  “belangrijkste vestiging”: met betrekking tot de plaats van vestiging in de Unie van de onderneming of groep van ondernemingen, ongeacht of het de voor de verwerking verantwoordelijke of de plaats van vestiging van de voor de verwerking verantwoordelijke in de Unie verwerker betreft, waar de voornaamste besluiten over het doel van en de voorwaarden en de middelen voor de verwerking van persoonsgegevens worden genomen. wanneer in de Unie geen besluiten over het doel van of de voorwaarden en middelen Daarbij kan onder meer rekening worden gehouden met de volgende criteria: de vestigingsplaats van de hoofdzetel van de voor de verwerking van persoonsgegevens worden genomen, is de belangrijkste vestiging de plaats waar de voornaamste gegevensverwerking in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke in of de Unie plaatsvindt. Met betrekking tot de verwerker is de “belangrijkste verwerker; de vestigingsplaats van de meest aangewezen entiteit binnen een groep van ondernemingen in termen van managementfuncties en administratieve verantwoordelijkheden om de bepalingen van deze verordening toe te passen en te handhaven; de vestigingsplaats waar de daadwerkelijke en feitelijke beheersactiviteiten worden uitgeoefend die bepalend zijn voor de gegevensverwerking door een vaste vestiging; de plaats waar zich zijn centrale administratie in de Unie bevindt;

(14)  “vertegenwoordiger”: elke in de Unie gevestigde natuurlijke of rechtspersoon die uitdrukkelijk door de voor de verwerking verantwoordelijke als zodanig is aangewezen, die namens de voor de verwerking verantwoordelijke handelt en die door de toezichthoudende autoriteiten en andere instanties vertegenwoordigt in de Unie in plaats van de voor de verwerking verantwoordelijke kan worden aangesproken in verband met de verplichtingen van de voor de verwerking verantwoordelijke uit hoofde van deze verordening;

(15)  “onderneming”: iedere entiteit die zich bezighoudt met een economische activiteit, ongeacht de rechtsvorm van die entiteit, met inbegrip derhalve van met name natuurlijke en rechtspersonen, personenvennootschappen of verenigingen die regelmatig een economische activiteit uitoefenen;

(16)  “groep van ondernemingen”: een onderneming die zeggenschap uitoefent en de ondernemingen waarover die zeggenschap wordt uitgeoefend;

(17)  “bindende bedrijfsvoorschriften”: beleid inzake de bescherming van persoonsgegevens tot inachtneming waarvan een op het grondgebied van een lidstaat of de Unie gevestigde voor de verwerking verantwoordelijke of verwerker zich heeft verplicht voor de doorgifte of een reeks van doorgiften van persoonsgegevens binnen een groep van ondernemingen naar een voor de verwerking verantwoordelijke of verwerker in een of meer derde landen;

(18)  „kind”: iedere persoon die jonger is dan achttien jaar;

(19)  “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 46 ingestelde overheidsinstantie. [Am. 98]

HOOFDSTUK II

BEGINSELEN

Artikel 5

Beginselen inzake de verwerking van persoonsgegevens

De persoonsgegevens moeten:

a)  worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is ten opzichte van de betrokkene (rechtmatigheid, eerlijkheid en transparantie);

b)  worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt (doelbinding);

c)  zijn adequaat en ter zake dienend zijn en blijven beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens (minimale gegevensverwerking);

d)  juist zijn en worden zo nodig bijgewerkt; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren (juistheid);

e)  worden niet langer in een vorm die het mogelijk maakt de betrokkenen direct of indirect te identificeren , worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt, noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de gegevens uitsluitend voor historische, statistische of wetenschappelijke doeleinden historisch, statistisch of wetenschappelijk onderzoek of ten behoeve van archivering worden verwerkt overeenkomstig de bepalingen en voorwaarden van artikel de artikelen 83 en 83 bis en mits periodiek wordt beoordeeld of de gegevens nog steeds opgeslagen moeten blijven en voor zover er passende technische en organisatorische maatregelen worden getroffen om de toegang tot de gegevens te beperken voor uitsluitend deze doeleinden (minimale opslag);

e bis)  worden dusdanig verwerkt dat de betrokkene in staat is zijn rechten daadwerkelijk uit te oefenen (doeltreffendheid);

e ter)  worden met gebruikmaking van gepaste technische of organisatorische middelen op een dusdanige manier verwerkt dat wordt gezorgd voor bescherming tegen ongeoorloofde of onrechtmatige verwerking alsook tegen onopzettelijk verlies, vernietiging of beschadiging (integriteit);

f)  worden verwerkt onder de verantwoordelijkheid van de voor de verwerking verantwoordelijke, die ervoor zorgt en aantoont dat elke kan aantonen dat de verwerking voldoet aan de bepalingen van deze verordening (verantwoordingsplicht). [Am. 99]

Artikel 6

Rechtmatigheid van de verwerking

1.  De verwerking van persoonsgegevens is alleen rechtmatig wanneer en voor zover ten minste van een van de volgende gevallen sprake is:

a)  de betrokkene heeft toestemming gegeven voor de verwerking van zijn of haar persoonsgegevens voor een of meer specifieke doeleinden;

b)  de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene;

c)  de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke;

d)  de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen;

e)  de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke is opgedragen;

f)  de verwerking is noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of, in geval van verstrekking, van de derden waaraan de gegevens worden verstrekt, en voldoet aan de redelijke verwachtingen van de betrokkene op basis van zijn of haar verhouding met de voor de verwerking verantwoordelijke, mits het belang of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens noodzaken, niet boven dat belang dergelijke belangen prevaleren, met name wanneer de betrokkene een kind is. Dit is niet van toepassing op de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

2.  De verwerking van persoonsgegevens die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden is rechtmatig mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen.

3.  In de grondslag voor de in lid 1, onder c) en e), bedoelde verwerking moet worden voorzien in:

a)  het recht van de Unie, of

b)  het recht van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is.

Het recht van de lidstaat moet beantwoorden aan een doelstelling van algemeen belang of noodzakelijk zijn om de rechten en vrijheden van anderen te beschermen, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en evenredig zijn aan het nagestreefde rechtmatige doel. Binnen de grenzen van deze verordening mag de rechtmatigheid van de verwerking in het recht van de lidstaat in detail worden geregeld, in het bijzonder met betrekking tot de voor de verwerking verantwoordelijken, het doel en de doelbinding van de verwerking, de aard van de gegevens en de betrokkenen, de verwerkingsactiviteiten en -procedures, de ontvangers en de duur van de opslag.

4.  Wanneer het doel van verdere verwerking niet verenigbaar is met het doel waarvoor de persoonsgegevens zijn verzameld, moet de verwerking minstens in een van de in lid 1, onder a) tot en met e), genoemde gronden een rechtsgrondslag hebben. Dit is met name van toepassing op iedere wijziging van de clausules en algemene voorwaarden van een overeenkomst.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder f), bedoelde voorwaarden, voor diverse sectoren en situaties op het gebied van gegevensverwerking, onder meer ten aanzien van de verwerking van persoonsgegevens met betrekking tot kinderen. [Am. 100]

Artikel 7

Voorwaarden voor toestemming

1.  De Wanneer de verwerking plaatsvindt op basis van toestemming, moet de voor de verwerking verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor welbepaalde doeleinden.

2.  Wanneer de betrokkene zijn toestemming moet geven geeft in het kader van een schriftelijke verklaring die ook op een andere aangelegenheid betrekking heeft, moet het vereiste van toestemming duidelijk afzonderlijk van deze andere aangelegenheid worden weergegeven. Bepalingen betreffende de toestemming van de betrokkene die gedeeltelijk op deze verordening inbreuk maken, zijn volledig nietig.

3.  De Niettegenstaande andere rechtsgronden voor de verwerking, heeft de betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. De intrekking van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Het is even eenvoudig om toestemming in te trekken als om toestemming te geven. De betrokkene wordt er door de voor de verwerking verantwoordelijke van op de hoogte gebracht indien de intrekking van de toestemming kan leiden tot de beëindiging van de geleverde diensten of van de betrekkingen met de voor de verwerking verantwoordelijke.

4.  Toestemming biedt geen rechtsgrondslag voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en die van de is aan het doel gebonden en is niet meer geldig van zodra het doel wegvalt of wanneer de verwerking van persoonsgegevens niet langer noodzakelijk is voor de uitvoering van het doel waarvoor ze oorspronkelijk werden verzameld. De uitvoering van een overeenkomst of de verlening van een dienst worden niet als voorwaarde gesteld voor de toestemming voor de verwerking verantwoordelijke of het gebruik van gegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst of de verlening van de dienst overeenkomstig artikel 6, lid 1, onder b). [Am. 101]

Artikel 8

Verwerking van persoonsgegevens van kinderen

1.  In geval van het rechtstreeks aanbieden van goederen of diensten van de informatiemaatschappij aan kinderen is de verwerking van persoonsgegevens van een kind jonger dan 13 jaar in het kader van deze verordening slechts rechtmatig wanneer en voor zover de ouder of voogd wettelijk vertegenwoordiger van het kind daartoe toestemming heeft gegeven of machtiging tot toestemming heeft verleend. Met inachtneming van de beschikbare technologie doet de voor de verwerking verantwoordelijke dat wat redelijkerwijze van hem kan worden verwacht om verifieerbare dergelijke toestemming te verkrijgen verifiëren zonder anders nodeloze verwerking van persoonsgegevens met zich mee te brengen.

1 bis.  De informatie die aan kinderen, ouders en wettelijke vertegenwoordigers wordt verstrekt om toestemming te verlenen, met inbegrip van informatie betreffende het verzamelen en gebruiken van persoonsgegevens door de voor de verwerking verantwoordelijke, moet in duidelijke en op de doelgroep afgestemde taal worden verschaft.

2.  Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van een overeenkomst ten opzichte van een kind, onverlet.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de Aan het Europees Comité voor gegevensbescherming wordt de taak toevertrouwd om richtsnoeren, aanbevelingen en optimale praktijken te verstrekken voor de methoden ter verkrijging van de in lid 1 bedoelde verifieerbare verificatie van toestemming. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging als bedoeld in lid 1, in overeenstemming met artikel 66.

4.  De Commissie kan standaardformulieren vaststellen voor specifieke methoden ter verkrijging van de in lid 1 bedoelde verifieerbare toestemming. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 102]

Artikel 9

Verwerking van bijzondere categorieën persoonsgegevens Bijzondere gegevenscategorieën

1.  De verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religie of filosofische overtuiging, seksuele gerichtheid of genderidentiteit, of het lidmaatschap of de activiteiten van een vakvereniging blijkt, en de verwerking van genetische of biometrische gegevens of gegevens over gezondheid of seksueel gedrag, of administratieve sancties, uitspraken, strafrechtelijke feiten, verdenkingen, veroordelingen of daarmee verband houdende veiligheidsmaatregelen, zijn verboden.

2.  Lid 1 is niet van toepassing wanneer indien:

a)  de betrokkene voor één of meerdere welbepaalde doeleinden toestemming heeft gegeven voor de verwerking van die persoonsgegevens, mits aan de voorwaarden van de artikelen 7 en 8 is voldaan en het recht van de Unie of het recht van de lidstaat niet bepaalt dat het in lid 1 genoemde verbod niet door de betrokkene kan worden opgeheven; of

a bis)  de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene; of

b)  de verwerking noodzakelijk is met het oog op de uitvoering van de verplichtingen en de uitoefening van specifieke rechten van de voor de verwerking verantwoordelijke op het gebied van arbeidsrecht, voor zover zulks is toegestaan bij het recht van de Unie of het recht van de lidstaat of collectieve overeenkomsten en deze adequate garanties biedt voor de grondrechten en de belangen van de betrokkene, zoals het recht op non-discriminatie, bieden, onverminderd de in artikel 82 bedoelde voorwaarden en waarborgen; of

c)  de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

d)  de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met de nodige waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar streefdoelen regelmatig contact met haar onderhouden, en de gegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt; of

e)  de verwerking betrekking heeft op persoonsgegevens die duidelijk door de betrokkene openbaar zijn gemaakt; of

f)  de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

g)  de verwerking noodzakelijk is voor de vervulling van een taak van gewichtig algemeen belang, op grond van het recht van de Unie of het recht van de lidstaat dat evenredig dient te zijn aan het nagestreefde rechtmatige doel en de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigt en waarbij passende maatregelen worden vastgesteld ter bescherming van de gerechtvaardigde grondrechten en belangen van de betrokkene. of

h)  de verwerking van gegevens over gezondheid noodzakelijk is voor gezondheidsdoeleinden, mits de in artikel 81 genoemde voorwaarden en waarborgen in acht worden genomen; of

i)  de verwerking noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, mits de in artikel 83 genoemde voorwaarden en waarborgen in acht worden genomen; of

i bis)  de verwerking noodzakelijk is voor archiefdiensten, mits de in artikel 83 bis genoemde voorwaarden en waarborgen in acht worden genomen; of

j)  de verwerking van gegevens betreffende strafrechtelijke administratieve sancties, uitspraken, strafbare feiten, veroordelingen of daarmee verband houdende veiligheidsmaatregelen wordt uitgevoerd onder toezicht van de overheid of wanneer de verwerking noodzakelijk is om een wettelijke verplichting van de voor de verwerking verantwoordelijke na te komen of voor de vervulling van een taak om gewichtige redenen van algemeen belang, en voor zover zulks is toegestaan bij het recht van de Unie of het recht van de lidstaat en dit recht passende garanties biedt voor de grondrechten en belangen van de betrokkene. Een volledig register van strafrechtelijke veroordelingen mag alleen worden bijgehouden onder toezicht van de overheid.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria, de voorwaarden en de passende garanties Aan het Europees Comité voor gegevensbescherming wordt de taak toevertrouwd om richtsnoeren, aanbevelingen en optimale praktijken te verstrekken voor de verwerking van de in lid 1 genoemde bijzondere categorieën persoonsgegevens en de in lid 2 vastgestelde uitzonderingen, in overeenstemming met artikel 66. [Am. 103]

Artikel 10

Verwerking waarbij identificatie niet mogelijk is

1.  Wanneer de door de voor de verwerking verantwoordelijke of verwerker verwerkte gegevens het voor hem niet mogelijk maken een natuurlijke persoon direct of indirect te identificeren of enkel bestaan uit pseudonieme gegevens, verwerkt of verkrijgt hij, is hij niet verplicht om, uitsluitend om aan een bepaling van deze verordening te voldoen, geen aanvullende informatie te verkrijgen ter identificatie van de betrokkene.

2.  Wanneer de voor de verwerking verantwoordelijke omwille van lid 1 niet in staat is te voldoen aan een bepaling van deze verordening, is hij niet gehouden die specifieke bepaling van deze verordening na te leven. Wanneer de voor de verwerking verantwoordelijke als gevolg hiervan niet in staat is om te voldoen aan een verzoek van de betrokkene, brengt hij de betrokkene hiervan op de hoogte. [Am. 104]

Artikel 10 bis

Algemene beginselen betreffende de rechten van de betrokkene

1.  De bescherming van gegevens is gebaseerd op volkomen duidelijke rechten voor de betrokkene die de voor de verwerking verantwoordelijke moet eerbiedigen. De bepalingen van deze verordening zijn erop gericht deze rechten te versterken, verduidelijken, waarborgen en waar nodig te codificeren.

2.  Dergelijke rechten omvatten onder meer de verstrekking van duidelijke en gemakkelijk te begrijpen informatie over de verwerking van zijn of haar persoonsgegevens, de rechten van toegang, rectificatie en uitwissing van zijn of haar persoonsgegevens, het recht om gegevens te verkrijgen, het recht om bezwaar te maken tegen profilering, het recht om bezwaar te maken bij de bevoegde gegevensbeschermingsautoriteit en om gerechtelijke procedures aan te spannen om zijn of haar rechten af te dwingen evenals het recht op schadevergoeding ten gevolge van een onrechtmatige verwerking. Dergelijke rechten worden in het algemeen kosteloos uitgeoefend. De voor de verwerking verantwoordelijke reageert binnen een redelijke termijn op verzoeken van de betrokkene. [Am. 105]

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

AFDELING 1

TRANSPARANTIE EN MODALITEITEN

Artikel 11

Transparante informatieverstrekking en communicatie

1.  Het beleid van de voor de verwerking verantwoordelijke met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene dient beknopt, transparant, duidelijk en eenvoudig toegankelijk te zijn.

2.  De voor de verwerking verantwoordelijke verschaft de betrokkene in begrijpelijke vorm alle informatie en mededelingen over de verwerking van persoonsgegevens, waarbij duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt, met name in geval van informatie die specifiek voor kinderen is bedoeld. [Am. 106]

Artikel 12

Procedures en mechanismen voor de uitoefening van de rechten van de betrokkene

1.  De voor de verwerking verantwoordelijke stelt procedures vast voor het verstrekken van de in artikel 14 bedoelde informatie en voor de uitoefening van de in artikel 13 en de artikelen 15 tot en met 19 genoemde rechten van de betrokkene. De voor de verwerking verantwoordelijke zorgt met name voor mechanismen die het verzoek om de in de artikel 13 en de artikelen 15 tot en met 19 bedoelde acties vereenvoudigen. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, zorgt de voor de verwerking verantwoordelijke ook voor middelen om verzoeken waar mogelijk elektronisch in te dienen.

2.  De voor de verwerking verantwoordelijke informeert de betrokkene onverwijld zonder onnodig uitstel en uiterlijk binnen een maand veertig kalenderdagen na ontvangst van het verzoek, of er al dan niet actie is ondernomen overeenkomstig artikel 13 en de artikelen 15 tot en met 19, en verstrekt de gevraagde informatie. Deze termijn kan met één maand worden verlengd wanneer verschillende betrokkenen hun rechten uitoefenen en hun samenwerking binnen redelijke grenzen noodzakelijk is om een onnodige en onevenredige inspanning van de voor de verwerking verantwoordelijke te vermijden. De informatie wordt schriftelijk verstrekt en indien mogelijk kan de voor de verwerking verantwoordelijke toegang op afstand geven tot een beveiligd systeem waarop de betrokkene direct toegang heeft tot zijn of haar persoonsgegevens. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.

3.  Wanneer de voor de verwerking verantwoordelijk weigert om geen actie te ondernemen onderneemt naar aanleiding van het verzoek van de betrokkene, deelt de voor de verwerking verantwoordelijke de betrokkene de redenen voor de weigering het niet-optreden mee en informeert hij hem over de mogelijkheden een klacht in te dienen bij de toezichthoudende autoriteit en beroep in rechte in te stellen.

4.  De in lid 1 bedoelde informatie en op verzoek verrichte acties zijn gratis. Wanneer verzoeken duidelijk buitensporig zijn, met name vanwege hun repetitieve karakter, kan de voor de verwerking verantwoordelijke een redelijke vergoeding in rekening brengen, daarbij rekening houdend met de administratieve kosten voor het verstrekken van de informatie of het verrichten van de gevraagde actie in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het duidelijk buitensporige karakter van het verzoek op de voor de verwerking verantwoordelijke.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden waaraan moet worden voldaan wil er sprake zijn van duidelijk buitensporige verzoeken en voor de in lid 4 bedoelde vergoedingen.

6.  De Commissie kan standaardformulieren en standaardprocedures vaststellen voor de in lid 2 bedoelde mededeling, ook met betrekking het elektronische model daarvan. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 107]

Artikel 13

Rechten met betrekking tot ontvangers Kennisgevingsplicht bij rectificaties en uitwissingen

De voor de verwerking verantwoordelijke stelt iedere ontvanger aan wie gegevens zijn verstrekt doorgegeven op de hoogte van elke overeenkomstig de artikelen 16 en 17 uitgevoerde rectificatie of elk wissen van gegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De voor de verwerking verantwoordelijke brengt de betrokkene op de hoogte van deze ontvangers indien de betrokkene hierom verzoekt. [Am. 108]

Artikel 13 bis

Beleid inzake gestandaardiseerde informatie

1.  Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene de volgende gegevens alvorens informatie te verstrekken overeenkomstig artikel 14:

a)  of de verzameling van persoonsgegevens beperkt wordt tot dat wat voor elk specifiek doeleinde van de verwerking strikt noodzakelijk is;

b)  of de bewaring van persoonsgegevens beperkt wordt tot dat wat voor elk specifiek doeleinde van de verwerking strikt noodzakelijk is;

c)  of persoonsgegevens verwerkt worden voor doeleinden anders dan de doeleinden waarvoor ze verzameld zijn;

d)  of persoonsgegevens worden verspreid onder commerciële derden;

e)  of persoonsgegevens verkocht of verhuurd worden;

f)  of persoonsgegevens gecodeerd bewaard worden.

2.  De in lid 1 bedoelde gegevens worden overeenkomstig de bijlage bij deze verordening weergegeven in uitgelijnde tabelvorm met gebruikmaking van tekst en symbolen, met de volgende drie kolommen:

a)  in de eerste kolom staan vormen afgebeeld die deze gegevens symboliseren;

b)  de tweede kolom bevat belangrijke informatie waarin deze inlichtingen worden beschreven;

c)  in de derde kolom staan grafische vormen afgebeeld die aangeven of aan een specifiek gegeven is voldaan.

3.  De in de leden 1 en 2 bedoelde informatie wordt op goed zichtbare en duidelijk leesbare wijze weergegeven in een taal die eenvoudig te begrijpen is voor de consumenten van de lidstaten waaraan de informatie wordt verstrekt. Wanneer de gegevens elektronisch worden weergegeven, zijn ze machinaal leesbaar.

4.  Aanvullende gegevens worden niet verstrekt. Uitvoerige toelichtingen of aanvullende opmerkingen betreffende de in lid 1 bedoelde gegevens kunnen overeenkomstig artikel 14 samen met de overige informatievereisten worden verstrekt.

5.  De Commissie krijgt de bevoegdheid om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen teneinde de in lid 1 bedoelde gegevens en de weergave van deze gegevens zoals bedoeld in lid 2 en in de bijlage bij deze verordening nader aan te duiden. [Am. 109]

AFDELING 2

INFORMATIE EN TOEGANG TOT GEGEVENS

Artikel 14

Informatieverstrekking aan de betrokkene

1.  Wanneer persoonsgegevens met betrekking tot de betrokkene worden verzameld, verstrekt de voor de verwerking verantwoordelijke de betrokkene ten minste de volgende gegevens, nadat de informatie uit hoofde van artikel 13 bis is verstrekt:

a)  de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke en van de functionaris voor gegevensbescherming;

b)  de specifieke doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd alsook informatie betreffende de beveiliging van de verwerking van persoonsgegevens, met inbegrip van de clausules en algemene voorwaarden van de overeenkomst wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder b), en, in voorkomend geval, informatie over hoe ze de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op in artikel 6, lid 1, onder f), bedoelde vereisten uitvoeren en naleven;

c)  de periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die dienen om die termijn te bepalen;

d)  het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissen van de persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken, of om gegevens te verkrijgen;

e)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

f)  de ontvangers of categorieën ontvangers van de persoonsgegevens;

g)  in voorkomend geval, waarin de voor de verwerking verantwoordelijke het voornemen heeft de persoonsgegevens door te geven naar een derde land of een internationale organisatie en door dat derde land of die internationale organisatie geboden beschermingsniveau onder verwijzing naar een besluit van de Commissie waarbij het beschermingsniveau passend wordt verklaard, al dan niet bestaat, of in het geval van de doorgiften bedoeld in artikel 42 of artikel 43 de verwijzing naar de passende waarborgen en de middelen om er een kopie van te krijgen;

g bis)  in voorkomend geval informatie over het bestaan van profilering, van maatregelen op basis van profilering en de beoogde gevolgen van profilering voor de betrokkene;

g ter)  betekenisvolle informatie over de logica die aan geautomatiseerde verwerking ten grondslag ligt;

h)  alle verdere informatie die, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verzameld of verwerkt, nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen, met name het bestaan van bepaalde verwerkingsactiviteiten en -operaties waarvan privacyeffectbeoordelingen een mogelijk hoog risico hebben uitgewezen;

h bis)  in voorkomend geval informatie aangaande de vraag of er gedurende de laatste periode van twaalf opeenvolgende maanden gegevens zijn verstrekt aan overheidsinstanties.

2.  Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht of facultatief is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

2 bis.  Bij hun besluit over de benodigde aanvullende informatie om de verwerking eerlijk te laten verlopen overeenkomstig lid 1, onder d), nemen de voor de verwerking verantwoordelijken de relevante richtlijnen overeenkomstig artikel 34 in aanmerking.

3.  Wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee uit welke bron de specifieke persoonsgegevens afkomstig zijn. Indien de gegevens uit openbaar beschikbare bronnen afkomstig zijn, kan een algemene indicatie worden gegeven.

4.  De voor de verwerking verantwoordelijke verstrekt de in de leden 1, 2 en 3 bedoelde informatie:

a)  op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen of zonder onnodig uitstel indien het bovenstaande niet mogelijk is; of

a bis)  op verzoek van een orgaan, organisatie of vereniging als bedoeld in artikel 73;

b)  wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verzameld of anderszins verwerkt, of, wanneer verstrekking doorgifte van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het moment van de eerste verstrekking van doorgifte, of, ingeval de gegevens gebruikt worden voor communicatie met de betrokkene, uiterlijk bij de eerste communicatie met deze betrokkene; of

b bis)  enkel op verzoek wanneer de gegevens worden verwerkt door een kleine of micro-onderneming die persoonsgegevens slechts als nevenactiviteit verwerkt.

5.  De leden 1 tot en met 4 zijn niet van toepassing wanneer:

a)  de betrokkene reeds over de in de leden 1, 2 en 3 bedoelde informatie beschikt; of

b)  de gegevens worden verwerkt voor historische, statistische of wetenschappelijke doeleinden die zijn onderworpen aan de in artikel 81 of artikel 83 genoemde voorwaarden en waarborgen, de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen, en de voor de verwerking verantwoordelijke deze informatie op een openbare locatie heeft gepubliceerd; of

c)  de gegevens niet worden verzameld bij de betrokkene en de vastlegging of verstrekking uitdrukkelijk bij wet is voorgeschreven waaraan de voor de verwerking verantwoordelijke onderworpen is, welke passende maatregelen voorziet om de gerechtvaardigde belangen van de betrokkene te beschermen, gelet op de risico's die de verwerking en de aard van de persoonsgegevens met zich meebrengen; of

d)  de gegevens niet worden verzameld bij de betrokkene en de verstrekking van deze informatie afbreuk zal doen aan de rechten en vrijheden van anderen andere natuurlijke personen, als gedefinieerd in het recht van de Unie of het recht van de lidstaat overeenkomstig artikel 21;

d bis)  de gegevens in het kader van de uitoefening van zijn functie door een persoon die aan een in het recht van de Unie of het recht van de lidstaat geregeld beroepsgeheim of een wettelijke geheimhoudingsplicht is onderworpen worden verwerkt of aan hem worden meegedeeld of hem bekend worden, behalve wanneer de gegevens rechtstreeks worden verzameld bij de betrokkene.

6.  In het in lid 5, onder b), bedoelde geval neemt de voor de verwerking verantwoordelijke passende maatregelen om de rechten of gerechtvaardigde belangen van de betrokkene te beschermen.

7.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria voor de in lid 1, onder f), bedoelde categorieën ontvangers, de voorschriften voor de in lid 1, onder g), bedoelde kennisgeving inzake de mogelijkheid van toegang, de criteria voor de in artikel 1, onder h), bedoelde noodzakelijke verdere informatie voor specifieke sectoren en situaties en de voorwaarden en passende waarborgen voor de in lid 5, onder b), vermelde uitzonderingen. Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen.

8.  De Commissie kan standaardformulieren vaststellen voor het verstrekken van de in de leden 1 tot en met 3 bedoelde informatie, voor zover nodig met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 110]

Artikel 15

Recht op toegang tot en het verkrijgen van toegang van gegevens voor de betrokkene

1.  De Behoudens artikel 12, lid 4, heeft de betrokkene heeft het recht om te allen tijde op verzoek uitsluitsel van de voor de verwerking verantwoordelijke te verkrijgen omtrent het al dan niet plaatsvinden van verwerkingen van hem betreffende gegevens, Wanneer verwerkingen van deze persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de alsook, in duidelijke en eenvoudige taal, de volgende informatie:

a)  de doeleinden van de verwerking voor elke categorie persoonsgegevens;

b)  de betrokken categorieën persoonsgegevens;

c)  de ontvangers of categorieën ontvangers aan wie de gegevens moeten worden verstrekt of verstrekt zijn, met name inbegrip van ontvangers in derde landen;

d)  de periode gedurende welke de persoonsgegevens worden opgeslagen, of indien dat niet mogelijk is, de criteria die dienen om die termijn te bepalen;

e)  het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of het wissen van persoonsgegevens betreffende de betrokkene te verlangen of om tegen de verwerking van dergelijke persoonsgegevens bezwaar te maken;

f)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)  de persoonsgegevens waarvan verwerkingen plaatsvinden en alle beschikbare informatie over de bron van die gegevens;

h)  het belang en de verwachte gevolgen van deze verwerking, op zijn minst in het geval van de in artikel 20 bedoelde maatregelen.

h bis)  betekenisvolle informatie over de logica die aan geautomatiseerde verwerking ten grondslag ligt;

h ter)  onverminderd artikel 21, in het geval dat persoonsgegevens op verzoek van een overheidsinstantie aan een overheidsinstantie worden verstrekt, bevestiging van het feit dat dit verzoek heeft plaatsgevonden.

2.  De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke hem meedeelt van welke persoonsgegevens verwerking plaatsvindt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie in een elektronisch en gestructureerd formaat verstrekt, tenzij de betrokkene anderszins verzoekt. Onverminderd artikel 10 neemt de voor de verwerking verantwoordelijke alle redelijke maatregelen om na te gaan dat de persoon die verzoekt om toegang tot de gegevens de betrokkene is.

2 bis.  Indien de betrokkene persoonsgegevens heeft verstrekt wanneer persoonsgegevens elektronisch worden verwerkt, heeft de betrokkene het recht om van de voor de verwerking verantwoordelijke een kopie te krijgen van de verstrekte persoonsgegevens in een elektronisch en interoperabel formaat dat algemeen wordt gebruikt en verder door de betrokkene kan worden gebruikt, zonder daarbij te worden belemmerd door de voor de verwerking verantwoordelijke bij wie de persoonsgegevens zijn weggehaald. Wanneer dit technisch mogelijk en beschikbaar is, worden de gegevens op verzoek van de betrokkene rechtstreeks doorgegeven van de ene voor de verwerking verantwoordelijke naar de andere.

2 ter.  Dit artikel geldt onverminderd de verplichting krachtens artikel 5, lid 1, onder e), om gegevens te wissen wanneer ze niet langer noodzakelijk zijn.

2 quater.  Het recht op toegang overeenkomstig de leden 1 en 2 geldt niet als het gaat om gegevens in de zin van artikel 14, lid 5, onder d bis), tenzij de betrokkene gemachtigd is de betreffende geheimhouding op te heffen en dienovereenkomstig handelt.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de mededeling aan de betrokkene van de inhoud van de in lid 1, onder g), bedoelde persoonsgegevens.

4.  De Commissie kan standaardformulieren en standaardprocedures vaststellen voor het verzoek om en de verlening van toegang tot de in lid 1 bedoelde informatie, onder andere voor de controle van de identiteit van de betrokkene en voor het meedelen van de persoonsgegevens aan de betrokkene, met inachtneming van de specifieke kenmerken en behoeften van de verschillende sectoren en situaties op het gebied van gegevensverwerking. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 111]

AFDELING 3

RECTIFICATIE EN HET WISSEN VAN GEGEVENS

Artikel 16

Recht van rectificatie

De betrokkene heeft recht op rectificatie van hem of haar betreffende onjuiste persoonsgegevens door de voor de verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke persoonsgegevens, onder meer door toevoeging van een rectificerende verklaring.

Artikel 17

Recht om te worden vergeten en om gegevens te laten wissen

1.  De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke ervoor zorgt dat hem of haar betreffende gegevens worden gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft, met name waar het gaat om persoonsgegevens die door de betrokkene als kind beschikbaar zijn gesteld, en dat derden ervoor zorgen dat iedere koppeling naar, of kopie of reproductie van die gegevens wordt gewist, wanneer een van de volgende gronden van toepassing is:

a)  de gegevens zijn niet langer nodig in verband met de doeleinden waarvoor zij werden verzameld of anderszins verwerkt;

b)  de betrokkene trekt de toestemming waarop de verwerking overeenkomstig artikel 6, lid 1, onder a), is gebaseerd, in of de toegestane termijn voor opslag is verstreken terwijl een andere grond voor de verwerking van de gegevens ontbreekt;

c)  de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19;

c bis)  een rechtbank of regelgevende instantie in de Unie heeft de rechtsgeldige uitspraak gedaan dat de betreffende gegevens moeten worden gewist;

d)  de verwerking van de gegevens voldoet op andere gronden niet aan deze verordening zijn onrechtmatig verwerkt.

1 bis.  De toepassing van lid 1 hangt af van het vermogen van de voor de verwerking verantwoordelijke om na te gaan dat de persoon die om het wissen verzoekt de betrokkene is.

2.  Wanneer de in lid 1 bedoelde voor de verwerking verantwoordelijke de persoonsgegevens openbaar heeft gemaakt zonder de in artikel 6, lid 1, bedoelde verantwoording, neemt hij alle redelijke maatregelen, waaronder technische maatregelen, ten aanzien van om de gegevens die onder zijn verantwoordelijkheid openbaar zijn gemaakt, teneinde te laten wissen, eveneens door derden, die deze gegevens verwerken ervan op de hoogte te stellen dat een betrokkene hun verzoekt ieder koppeling naar, of kopie of reproductie van die persoonsgegevens te wissen. Wanneer de onverminderd artikel 77. De voor de verwerking verantwoordelijke toestemming heeft gegeven voor openbaarmaking van persoonsgegevens informeert de betrokkene indien mogelijk over de stappen die door een derde, wordt de voor de verwerking verantwoordelijke voor die openbaarmaking verantwoordelijk geacht de derden genomen worden.

3.  De voor de verwerking verantwoordelijke gaat en, in voorkomend geval, de derde gaan onverwijld tot het wissen over, zij het niet voor zover het nodig is de persoonsgegevens te bewaren:

a)  voor de uitoefening van het recht op vrijheid van meningsuiting overeenkomstig artikel 80;

b)  om redenen van algemeen belang op het gebied van de volksgezondheid overeenkomstig artikel 81;

c)  voor historische, statistische of wetenschappelijke doeleinden overeenkomstig artikel 83;

d)  ter voldoening aan een wettelijke verplichting tot bewaring van de persoonsgegevens op grond van het recht van de Unie of het recht van de lidstaat waaraan de voor de verwerking verantwoordelijke onderworpen is; de nationale wetgeving moet beantwoorden aan een doelstelling van algemeen belang, moet de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigen en moet evenredig zijn aan het nagestreefde rechtmatige doel.

e)  in de in lid 4 bedoelde gevallen.

4.  De voor de verwerking verantwoordelijke beperkt de verwerking van persoonsgegevens in plaats van deze te wissen en wel zodanig dat de persoonsgegevens niet onder de normale operaties voor gegevenstoegang en -verwerking vallen en niet langer kunnen worden gewijzigd, wanneer:

a)  de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te controleren;

b)  de voor de verwerking verantwoordelijke de persoonsgegevens niet langer voor de uitvoering van zijn taken nodig heeft, maar die gegevens nog moeten worden bewaard ten behoeve van bewijsvoering;

c)  de verwerking ervan onrechtmatig is en de betrokkene zich tegen het wissen ervan verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt;

c bis)  een rechtbank of regelgevende instantie in de Unie de definitieve en rechtsgeldige uitspraak heeft gedaan dat de betreffende verwerking moeten worden beperkt;

d)  de betrokkene verzoekt om doorgifte van de persoonsgegevens naar een ander geautomatiseerd verwerkingssysteem overeenkomstig artikel 18, lid 2 artikel 15, lid 2 bis;

d bis)  de specifieke opslagtechnologie wissen niet toelaat en geïnstalleerd is vóór de inwerkingtreding van deze verordening.

5.  De in lid 4 bedoelde persoonsgegevens worden, afgezien van de opslag ervan, slechts verwerkt ten behoeve van bewijsvoering of met toestemming van de betrokkene of ter bescherming van de rechten van een andere natuurlijke of rechtspersoon of voor een doelstelling van algemeen belang.

6.  Wanneer de verwerking van persoonsgegevens op grond van artikel 4 is beperkt, informeert de voor de verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de verwerking op te heffen.

7.  De voor de verwerking verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen.

8.  Wanneer de persoonsgegevens worden gewist, verwerkt de voor de verwerking verantwoordelijke deze gegevens niet anderszins.

8 bis.  De voor de verwerking verantwoordelijke stelt mechanismen vast om ervoor te zorgen dat de termijnen die zijn vastgesteld voor het wissen van persoonsgegevens en/of voor de periodieke beoordeling van de noodzaak van de opslag van de gegevens, in acht worden genomen.

9.  De Commissie is bevoegd om, nadat zij het advies van het Europees Comité voor gegevensbescherming heeft ingewonnen, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van:

a)  de criteria en de vereisten voor de toepassing van lid 1 met betrekking tot specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking.

b)  de voorwaarden voor het verwijderen van koppelingen naar, kopieën of reproducties van persoonsgegevens uit algemeen beschikbare communicatiediensten als bedoeld in lid 2;

c)  de criteria en voorwaarden voor het beperken van de verwerking van persoonsgegevens als bedoeld in lid 4. [Am. 112]

Artikel 18

Recht van gegevensoverdraagbaarheid

1.  Wanneer persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt, heeft de betrokkene het recht om van de voor de verwerking verantwoordelijke een kopie te krijgen van de gegevens die worden verwerkt in een elektronisch en gestructureerd formaat dat algemeen wordt gebruikt en verder door de betrokkene kan worden gebruikt.

2.  Wanneer de betrokkene persoonsgegevens heeft verstrekt en de verwerking daarvan plaatsvindt op basis van toestemming of een overeenkomst, heeft de betrokkene het recht om deze persoonsgegevens en alle andere informatie die hij heeft verstrekt en die door middel van een geautomatiseerd verwerkingssysteem wordt bewaard, in een algemeen gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd verwerkingssysteem, zonder daarbij door de voor de verwerking verantwoordelijke bij wie de persoonsgegevens zijn weggehaald, te worden belemmerd.

3.  De Commissie kan het in lid 1 bedoelde elektronische formaat en de technische normen, de modaliteiten en de procedures voor het overeenkomstig lid 2 overdragen van persoonsgegevens, nader bepalen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 113]

AFDELING 4

RECHT VAN BEZWAAR EN PROFILERING

Artikel 19

Recht van bezwaar

1.  De betrokkene heeft het recht te allen tijde op gronden die verband houden met zijn bijzondere situatie bezwaar te maken tegen de verwerking op basis van artikel 6, lid 1, onder d) en e) en f), van persoonsgegevens, tenzij de voor de verwerking verantwoordelijke dwingende legitieme gronden voor de verwerking aantoont die zwaarder wegen dan de belangen of de grondrechten en fundamentele vrijheden van de betrokkene.

2.  Wanneer de verwerking van persoonsgegevens ten behoeve van direct marketing worden verwerkt gebaseerd is op artikel 6, lid 1, onder f), heeft de betrokkene te allen tijde het recht om zonder enige nadere motivering in het algemeen of met een specifiek doel kosteloos bezwaar te maken tegen de verwerking van zijn of haar persoonsgegevens voor deze marketing. Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informatie kunnen worden onderscheiden.

2 bis.   Het in lid 2 bedoelde recht wordt de betrokkene uitdrukkelijk, op begrijpelijke wijze en in een begrijpelijk formaat geboden, in duidelijke en eenvoudige taal, met name wanneer dit specifiek tot een kind is gericht, en dit moet duidelijk van overige informatie kunnen worden onderscheiden.

2 ter.  In het kader van het gebruik van diensten van de informatiemaatschappij en onverminderd Richtlijn 2002/58/EG, mag het recht bezwaar te maken worden uitgeoefend via geautomatiseerde procedés met behulp van een technische norm die de betrokkene de mogelijkheid biedt om zijn wensen duidelijk te uiten.

3.  Wanneer een bezwaar op grond van de leden 1 en 2 gegrond wordt verklaard, worden de betrokken persoonsgegevens door de voor de verwerking verantwoordelijke niet langer voor de in het bezwaar omschreven doeleinden gebruikt of anderszins verwerkt. [Am. 114]

Artikel 20

Profilering

1.  Iedere Onverminderd de bepalingen van artikel 6, heeft iedere natuurlijke persoon heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen bezwaar te maken tegen profilering overeenkomstig artikel 19. De betrokkene wordt op een uiterst zichtbare manier geïnformeerd over het recht om bezwaar te maken tegen profilering.

2.  Onverminderd het bepaalde in de overige artikelen de andere bepalingen van deze verordening mag een persoon alleen aan een maatregel als bedoeld in lid 1 enkel aan profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen worden onderworpen, wanneer de verwerking:

a)  wordt uitgevoerd in noodzakelijk is voor het kader van het sluiten of het uitvoeren van een overeenkomst en aan het door de betrokkene ingediende verzoek tot het sluiten of het uitvoeren van de overeenkomst is voldaan, of voor zover passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene; zoals het recht op menselijke tussenkomst; of

b)  uitdrukkelijk is toegestaan op grond van het recht van de Unie of het recht van de lidstaat en in dit recht ook passende maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van de betrokkene; of

c)  plaatsvindt op grond van de toestemming van de betrokkene, mits aan de voorwaarden van artikel 7 wordt voldaan en passende waarborgen worden geboden.

3.  De geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van de persoonlijkheid van een natuurlijke persoon te beoordelen, Profilering die leidt tot discriminatie van personen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, seksuele gerichtheid of genderidentiteit, dan wel resulteert in maatregelen met dat effect, is verboden. De voor de verwerking verantwoordelijke zorgt voor doeltreffende bescherming tegen mogelijke discriminatie als gevolg van profilering. Profilering wordt niet uitsluitend gebaseerd op de in artikel 9 bedoelde bijzondere categorieën persoonsgegevens.

4.  In de in lid 2 bedoelde gevallen omvat de informatie die op grond van artikel 14 door de voor de verwerking verantwoordelijke moet worden verstrekt, informatie over de eventuele verwerking voor een maatregel in de zin van lid 1 en de met deze verwerking beoogde gevolgen voor de betrokkene.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling Profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen, is niet enkel of hoofdzakelijk gebaseerd op geautomatiseerde verwerking en omvat menselijke beoordeling, met inbegrip van een toelichting van het besluit dat na dergelijke beoordeling wordt genomen. De van de criteria en de voorwaarden voor passende maatregelen ter bescherming van de in lid 2 bedoelde gerechtvaardigde belangen van de betrokkene omvatten het recht op menselijke beoordeling en een toelichting van het besluit dat na dergelijke beoordeling wordt genomen.

5 bis.  Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 66, lid 1, onder b), met het oog op de nadere invulling van de criteria en de voorwaarden voor profilering overeenkomstig lid 2. [Am. 115]

AFDELING 5

Beperkingen

Artikel 21

Beperkingen

1.  De reikwijdte van de in artikel 5, onder a) tot en met e), en de artikelen 11 tot en met 20 19 en artikel 32 neergelegde verplichtingen en rechten mogen bij EU-wetgeving het recht van de Unie of recht van de lidstaat door middel van een wettelijke maatregel worden beperkt, wanneer op voorwaarde dat een dergelijke beperking aan een duidelijk gedefinieerde doelstelling van algemeen belang beantwoordt, de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens eerbiedigt, evenredig is aan het nagestreefde rechtmatige doel, de fundamentele rechten en belangen van de betrokkene respecteert en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:

a)  de openbare veiligheid;

b)  de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten;

c)  andere algemene belangen van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden; en de bescherming van de marktstabiliteit en –integriteit;

d)  de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;

e)  een taak op het gebied van toezicht, inspectie of regelgeving die verbonden is, ook al is dit incidenteel, met in het kader van de uitoefening van het bevoegd openbaar gezag in de onder a), b), c) en d), bedoelde gevallen;

f)  de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

2.  De in lid 1 bedoelde wettelijke maatregelen moeten in een democratische samenleving noodzakelijk en evenredig zijn en bevatten met name specifieke bepalingen met betrekking tot ten minste: de doelstellingen die met de verwerking moeten worden nagestreefd en de vaststelling van de voor de verwerking verantwoordelijke.

a)  de doelstellingen die met de verwerking moeten worden nagestreefd;

b)  de vaststelling van de voor de verwerking verantwoordelijke;

c)  de specifieke doeleinden van en de middelen voor de verwerking;

d)  de waarborgen ter voorkoming van misbruik of onwettige toegang of overdracht;

e)  het recht van betrokkenen om op de hoogte te worden gesteld van de beperking.

2 bis.  De in lid 1 bedoelde wettelijke maatregelen geven de particuliere voor de verwerking verantwoordelijken geen toestemming en verplichten hen niet om andere gegevens te bewaren dan die welke strikt noodzakelijk zijn voor het oorspronkelijke doel. [Am. 116]

HOOFDSTUK IV

DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER

AFDELING 1

ALGEMENE VERPLICHTINGEN

Artikel 22

Verantwoordelijkheden en verantwoordingsplicht van de voor de verwerking verantwoordelijke

1.  De voor de verwerking verantwoordelijke stelt passend beleid vast en voert passende en aantoonbare technische en organisatorische maatregelen uit om ervoor te zorgen en op een transparante manier te kunnen aantonen dat de verwerking van persoonsgegevens in overeenstemming met deze verordening wordt uitgevoerd, waarbij rekening wordt gehouden met de stand van de techniek, het soort verwerking van persoonsgegevens, de context, de omvang en het doel van de verwerking, de risico's voor de rechten en vrijheden van betrokkenen en het type organisatie, zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf.

1 bis.  Met inachtneming van de stand van de techniek en de uitvoeringskosten neemt de voor de verwerking verantwoordelijke alle redelijke maatregelen om het nalevingsbeleid en de –procedures uit te voeren die de autonome keuze van de betrokkenen permanent respecteren. Dit nalevingsbeleid wordt ten minste om de twee jaar geëvalueerd en zo nodig bijgewerkt.

2.  De in lid 1 bedoelde maatregelen betreffen met name:

(f)  het bewaren van documentatie overeenkomstig artikel 28;

(g)  het voldoen aan de in artikel 30 vastgestelde vereisten inzake gegevensbeveiliging;

(h)  het uitvoeren van een privacyeffectbeoordeling overeenkomstig artikel 33;

(i)  het voldoen aan de eisen inzake voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig artikel 34, leden 1 en 2;

(j)  het aanwijzen van een functionaris voor gegevensbescherming overeenkomstig artikel 35, lid 1.

3.  De voor de verwerking verantwoordelijke stelt mechanismen in om ervoor te zorgen dat is in staat de toereikendheid en doeltreffendheid van de in de leden 1 en 2 bedoelde maatregelen aan te tonen. Alle regelmatige algemene verslagen over de activiteiten van de voor de verwerking verantwoordelijke, zoals de verplichte verslagen wordt getoetst. Deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs, indien die maatregel evenredig is . beursgenoteerde ondernemingen, bevatten een beknopte beschrijving van het beleid en de maatregelen als bedoeld in lid 1.

3 bis.  De voor de verwerking verantwoordelijke heeft het recht om persoonsgegevens in de Unie door te geven binnen de groep van ondernemingen waar hij onderdeel van uitmaakt, indien dergelijke verwerking noodzakelijk is omwille van rechtmatige interne administratieve belangen tussen met elkaar verbonden bedrijfsactiviteiten van de groep van ondernemingen en op voorwaarde dat wordt gezorgd voor een passend niveau van gegevensbescherming en dat de belangen van de betrokkenen gewaarborgd zijn door middel van interne bepalingen voor gegevensbescherming of gelijkwaardige gedragscodes zoals bedoeld in artikel 38.

4.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van eventuele nadere criteria en vereisten voor andere in lid 1 bedoelde passende maatregelen dan die welke reeds in lid 2 worden genoemd, van de voorwaarden voor de in lid 3 bedoelde toetsings- en controlemechanismen en van de criteria voor evenredigheid als bedoeld in lid 3, waarbij de mogelijkheid van specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging wordt genomen. [Am. 117]

Artikel 23

Privacy by design en by default

1.  De voor de verwerking verantwoordelijke en de verwerker, indien aanwezig, passen, met inachtneming van de stand van de techniek en de uitvoeringskosten, het actuele technische kennisniveau, internationale optimale praktijken en de met de gegevensverwerking verbonden risico's, zowel bij de vaststelling van de doelstellingen en de middelen voor de verwerking als bij de verwerking zelf, passende en evenredige technische en organisatorische maatregelen en procedures toe op een zodanige wijze dat de verwerking aan de voorwaarden van deze verordening voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is, in het bijzonder met het oog op de in artikel 5 genoemde beginselen. Gegevensbescherming by design is met name gericht op het beheer van de hele levenscyclus van persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij stelselmatig aandacht wordt besteed aan allesomvattende procedurele waarborgen met betrekking tot de nauwkeurigheid, de vertrouwelijkheid, de integriteit, de fysieke veiligheid en de verwijdering van persoonsgegevens. Indien de voor de verwerking verantwoordelijke ingevolge artikel 33 een privacyeffectbeoordeling heeft uitgevoerd, worden de resultaten daarvan in acht genomen bij de ontwikkeling van die maatregelen en procedures.

1 bis.  Ter bevordering van de wijdverbreide uitvoering in verschillende economische sectoren, vormt gegevensbescherming by design een voorwaarde voor inschrijvingen op overheidsopdrachten overeenkomstig Richtlijn 2004/18/EG van het Europees Parlement en de Raad(16) alsook overeenkomstig Richtlijn 2004/17/EG van het Europees Parlement en de Raad(17) (de richtlijn nutsbedrijven).

2.  De voor de verwerking verantwoordelijke stelt mechanismen in om zorgt ervoor te zorgen dat in beginsel alleen de die persoonsgegevens worden verwerkt die voor elk specifiek doeleinde van de verwerking nodig zijn en met name het verzamelen, bewaren of het bewaren verspreiden van die gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen zorgen met name ervoor dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt en dat de betrokkenen controle hebben over de verspreiding van hun persoonsgegevens.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in de leden 1 en 2 bedoelde passende maatregelen en mechanismen, met name de vereisten voor gegevensbescherming by design die voor alle sectoren, producten en diensten van toepassing zijn.

4.  De Commissie kan technische normen vaststellen voor de in de leden 1 en 2 vermelde vereisten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 118]

Artikel 24

Gezamenlijk voor de verwerking verantwoordelijken

Wanneer een verschillende voor de verwerking verantwoordelijke verantwoordelijken de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt gezamenlijk vaststellen, stellen de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling hun respectieve verantwoordelijkheden vast voor de nakoming van de verplichtingen uit hoofde van deze verordening, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene. Deze regeling geeft naar behoren weer welke effectieve rol de gezamenlijk voor de verwerking verantwoordelijken respectievelijk vervullen en wat hun respectieve verhouding met de betrokkenen is, en de wezenlijke inhoud van de regeling wordt aan de betrokkenen beschikbaar gesteld. Indien de verantwoordelijkheid onduidelijk is, zijn de voor de verwerking verantwoordelijken gezamenlijk hoofdelijk aansprakelijk. [Am. 119]

Artikel 25

Vertegenwoordigers van niet in de Unie gevestigde voor de verwerking verantwoordelijken

1.  In de in artikel 3, lid 2, bedoelde situatie wijst de voor de verwerking verantwoordelijke een vertegenwoordiger in de Unie aan.

2.  Deze verplichting is niet van toepassing op:

a)  een in een derde land gevestigde voor de verwerking verantwoordelijke, wanneer de Commissie overeenkomstig artikel 41 heeft besloten dat het derde land een passend beschermingsniveau waarborgt; of

b)  een onderneming met minder dan 250 werknemers; een voor de verwerking verantwoordelijke die in een achtereenvolgende periode van 12 maanden persoonsgegevens van minder dan 5000 betrokkenen verwerkt en geen speciale categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden verwerkt; of

c)  een overheidsinstantie of –orgaan; of

d)  een voor de verwerking verantwoordelijke die slechts incidenteel goederen of diensten aanbiedt aan betrokkenen in de Unie, wonende betrokkenen tenzij de verwerking van persoonsgegevens betrekking heeft op speciale categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden.

3.  De vertegenwoordiger is gevestigd in een van de lidstaten waar de betrokkenen waarvan de persoonsgegevens in verband met het hun het aanbieden van goederen of diensten worden verwerkt of waarvan het gedrag wordt geobserveerd, wonen aan de betrokkenen, of het toezicht daarop, plaatsvindt.

4.  De aanwijzing van een vertegenwoordiger door de voor de verwerking verantwoordelijke laat de vorderingen die tegen de voor de verwerking verantwoordelijke zelf zouden kunnen worden ingesteld, onverlet. [Am. 120]

Artikel 26

Verwerker

1.  Wanneer een verwerking namens de voor de verwerking verantwoordelijke moet worden uitgevoerd, kiest de voor de verwerking verantwoordelijke een verwerker die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking voldoet aan de vereisten van deze verordening en de bescherming van de rechten van de betrokkene gewaarborgd is, met name met betrekking tot de technische beveiligingsmaatregelen en de organisatorische maatregelen inzake de te verrichten verwerking, en zorgt hij ervoor dat deze maatregelen in acht worden genomen.

2.  De uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een andere rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald De voor de verwerking verantwoordelijke en de verwerker mogen zelf bepalen wat hun respectieve rol en taken zijn met betrekking tot de voorwaarden van deze verordening en zorgen ervoor dat de verwerker:

a)  slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van de persoonsgegevens is verboden persoonsgegevens verwerkt, tenzij anders voorgeschreven door het recht van de Unie of het recht van de lidstaat;

b)  slechts personeel in dienst neemt dat zich ertoe heeft verplicht vertrouwelijkheid in acht te nemen of een wettelijke vertrouwelijkheidsplicht heeft;

c)  alle uit hoofde van artikel 30 vereiste maatregelen neemt;

d)  slechts met voorafgaande toestemming van de voor de verwerking verantwoordelijke de voorwaarden voor het in dienst nemen van een andere verwerker in dienst neemt vaststelt, tenzij anders bepaald;

e)  voor zover dit gelet op de aard van de verwerking mogelijk is, met akkoord van de voor de verwerking verantwoordelijke de nodige passende en relevante technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan nakomen;

f)  de voor de verwerking verantwoordelijk verantwoordelijke bijstaat om ervoor te zorgen dat de verplichtingen uit hoofde van de artikelen 30 tot en met 34 worden nagekomen, waarbij de aard van de verwerking en de voor de verwerker beschikbare informatie in aanmerking worden genomen;

g)  de voor de verwerking verantwoordelijke na de beëindiging van de verwerking alle resultaten overhandigt en teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij in het recht van de Unie of het recht van de lidstaat wordt geëist dat de gegevens worden opgeslagen;

h)  de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen aan te controleren tonen en inspecties ter plaatse toestaat.

3.  De voor de verwerking verantwoordelijke en de verwerker leggen de instructies van de voor de verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2 zijn genoemd, vast in een document.

3 bis.  De in lid 1 bedoelde voldoende waarborgen kunnen worden aangetoond door gedragscodes of certificeringsmechanismen te onderschrijven overeenkomstig artikel 38 of 39 van deze verordening.

4.  Wanneer een verwerker persoonsgegevens verwerkt anders dan volgens de instructies van de voor de verwerking verantwoordelijke, of de bepalende partij wordt met betrekking tot de doeleinden en middelen van de gegevensverwerking, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 24 neergelegde regels voor gezamenlijk voor de verwerking verantwoordelijken gelden.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verantwoordelijkheden, plichten en taken met betrekking tot een verwerker overeenkomstig lid 1, en van de voorwaarden ter bevordering van de verwerking van persoonsgegevens binnen een groep van ondernemingen, met name met het oog op controle en verslaglegging. [Am. 121]

Artikel 27

Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

De verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de voor de verwerking verantwoordelijke, tenzij hij op grond van het recht van de Unie of het recht van de lidstaat tot de verwerking verplicht is.

Artikel 28

Documenten

1.  Alle voor de verwerking verantwoordelijken, verwerkers alsmede, in voorkomend geval, vertegenwoordigers van de voor de verwerking verantwoordelijke bewaren de regelmatig bijgewerkte documenten inzake alle verwerkingen die onder hun verantwoordelijkheid hebben plaatsgevonden die nodig zijn om te voldoen aan de in deze verordening vastgestelde vereisten.

2.  Daarnaast bewaren alle voor de verwerking verantwoordelijken en alle verwerkers de documenten bevatten ten minste inzake de volgende gegevens:

a)  de naam en de contactgegevens van de voor de verwerking verantwoordelijke of de eventuele gezamenlijk voor de verwerking verantwoordelijke of verwerker, en van de vertegenwoordiger, in voorkomend geval;

b)  de naam en de contactgegevens van de functionaris voor gegevensbescherming, in voorkomend geval;

c)  de doeleinden van de verwerking, waaronder de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder f);

d)  een beschrijving van de categorieën betrokkenen en van de categorieën hen betreffende persoonsgegevens;

e)  de ontvangers of categorieën ontvangers van persoonsgegevens, met inbegrip de naam en de contactgegevens van de voor de verwerking verantwoordelijken aan wie de persoonsgegevens zijn verstrekt met het oog op de door hen nagestreefde gerechtvaardigde belangen, in voorkomend geval;

f)  indien van toepassing, de doorgifte van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 44, lid 1, onder h), bedoelde doorgiften, de documenten inzake de passende garanties;

g)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist;

h)  de beschrijving van de in artikel 22, lid 3, bedoelde mechanismen.

3.  De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de documenten op verzoek ter beschikking.

4.  De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op de volgende voor de verwerking verantwoordelijken en verwerkers:

a)  een natuurlijke persoon die zonder commerciële belangen persoonsgegevens verwerkt; of

b)  een onderneming of organisatie met minder dan 250 werknemers die persoonsgegevens slechts als nevenactiviteit verwerkt.

5.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bedoelde documenten, teneinde met name de verantwoordelijkheden in acht te nemen van de voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, van de vertegenwoordiger van de voor de verwerking verantwoordelijke.

6.  De Commissie kan standaardformulieren vaststellen voor de in lid 1 bedoelde documenten. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 122]

Artikel 29

Medewerking met de toezichthoudende autoriteit

1.  De voor de verwerking verantwoordelijke en, in voorkomend geval, de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke verlenen op verzoek hun medewerking aan met de toezichthoudende autoriteit bij de uitoefening van diens taken, met name door het verstrekken van de in artikel 53, lid 2, onder a), bedoelde informatie en door het verschaffen van toegang als bepaald in dat lid, onder b).

2.  Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 53, lid 2, uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke, door de toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten. [Am. 123]

AFDELING 2

GEGEVENSBEVEILIGING

Artikel 30

Beveiliging van de verwerking

1.  De voor de verwerking verantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een gelet passend beveiligingsniveau te waarborgen met het oog op de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, passend beveiligingsniveau te waarborgen meebrengt, waarbij rekening wordt gehouden met de resultaten van een privacyeffectbeoordeling overeenkomstig artikel 3, alsmede met de stand van de techniek en met de kosten van uitvoering van de maatregelen.

1 bis.  Een dergelijk veiligheidsbeleid omvat, met inachtneming van de stand van de techniek en de kosten van uitvoering, de volgende elementen:

a)  de mogelijkheid ervoor te zorgen dat de integriteit van de persoonsgegevens wordt bekrachtigd;

b)  de mogelijkheid te voorzien in een voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen en diensten die persoonsgegevens verwerken;

c)  de mogelijkheid om de beschikbaarheid van en toegang tot gegevens ingeval van een fysiek of technisch incident met gevolgen voor de beschikbaarheid, integriteit en de vertrouwelijkheid van informatiesystemen en -diensten, te herstellen;

d)  ingeval van verwerking van gevoelige persoonsgegevens overeenkomstig artikel 8 en 9 worden bijkomende veiligheidsmaatregelen getroffen om te zorgen voor omgevingsbewustzijn met betrekking tot de risico's en het vermogen om bijna real-time preventieve, corrigerende en beperkende maatregelen te treffen indien er kwetsbare plekken of incidenten worden ontdekt die een bedreiging kunnen vormen voor de gegevens;

e)  een proces voor het regelmatig testen, meten en evalueren van de doeltreffendheid van bestaand veiligheidsbeleid en bestaande veiligheidsprocedures en -plannen, teneinde deze doeltreffendheid voortdurend te waarborgen.

2.  De voor de verwerking verantwoordelijke en de verwerker nemen, na een evaluatie van de risico’s, de in lid 1 bedoelde maatregelen ter bescherming van persoonsgegevens tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, of tegen verlies en om andere vormen van onrechtmatige verwerking te voorkomen, met name ongeoorloofde verstrekking of verspreiding van, toegang tot, of wijziging van persoonsgegevens zorgen er ten minste voor dat:

a)  wordt gewaarborgd dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang heeft tot de persoonsgegevens;

b)  opgeslagen of verzonden persoonsgegevens worden beschermd tegen onbedoelde of onrechtmatige vernietiging, onbedoeld verlies of wijziging, en ongeoorloofde of onrechtmatige opslag, verwerking, toegang of verstrekking; en

c)  er een veiligheidsbeleid wordt ingevoerd met betrekking tot de verwerking van persoonsgegevens.

3.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden 66, lid 1, onder b), voor de in de leden 1 en 2 bedoelde technische en organisatorische maatregelen, waaronder de vaststelling van de stand van de techniek, voor specifieke sectoren en in specifieke situaties op het gebied van gegevensverwerking, waarbij met name rekening wordt gehouden met technologische ontwikkelingen en oplossingen inzake privacy by design en gegevensbescherming by default. tenzij lid 4 van toepassing is.

4.  De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde voorschriften toe te snijden op verschillende situaties, met name om:

a)  ongeoorloofde toegang tot persoonsgegevens te voorkomen;

b)  te voorkomen dat persoonsgegevens ongeoorloofd worden verstrekt, gelezen, gekopieerd, gewijzigd, gewist of verwijderd;

c)  ervoor te zorgen dat de rechtmatigheid van verwerkingen wordt geverifieerd.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 124]

Artikel 31

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.  In geval van een inbreuk in verband met persoonsgegevens meldt de voor de verwerking verantwoordelijke de toezichthoudende autoriteit deze inbreuk zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding aan de toezichthoudende autoriteit niet binnen 24 plaatsvindt, gaat deze vergezeld van een motivering.

2.  In overeenstemming met artikel 26, lid 2, onder f), De verwerker waarschuwt en informeert de verwerker de voor de verwerking verantwoordelijke onmiddellijk zonder onnodige vertraging na de vaststelling van een inbreuk in verband met persoonsgegevens.

3.  De in lid 1 bedoelde melding bevat ten minste:

a)  een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en categorieën en aantallen gegevensrecords;

b)  de vermelding van de identiteit en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)  aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)  een omschrijving van de gevolgen van de inbreuk in verband met persoonsgegevens;

e)  een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken.

De informatie kan zo nodig in fases worden verstrekt..

4.  De voor de verwerking verantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documenten moeten afdoende zijn om de toezichthoudende autoriteit in staat stellen om de naleving van dit artikel en artikel 30 te controleren. De documenten omvatten uitsluitend de voor dat doel noodzakelijke informatie.

4 bis.  De toezichthoudende autoriteit houdt een openbaar register bij van alle soorten gemelde inbreuken.

5.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten 66, lid 1, onder b), voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens alsmede van de onnodige vertraging als bedoeld in de leden 1 en 2, en voor de bijzondere omstandigheden waarin een voor de verwerking verantwoordelijke en een verwerker verplicht zijn de inbreuk in verband met persoonsgegevens te melden.

6.  De Commissie kan het model vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documenten, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 125]

Artikel 32

Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.  Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen voor de bescherming van de persoonsgegevens, of de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene heeft, deelt de voor de verwerking verantwoordelijke na de in artikel 31 bedoelde melding, de betrokkene de inbreuk in verband met persoonsgegevens zonder onnodige vertraging mee.

2.  De in lid 1 bedoelde mededeling aan de betrokkene is uitgebreid en geschreven in duidelijke, eenvoudige taal. Deze bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 31, lid 3, onder b) en c) en d), voorgeschreven informatie en aanbevelingen en informatie over de rechten van de betrokkenen, met inbegrip van het recht op verhaal.

3.  De melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij de passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de gegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.

4.  Onverminderd de verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te hebben overwogen, de voor de verwerking verantwoordelijk gelasten de inbreuk in verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste dat nog niet heeft gedaan.

5.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen 66, lid 1, onder b), met het oog op de nadere invulling van de criteria en de vereisten met betrekking tot de omstandigheden waarin een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de in lid 1 bedoelde persoonsgegevens, de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene.

6.  De Commissie kan het model van de in lid 1 bedoelde melding aan de betrokkene en de op die melding toepasselijke procedure vaststellen. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 126]

Artikel 32 bis

Risico-analyse

1.  De voor de verwerking verantwoordelijke, of in voorkomend geval de verwerker, voert een risicoanalyse uit van de mogelijke effecten van de bedoelde gegevensverwerking op de rechten en vrijheden van de betrokkenen, waarbij wordt beoordeeld of de verwerkingen waarschijnlijk specifieke risico's inhouden.

2.  De volgende verwerkingen kunnen specifieke risico's inhouden:

a)  de verwerking van persoonsgegevens van meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden;

b)  de verwerking van bijzondere categorieën persoonsgegevens zoals bedoeld in artikel 9, lid 1, locatiegegevens of gegevens over kinderen of werknemers in grote bestanden;

c)  profilering waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem op vergelijkbare, aanzienlijke wijze treffen;

d)  de verwerking van persoonsgegevens voor het bieden van gezondheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

e)  geautomatiseerde bewaking van openbaar toegankelijke ruimten op grote schaal;

f)  andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de functionaris voor gegevensbescherming of de toezichthoudende autoriteit moet worden geraadpleegd;

g)  indien een inbreuk in verband met persoonsgegevens waarschijnlijk negatieve gevolgen heeft voor de bescherming van de persoonsgegevens, de privacy, de rechten of de gerechtvaardigde belangen van de betrokkene;

h)  een voor de verwerking verantwoordelijke of verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen;

i)  indien persoonsgegevens toegankelijk worden gemaakt voor een aantal personen waarvan redelijkerwijs niet kan worden aangenomen dat het een beperkt aantal is.

3.  In overeenstemming met de resultaten van de risicoanalyse:

a)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a) of b), wijzen voor de verwerking verantwoordelijken die niet in de Unie zijn gevestigd een vertegenwoordiger in de Unie aan in overeenstemming met de vereisten en uitzonderingen zoals vastgelegd in artikel 25;

b)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a), b) of h), wijst de voor de verwerking verantwoordelijke een functionaris voor gegevensbescherming aan in overeenstemming met de vereisten en uitzonderingen zoals vastgelegd in artikel 35;

c)  ingeval er sprake is van een van de verwerkingen zoals bedoeld in lid 2, onder a), b), c), d), e), f), g) of h), verricht de voor de verwerking verantwoordelijke of de verwerker die namens de voor de verwerking verantwoordelijke optreedt een privacyeffectbeoordeling overeenkomstig artikel 33;

d)  ingeval er sprake is van verwerkingen zoals bedoeld in lid 2, onder f), raadpleegt de voor de verwerking verantwoordelijke de functionaris voor gegevensbescherming of, indien er geen functionaris voor gegevensbescherming is aangewezen, de toezichthoudende autoriteit overeenkomstig artikel 34.

4.  De risicoanalyse wordt uiterlijk na een jaar ofwel onmiddellijk geëvalueerd, indien de aard, de omvang of de doeleinden van de gegevensverwerking aanzienlijk wijzigen. Wanneer de voor de verwerking verantwoordelijke overeenkomstig lid 3, onder c), niet verplicht is een privacyeffectbeoordeling te verrichten, wordt de risicoanalyse gedocumenteerd. [Am. 127]

AFDELING 3

PRIVACYEFFECTBEOORDELING EN VOORAFGAANDE TOESTEMMING BEHEER GEGEVENSBESCHERMING GEDURENDE LEVENSCYCLUS [Am. 128]

Artikel 33

Privacyeffectbeoordeling

1.  Wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van de betrokkenen, Indien vereist overeenkomstig artikel 32 bis, lid 3, onder c), voert de voor de verwerking verantwoordelijke of de verwerker die ten behoeve van namens de voor de verwerking verantwoordelijke optreedt een beoordeling uit van het effect van de beoogde verwerkingen op de rechten en vrijheden van de betrokkenen, met name hun recht op bescherming van persoonsgegevens. Een enkele beoordeling is voldoende in het geval van een reeks vergelijkbare verwerkingen die vergelijkbare risico's inhouden.

2.  Met name de volgende verwerkingen houden de in lid 1 bedoelde specifieke risico’s in:

a)  een systematische en uitgebreide beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon, bijvoorbeeld om met name zijn economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen, die is gebaseerd op geautomatiseerde verwerking en waarop maatregelen zijn gebaseerd waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen;

b)  de verwerking van gegevens over het seksuele leven, de gezondheid, het ras of de etnische afkomst, voor het bieden van gezondsheidszorg, voor epidemiologisch onderzoek, of voor onderzoek naar geestes- of besmettelijke ziekten, wanneer de gegevens op grote schaal worden verwerkt voor het nemen van maatregelen of besluiten met betrekking tot specifieke personen;

c)  de bewaking van openbaar toegankelijke ruimten, met name wanneer op grote schaal optisch-elektronische apparatuur (videobewaking) wordt gebruikt;

d)  de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens;

e)  andere verwerkingen waarvoor op grond van artikel 34, lid 2, onder b), de toezichthoudende autoriteit moet worden geraadpleegd.

3.  De beoordeling bevat minstens een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen, de maatregelen die worden beoogd om de risico’s te beperken, en de waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens verzekeren en aantonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen. heeft betrekking op de gehele levenscyclus van persoonsgegevens van vergaring via verwerking tot verwijdering. Deze bevat ten minste:

a)  een systematische beschrijving van de beoogde verwerkingen, de doeleinden van de verwerking en, in voorkomend geval, de gerechtvaardigde belangen die worden nagestreefd door de voor de verwerking verantwoordelijke;

b)  een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel;

c)  een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, met inbegrip van het risico van discriminatie dat inherent is aan de verwerking of daardoor wordt versterkt;

d)  een beschrijving van de beoogde maatregelen om de risico's te beperken en de hoeveelheid persoonsgegevens die worden verwerkt, te minimaliseren;

e)  een lijst waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen, zoals pseudonimisering, en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen;

f)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens moeten worden gewist;

g)  een uitleg over welke privacy by design en by default praktijken overeenkomstig artikel 23 zijn toegepast;

h)  een lijst van de ontvangers of categorieën ontvangers van de persoonsgegevens;

i)  indien van toepassing, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie;

j)  een beoordeling van de context van de gegevensverwerking.

3 bis.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de effectbeoordelingen.

3 ter.  De beoordeling wordt gedocumenteerd en bevat een schema ten behoeve van reguliere periodieke nalevingscontroles gegevensbescherming overeenkomstig artikel 33 bis, lid 1. De beoordeling wordt zonder onnodige vertraging bijgewerkt indien de resultaten van de in artikel 33 bis bedoelde nalevingscontroles gegevensbescherming inconsistenties in de naleving laten zien. De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de beoordeling op verzoek ter beschikking.

4.  De voor de verwerking verantwoordelijke neemt de opmerkingen van betrokkenen en hun vertegenwoordigers over de voorgenomen verwerking in ontvangst, zonder inbreuk te maken op de bescherming van commerciële of algemene belangen of de beveiliging van de verwerkingen.

5.  Wanneer de voor de verwerking verantwoordelijke een overheidsinstantie of –orgaan is en de verwerking het gevolg is van een in de EU-wetgeving geregelde wettelijke verplichting in de zin van artikel 6, lid 1, onder c), waarbij voorschriften en procedures inzake de verwerkingen zijn vastgesteld, zijn de leden 1 tot en met 4 niet van toepassing, tenzij de lidstaten het nodig achten om voorafgaand aan de verwerkingen een dergelijke beoordeling uit te voeren.

6.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. Daarbij neemt de Commissie specifieke maatregelen voor micro- en kleine en middelgrote ondernemingen in overweging.

7.  De Commissie kan normen en procedures vaststellen voor de uitvoering en de interne en externe toetsing van de in lid 3 bedoelde beoordeling. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 129]

Artikel 33 bis

Nalevingscontrole gegevensbescherming

1.  De voor de verwerking verantwoordelijke of de verwerker die namens de voor de verwerking verantwoordelijke optreedt, voert uiterlijk twee jaar na uitvoering van een effectbeoordeling overeenkomstig artikel 33, lid 1, een nalevingscontrole gegevensbescherming uit. Uit deze nalevingscontrole gegevensbescherming moet blijken dat de verwerkte gegevens zijn verwerkt overeenkomstig de privacyeffectbeoordeling.

2.  De nalevingscontrole wordt periodiek, tenminste eens per twee jaar, uitgevoerd of anderszins onmiddellijk nadat de specifieke risico’s in verband met de verwerkingen zijn gewijzigd.

3.  Ingeval de nalevingscontrole inconsistenties in de naleving laat zien, worden er in de nalevingscontrole tevens aanbevelingen opgenomen om tot volledige naleving te kunnen komen.

4.  De nalevingscontrole en de daaruit voortvloeiende aanbevelingen worden gedocumenteerd. De voor de verwerking verantwoordelijke en de verwerker en, in voorkomend geval, de vertegenwoordiger van de voor de verwerking verantwoordelijke, stellen de toezichthoudende autoriteit de nalevingscontrole op verzoek ter beschikking.

5.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de nalevingscontrole. [Am. 130]

Artikel 34

Voorafgaande toestemming en voorafgaande raadpleging

1.  De voor de verwerking verantwoordelijke en, in voorkomend geval, de verwerker verkrijgen voorafgaand aan de verwerking van persoonsgegevens toestemming van de toezichthoudende autoriteit om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer een voor de verwerking verantwoordelijke of een verwerker contractbepalingen vaststelt uit hoofde van artikel 42, lid 2, onder d), of niet in een juridisch bindend instrument passende garanties voor de bescherming van persoonsgegevens biedt als bedoeld in artikel 42, lid 5, voor de doorgifte van persoonsgegevens naar een derde land of een internationale organisatie.

2.  De voor de verwerking verantwoordelijke of de verwerker die ten behoeve van namens de voor de verwerking verantwoordelijke optreedt, raadpleegt de functionaris voor gegevensbescherming of, indien er geen functionaris voor gegevensbescherming is aangewezen, de toezichthoudende autoriteit voorafgaand aan de verwerking van de persoonsgegevens om ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name om de risico’s voor de betrokkenen te beperken wanneer:

a)  een privacyeffectbeoordeling als bedoeld in artikel 33 aangeeft dat verwerkingen vanwege hun aard, hun omvang of hun doel waarschijnlijk grote specifieke risico’s met zich brengen; of

b)  de functionaris voor gegevensbescherming of de toezichthoudende autoriteit het nodig acht om vooraf tot raadpleging over te gaan over verwerkingen die naar hun aard, hun omvang en/of hun doel waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen met zich brengen en die overeenkomstig lid 4 zijn gespecificeerd.

3.  Wanneer de bevoegde toezichthoudende autoriteit uit hoofde van mening is haar bevoegdheid bepaalt dat de voorgenomen verwerking niet aan deze verordening voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende voorstellen om alsnog aan deze verordening te voldoen.

4.  De toezichthoudende autoriteit Het Europees Comité voor gegevensbescherming stelt een lijst op van verwerkingen waarover uit hoofde van lid 2, onder b), voorafgaande raadpleging moet plaatsvinden en publiceert deze. De toezichthoudende autoriteit deelt deze lijsten mee aan het Europees Comité voor gegevensbescherming.

5.  Wanneer de in lid 4 bedoelde lijst betrekking heeft op verwerkingen met betrekking tot het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of op het observeren van hun gedrag, of op verwerkingen die het vrije verkeer van persoonsgegevens in de Unie wezenlijk kunnen beïnvloeden, past de toezichthoudende autoriteit voorafgaand aan de vaststelling van de lijst de in artikel 57 bedoelde conformiteitstoetsing toe.

6.  De voor de verwerking verantwoordelijke of de verwerker verstrekt de toezichthoudende autoriteit op verzoek de in privacyeffectbeoordeling overeenkomstig artikel 33 bedoelde privacyeffectbeoordeling en, op verzoek, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

7.  De lidstaten raadplegen de toezichthoudende autoriteit bij de voorbereiding van een door het nationale parlement vast te stellen wettelijke maatregel of een op een dergelijke wettelijke maatregel gebaseerde maatregel die de aard van de verwerking bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze verordening voldoet en met name de betrokken risico’s voor de betrokkenen te beperken.

8.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor het bepalen van de in lid 2, onder a), bedoelde grote specifieke risico’s.

9.  De Commissie kan standaardformulieren en –procedures vaststellen voor de in de leden 1 en 2 bedoelde voorafgaande goedkeuring en raadpleging en standaardformulieren en –procedures voor het verstrekken van informatie aan de toezichthoudende autoriteiten overeenkomstig lid 6. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 131]

AFDELING 4

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 35

Aanwijzing van de functionaris voor gegevensbescherming

1.  De voor de verwerking verantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in elk geval waarin:

a)  de verwerking wordt uitgevoerd door een overheidsinstantie of –orgaan; of

b)  de verwerking wordt uitgevoerd door een onderneming met minimaal 250 werknemers rechtspersoon en betrekking heeft op meer dan 5000 betrokkenen gedurende een achtereenvolgende periode van 12 maanden; of

c)  een voor de verwerking verantwoordelijke of verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doel regelmatige en stelselmatige observatie van betrokkenen vereisen; of

d)  de kernactiviteiten van de voor de verwerking verantwoordelijke of de verwerker bestaan uit de verwerking van bijzondere categorieën gegevens ingevolge artikel 9, lid 1, gegevens over de verblijfplaats of gegevens over kinderen of werknemers in grote bestanden.

2.  In het in lid 1, onder b), bedoelde geval kan Een groep van ondernemingen één kan een primair verantwoordelijke functionaris voor gegevensbescherming benoemen, mits gegarandeerd is dat elke vestiging gemakkelijk toegang heeft tot de functionaris voor gegevensbescherming.

3.  Wanneer de voor de verwerking verantwoordelijke of de verwerker een overheidsinstantie of –orgaan is, kan de functionaris voor gegevensbescherming voor verschillende entiteiten van die instantie of dat orgaan worden aangewezen, met inachtneming van de organisatiestructuur van de overheidsinstantie of het overheidsorgaan.

4.  In andere dan de in lid 1 bedoelde gevallen kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen.

5.  De functionaris voor gegevensbescherming wordt door de voor de verwerking verantwoordelijke of de verwerker aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 37 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die voor de door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.

6.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat alle andere beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming en niet tot een belangenconflict leiden.

7.  De voor de verwerking verantwoordelijke of de verwerker wijst een functionaris voor gegevensbescherming aan voor een periode van tenminste ten minste vier jaar in het geval van een werknemer of twee jaar in het geval van een externe dienstencontractant. De functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn of haar ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij of zij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn of haar taken.

8.  De functionaris voor gegevensbescherming kan in dienst zijn van de voor de verwerking verantwoordelijke of de verwerker dan wel zijn taken op grond van een dienstverleningscontract verrichten.

9.  De voor de verwerking verantwoordelijke of de verwerker deelt de toezichthoudende autoriteit en het publiek de naam en de contactgegevens van de functionaris voor gegevensbescherming mee.

10.  Betrokkenen hebben het recht om met de functionaris voor gegevensbescherming contact op te nemen over alle aangelegenheden die verband houden met de verwerking van de gegevens van de betrokkene en om te verzoeken om de uitoefening van de rechten uit hoofde van deze verordening.

11.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1, onder c), bedoelde hoofdactiviteiten van de voor de verwerking verantwoordelijke of de verwerker en van de criteria voor de in lid 5 bedoelde professionele kwaliteiten van de functionaris voor gegevensbescherming. [Am. 132]

Artikel 36

Positie van de functionaris voor gegevensbescherming

1.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming naar behoren en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.

2.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming zijn plichten en taken onafhankelijk vervult en geen instructies ontvangt met betrekking tot de uitoefening van de functie. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de dagelijkse leiding van de voor de verwerking verantwoordelijke of de verwerker. De voor de verwerking verantwoordelijke of de verwerker wijst hiertoe een lid van de dagelijkse leiding aan als verantwoordelijke voor de naleving van de bepalingen van deze verordening.

3.  De voor de verwerking verantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij de vervulling van zijn taken en zorgen voor alle middelen, met inbegrip van personeel, kantoren, uitrusting en alle andere middelen die nodig zijn voor de vervulling van de in artikel 37 bedoelde plichten en taken en om zijn of haar vakkennis op peil te houden.

4.  Functionarissen voor gegevensbescherming zijn gebonden tot geheimhouding wat betreft de identiteit van de betrokkenen en de omstandigheden aan de hand waarvan de betrokkenen geïdentificeerd kunnen worden, tenzij ze door de betrokkene van die verplichting zijn ontheven. [Am. 133]

Artikel 37

Taken van de functionaris voor gegevensbescherming

De voor de verwerking verantwoordelijke en de verwerker dragen de functionaris voor gegevensbescherming ten minste de volgende taken op:

a)  bewust maken, het informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze verordening, met name wat betreft technische en organisatorische maatregelen en procedures, en het documenteren van deze activiteit en de ontvangen antwoorden;

b)  het toezien op de uitvoering en toepassing van het beleid van de voor de verwerking verantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)  het toezien op de uitvoering en de toepassing van deze verordening, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van deze verordening;

d)  ervoor zorgen dat de in artikel 28 bedoelde documenten worden bewaard;

e)  het toezien op het documenteren, melden en meedelen van inbreuken in verband met persoonsgegevens overeenkomstig de artikelen 31 en 32;

f)  het toezien op de uitvoering van de privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek om voorafgaande toestemming of raadpleging, voor zover daartoe op grond van de artikelen 32 bis, 33 en 34 een verplichting bestaat;

g)  het toezien op het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, verlenen van medewerking aan de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)  het optreden als contactpunt voor de toezichthoudende autoriteit inzake aangelegenheden in verband met de verwerking en het op zijn of haar eigen initiatief in voorkomend geval raadplegen van de toezichthoudende autoriteit;

i)  het controleren van de naleving van deze verordening van het in artikel 34 neergelegde raadplegingsmechanisme;

j)  het informeren van de werknemersvertegenwoordigers over de verwerking van gegevens van de werknemers.

2.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de taken, certificering, positie, bevoegdheden en middelen van de lid 1 genoemde functionaris voor gegevensbescherming. [Am. 134]

AFDELING 5

GEDRAGSCODES EN CERTIFICERING

Artikel 38

Gedragscodes

1.  De lidstaten, de toezichthoudende autoriteiten en de Commissie bevorderen de opstelling van gedragscodes of de goedkeuring van door toezichthoudende autoriteiten opgestelde gedragscodes die, met inachtneming van de specifieke kenmerken van de diverse gegevensverwerkingssectoren, moeten bijdragen tot de juiste toepassing van deze verordening en met name met betrekking tot:

a)  eerlijke en transparante gegevensverwerking;

a bis)  de eerbiediging van de consumentenrechten;

b)  de verzameling van gegevens;

c)  het informeren van het publiek en de betrokkenen:

d)  verzoeken van betrokkenen in het kader van de uitoefening van hun rechten;

e)  het informeren en de bescherming van kinderen;

f)  doorgifte van gegevens naar derde landen of naar internationale organisaties;

g)  mechanismen voor het toezicht op en de verzekering van de naleving van de code door de voor de verwerking verantwoordelijken die deze hebben onderschreven;

h)  buitengerechtelijke procedures en andere procedures voor geschillenbeslechting tussen voor de verwerking verantwoordelijken en betrokkenen met betrekking tot de verwerking van persoonsgegevens, onverminderd de rechten van de betrokkenen op grond van de artikelen 73 en 75.

2.  Verenigingen en andere organen die in een lidstaat categorieën voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen en die het voornemen hebben om een gedragscode op te stellen of bestaande gedragscodes te wijzigen of uit te breiden, kunnen deze voor advies aan de toezichthoudende autoriteit in die lidstaat voorleggen. De toezichthoudende autoriteit kan brengt onverwijld een advies uitbrengen uit over de verenigbaarheid van de verwerking in het kader van de ontwerpgedragscode of de wijziging daarvan met deze verordening. De toezichthoudende autoriteit neemt de opmerkingen van de betrokkenen of hun vertegenwoordigers over deze ontwerpen in ontvangst.

3.  Verenigingen en andere organen die categorieën voor de verwerking verantwoordelijken of verwerkers in verschillende lidstaten vertegenwoordigen, kunnen ontwerpgedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes aan de Commissie voorleggen.

4.  De Commissie kan uitvoeringshandelingen vaststellen is bevoegd om, na raadpleging van het Europees Comité voor gegevensbescherming, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen waarbij gedragscodes en wijzigingen of uitbreidingen van bestaande gedragscodes die haar op grond van lid 3 zijn voorgelegd, in overeenstemming met deze verordening en algemeen geldig worden verklaard binnen de Unie. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Die gedelegeerde handelingen kennen de betrokkenen afdwingbare rechten toe.

5.  De Commissie zorgt ervoor dat aan de codes die zij overeenkomstig lid 4 algemeen geldig heeft verklaard, passende bekendheid wordt gegeven. [Am. 135]

Artikel 39

Certificering

1.  De lidstaten en de Commissie bevorderen, met name op Europees niveau, de vaststelling van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en –merktekens, zodat betrokkenen snel het door de voor de verwerking verantwoordelijken en verwerkers geboden niveau van gegevensbescherming kunnen beoordelen. De certificeringsmechanismen voor gegevensbescherming dragen bij tot de juiste toepassing van deze verordening, met inachtneming van de specifieke kenmerken van de verschillende sectoren en verwerkingen.

1 bis.  Iedere voor de verwerking verantwoordelijke of verwerker kan iedere toezichthoudende autoriteit in de Unie voor een redelijke vergoeding -waarbij de administratieve kosten in aanmerking worden genomen- verzoeken om te certificeren dat de verwerking van persoonsgegevens wordt uitgevoerd in overeenstemming met deze verordening, met name met de beginselen zoals uiteengezet in de artikelen 5, 23 en 30, de verplichtingen van de voor de verwerking verantwoordelijke en de verwerker, en de rechten van de betrokkene.

1 ter De certificering is vrijwillig, betaalbaar en toegankelijk via een transparant en niet onnodig zwaar proces.

1 quater.  De toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming werken samen in het kader van de conformiteitstoetsing overeenkomstig artikel 57 teneinde te zorgen voor een geharmoniseerd certificeringsmechanisme voor gegevensbescherming met inbegrip van geharmoniseerde vergoedingen binnen de Unie.

1 quinquies.  Gedurende de certificeringsprocedure kunnen de toezichthoudende autoriteiten gespecialiseerde auditors van derde partijen accrediteren om in haar naam de voor de verwerking verantwoordelijke of verwerker te controleren. Auditors van derde partijen beschikken over voldoende gekwalificeerd personeel, zijn onpartijdig en vrij van belangenconflicten met betrekking tot hun taken. De toezichthoudende autoriteiten trekken de accreditatie in als er redenen zijn om aan te nemen dat de auditor zijn taken niet naar behoren vervult. De definitieve certificering wordt verstrekt door de toezichthoudende autoriteit.

1 sexies.  De toezichthoudende autoriteiten verlenen de voor de verwerking verantwoordelijken en verwerkers, waarvan op grond van de controle is vastgesteld dat ze persoonsgegevens verwerken in overeenstemming met deze verordening, het gestandaardiseerde gegevensbeschermingszegel met de titel "Europees gegevensbeschermingszegel".

1 septies.  Het "Europees gegevensbeschermingszegel" blijft geldig zolang de gegevensverwerkingen van de gecertificeerde voor de verwerking verantwoordelijke of verwerker volledig blijven voldoen aan onderhavige verordening.

1 octies Onverminderd lid 1 septies blijft de certificering maximaal vijf jaar geldig.

1 nonies.  Het Europees Comité voor gegevensbescherming stelt een openbaar elektronisch register vast waarin alle geldige en ongeldige certificaten die in de lidstaten zijn verstrekt door alle burgers kunnen worden geraadpleegd.

1 decies.  Het Europees Comité voor gegevensbescherming kan op eigen initiatief certificeren dat een technische norm ter versterking van de gegevensbescherming in overeenstemming is met deze verordening.

2.  De Commissie is bevoegd overeenkomstig artikel 86, na raadpleging van het Europees Comité voor gegevensbescherming en na overleg met belanghebbenden, met name vakorganisaties en niet-gouvernementele organisaties, gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de in lid 1 bis tot en met 1 nonies bedoelde certificeringsmechanismen voor gegevensbescherming, met inbegrip van de vereisten voor de accreditatie van auditors, de voorwaarden voor toekenning en intrekking, en van de vereisten voor erkenning binnen de Unie en in derde landen. Die gedelegeerde handelingen kennen de betrokkenen afdwingbare rechten toe.

3.  De Commissie kan technische normen vaststellen voor certificeringsmechanismen en gegevensbeschermingszegels en –merktekens en mechanismen ter bevordering en erkenning van certificeringsmechanismen en gegevensbeschermingszegels en –merktekens. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 136]

HOOFDSTUK V

DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 40

Algemeen beginsel inzake doorgiften

Persoonsgegevens die aan verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de naleving van de andere bepalingen van deze verordening, de voor de verwerking verantwoordelijke en de verwerker de in dit hoofdstuk neergelegde voorwaarden hebben nageleefd; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of de internationale organisatie naar een ander derde land of een andere internationale organisatie.

Artikel 41

Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.  Een doorgifte kan plaatsvinden wanneer de Commissie heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere specifieke toestemming nodig.

2.  Bij de beoordeling van de vraag of er een passend beschermingsniveau is, houdt de Commissie rekening met de volgende aspecten:

a)  de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, alsmede de tenuitvoerlegging van deze wetgeving, de beroepscodes en de veiligheidsmaatregelen die in het betrokken derde land of de betrokken internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)  het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, waaronder toereikende sanctiebevoegdheden, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; en

c)  de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan, met name juridisch bindende conventies of instrumenten met betrekking tot de bescherming van persoonsgegevens.

3.  De Commissie kan bij besluit vaststellen is bevoegd om overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. Dergelijke gedelegeerde handelingen voorzien in een sunset-clause indien ze betrekking hebben op een verwerkingssector en worden ingetrokken overeenkomstig lid 5 wanneer niet langer kan worden gezorgd voor een passend beschermingsniveau overeenkomstig deze verordening.

4.  In de uitvoeringshandeling gedelegeerde handeling worden het geografische territoriale en het sectorale toepassingsgebied vastgelegd en wordt, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

4 bis.  De Commissie houdt voortdurend toezicht op de ontwikkelingen in derde landen en binnen internationale organisaties die van invloed kunnen zijn op de elementen in lid 2 waartoe krachtens lid 3 een gedelegeerde handeling is vastgesteld.

5.  De Commissie kan bij besluit vaststellen is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt of niet meer waarborgt in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 87, lid 3, bedoelde procedure.

6.  Wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, worden alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie verboden, onverminderd de artikelen 42 tot en met 44. De Commissie pleegt te gepasten tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

6 bis.  Alvorens overeenkomstig de leden 3 en 5 een gedelegeerde handeling vast te stellen, vraagt de Commissie het Europees Comité voor gegevensbescherming om advies over de toereikendheid van het beschermingsniveau. Daartoe verstrekt de Commissie het Europees Comité voor gegevensbescherming alle nodige documentatie, met inbegrip van correspondentie met de overheid van een derde land, gebied of verwerkingssector binnen dat derde land of de internationale organisatie.

7.  De Commissie maakt in het Publicatieblad van de Europese Unie en op haar website een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.  De besluiten die de Commissie op grond van artikel 25, lid 6, of artikel 26, lid 4, van Richtlijn 95/46/EG heeft vastgesteld, blijven van kracht, totdat zij tot vijf jaar na de inwerkingtreding van onderhavige verordening, tenzij deze door de Commissie vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 137]

Artikel 42

Doorgiften op basis van passende garanties

1.  Wanneer de Commissie geen besluit overeenkomstig artikel 41 heeft vastgesteld, of indien zij bij besluit vaststelt dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van artikel 41, lid 5, waarborgt, kan een voor de verwerking verantwoordelijke of een verwerker geen persoonsgegevens naar een derde land of een internationale organisatie doorgeven met doorgifte op internationale grondslag, tenzij indien hij in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens biedt.

2.  De in lid 1 bedoelde passende garanties zijn met name:

a)  bindende bedrijfsvoorschriften overeenkomstig artikel 43; of

a bis)  een geldig "Europees gegevensbeschermingszegel" voor de voor de verwerking verantwoordelijke en de ontvanger in overeenstemming met lid 1 sexies van artikel 39; of

b)  modelbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure; of

c)  modelbepalingen inzake gegevensbescherming die door een toezichthoudende autoriteit zijn vastgesteld in het kader van de in artikel 57 bedoelde conformiteitstoetsing, wanneer die door de Commissie overeenkomstig artikel 62, lid 1, onder b), algemeen geldig zijn verklaard; of

d)  contractuele bepalingen tussen de voor de verwerking verantwoordelijke of de verwerker en de ontvanger van de gegevens, die door een toezichthoudende autoriteit overeenkomstig lid 4 zijn goedgekeurd.

3.  Voor een doorgifte op basis van modelbepalingen inzake gegevensbescherming, een "Europees gegevensbeschermingszegel" of bindende bedrijfsvoorschriften als bedoeld in lid 2, onder a), ba bis) of c), is geen verdere specifieke toestemming nodig.

4.  Voor een doorgifte op basis van contractuele bepalingen als bedoeld in lid 2, onder d), verkrijgt de voor de verwerking verantwoordelijke of de verwerker overeenkomstig artikel 34, lid 1, onder a), voorafgaande toestemming van de contractuele bepalingen van de toezichthoudende autoriteit. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing.

5.  Wanner er geen passende garanties in verband met de bescherming van persoonsgegevens in een juridisch bindend instrument worden geboden, verkrijgt de voor de verwerking verantwoordelijke of de verwerker voorafgaande toestemming voor de doorgifte, voor een categorie doorgiften of voor bepalingen die moeten worden opgenomen in de administratieve regelingen die de basis voor een dergelijke doorgifte vormen. Die toestemming van de toezichthoudende autoriteit moet met artikel 34, lid 1, in overeenstemming zijn. Indien de doorgifte verband houdt met verwerkingen die betrekking hebben op betrokkenen in een andere lidstaat of andere lidstaten of een inbreuk maken op het vrije verkeer van persoonsgegevens binnen de Unie, verricht de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing. Toestemmingen die een toezichthoudende autoriteit op grond van artikel 26, lid 2, van Richtlijn 95/46/EG heeft verleend, blijven geldig totdat zij tot twee jaar na de inwerkingtreding van deze verordening, tenzij deze door die toezichthoudende autoriteit vóór het einde van deze periode worden gewijzigd, vervangen of ingetrokken. [Am. 138]

Artikel 43

Doorgiften op grond van bindende bedrijfsvoorschriften

1.  Een De toezichthoudende autoriteit keurt in het kader van de in artikel 58 bedoelde conformiteitstoetsing bindende bedrijfsvoorschriften goed, op voorwaarde dat deze:

a)  juridisch bindend zijn voor en van toepassing zijn op alle leden van de groep van ondernemingen van de voor de verwerking verantwoordelijke of de verwerker en van de externe onderaannemers die onder de bindende bedrijfsvoorschriften vallen, met inbegrip van hun werknemers, en dat deze leden op de naleving ervan toezien;

b)  betrokkenen uitdrukkelijk afdwingbare rechten toekennen;

c)  voldoen aan de in lid 2 vastgestelde vereisten.

1 bis.  Voor wat werkgelegenheidsgegevens betreft, worden de vertegenwoordigers van de werknemers in kennis gesteld van en, overeenkomstig het recht van de Unie of het recht van de lidstaten en praktijken, betrokken bij de opstelling van bindende bedrijfsvoorschriften overeenkomstig artikel 43.

2.  In de bindende bedrijfsvoorschriften worden minimaal de volgende elementen vastgelegd:

a)  de structuur en de contactgegevens van de groep van ondernemingen en haar leden en de externe onderaannemers die onder de bindende bedrijfsvoorschriften vallen;

b)  de gegevensdoorgiften of categorie doorgiften, met inbegrip van de categorieën persoonsgegevens, het soort verwerking en de doeleinden daarvan, het soort betrokkenen en de naam van het betrokken derde land of de betrokken derde landen;

c)  het intern en extern juridisch bindende karakter;

d)  de algemene beginselen inzake gegevensbescherming, namelijk de doelbinding, minimale gegevensverwerking, de beperkte bewaartermijn, de kwaliteit van de gegevens, gegevensbescherming by design en by default en de rechtsgrondslag voor verwerking, de verwerking van gevoelige persoonsgegevens, de maatregelen om de beveiliging van de gegevens te waarborgen en de vereisten die worden gesteld bij verdere doorgiften aan organisaties die niet door de bedrijfsvoorschriften zijn gebonden;

e)  de rechten van betrokkenen en de middelen om deze rechten uit te oefenen, waaronder het recht niet te worden onderworpen aan een maatregel op basis van profilering overeenkomstig artikel 20, het recht een klacht in te dienen bij de bevoegde toezichthoudende autoriteit of een vordering in te stellen bij de bevoegde gerechtelijke instanties van de lidstaten overeenkomstig artikel 75, en, in voorkomend geval, een vergoeding te ontvangen voor een inbreuk op de bindende bedrijfsvoorschriften;

f)  de aanvaarding door een in een lidstaat gevestigde voor de verwerking verantwoordelijke of verwerker van aansprakelijkheid voor alle inbreuken op de bindende bedrijfsvoorschriften door een niet in de Unie gevestigd lid van de groep van ondernemingen; de voor de verwerking verantwoordelijke of de verwerker kan alleen geheel of gedeeltelijk van deze aansprakelijkheid worden ontheven, indien hij bewijst dat de schade niet aan dat lid kan worden toegerekend;

g)  de wijze waarop betrokkenen overeenkomstig artikel 11 informatie wordt verschaft over de bindende bedrijfsvoorschriften, met name de onder d), e) en f) bedoelde bepalingen;

h)  de taken van de overeenkomstig artikel 35 aangewezen functionaris voor gegevensbescherming, waaronder het toezicht op de naleving van de bindende bedrijfsvoorschriften binnen de groep van ondernemingen, op de opleiding en op de behandeling van klachten;

i)  de binnen de groep van ondernemingen bestaande procedures om te controleren of de bindende bedrijfsvoorschriften zijn nageleefd;

j)  de procedures om veranderingen in het beleid te melden en te registreren en die verandering bij de toezichthoudende autoriteit aan te melden;

k)  de procedure voor samenwerking met de toezichthoudende autoriteit om ervoor te zorgen dat alle leden van de groep van ondernemingen de bindende bedrijfsvoorschriften naleven, onder meer door de resultaten van de onder i) bedoelde controles aan de toezichthoudende autoriteit mee te delen.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van het formaat, de procedures, criteria en de vereisten voor bindende bedrijfsvoorschriften in de zin van dit artikel, waaronder de criteria voor hun goedkeuring , waaronder transparantie ten behoeve van betrokkenen en de toepassing van lid 2, onder b), d), e) en f), op de bindende bedrijfsvoorschriften van verwerkers, en de andere vereisten die nodig zijn om de bescherming van de persoonsgegevens van de betrokkenen te waarborgen.

4.  De Commissie kan het model en de procedures voor de elektronische uitwisseling van informatie over bindende bedrijfsvoorschriften in de zin van dit artikel tussen voor de verwerking verantwoordelijken, verwerkers en toezichthoudende autoriteiten nader vastleggen. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 139]

Artikel 43 bis

Niet door het recht van de Unie toegestane doorgiften of verstrekkingen

1.  Uitspraken van rechters en besluiten van bestuurlijke autoriteiten in derde landen die een voor de verwerking verantwoordelijke of een verwerker gelasten persoonsgegevens vrij te geven, worden op geen enkele wijze erkend en zijn op geen enkele wijze afdwingbaar, tenzij er een verdrag inzake wederzijdse juridische bijstand of een internationale overeenkomst tussen het verzoekende derde land en de EU of een lidstaat bestaat.

2.  Wanneer een vonnis van een rechtbank of gerechtshof of een beslissing van een bestuursinstantie van een derde land een voor de verwerking verantwoordelijke of een verwerker verzoekt om persoonsgegevens mee te delen, brengt de voor de verwerking verantwoordelijke, en indien van toepassing zijn vertegenwoordiger, of de verwerker de toezichthoudende autoriteit onmiddellijk op de hoogte van het verzoek en vraagt hij de toezichthoudende autoriteit om toestemming voor de doorgifte of verstrekking.

3.  De toezichthoudende autoriteit beoordeelt of de verzochte verstrekking wel overeenstemt met deze verordening en in het bijzonder of de verstrekking wel overeenkomstig letter d) en e) van artikel 44, lid 1, en artikel 44, lid 5, nodig is en wettelijk vereist. Wanneer betrokkenen afkomstig uit andere lidstaten ook gevolgen ondervinden, past de toezichthoudende autoriteit de in artikel 57 bedoelde conformiteitstoetsing toe.

4.  De toezichthoudende autoriteit brengt de bevoegde nationale autoriteit op de hoogte van het verzoek. Onverminderd artikel 21 brengt de voor de verwerking verantwoordelijke of verwerker tevens de betrokkenen op de hoogte van het verzoek en van de toestemming van de toezichthoudende autoriteit en deelt de betrokkene in voorkomend geval mede of er gedurende de afgelopen achtereenvolgende periode van 12 maanden persoonsgegevens zijn verstrekt aan overheidsinstanties, overeenkomstig artikel 14, lid 1, onder h bis). [Am. 140]

Artikel 44

Afwijkingen

1.  Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard overeenkomstig artikel 41 of passende garanties overeenkomstig artikel 42, kan een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land of een internationale organisatie slechts plaatsvinden op voorwaarde dat:

a)  de betrokkene met de voorgestelde doorgifte heeft ingestemd, na over de risico’s van dergelijke doorgiften bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard en passende garanties te zijn geïnformeerd; of

b)  de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen; of

c)  de doorgifte noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een andere natuurlijke of rechtspersoon gesloten overeenkomst; of

d)  de doorgifte noodzakelijk is wegens gewichtige redenen van algemeen belang; of

e)  de doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of

f)  de doorgifte noodzakelijk is ter bescherming van de vitale belangen van de betrokkene of van een andere persoon, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven; of

g)  de doorgifte geschiedt vanuit een openbaar register dat krachtens het recht van de Unie of het recht van de lidstaat bedoeld is om het publiek voor te lichten en dat door eenieder dan wel door iedere persoon die zich op een rechtmatig belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de voorwaarden van het recht van de Unie of het recht van de lidstaat voor raadpleging; of

h)  de doorgifte noodzakelijk is voor de gerechtvaardigde belangen die door de voor de verwerking verantwoordelijke of de verwerker worden nagestreefd, en niet als frequent of massaal kan worden beschouwd, en de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of de categorie gegevensdoorgiften heeft beoordeeld en, indien nodig, op basis van die beoordeling passende garanties biedt voor de bescherming van de persoonsgegevens.

2.  Een doorgifte overeenkomstig lid 1, onder g), mag geen betrekking hebben op alle persoonsgegevens of volledige categorieën persoonsgegevens die in het register zijn opgeslagen. Wanneer een register bedoeld is om door personen met een gerechtvaardigd belang te worden geraadpleegd, kan de doorgifte slechts plaatsvinden op verzoek van die personen of wanneer de gegevens voor hen zijn bestemd.

3.  Bij verwerking overeenkomstig lid 1, onder h), besteedt de voor de verwerking verantwoordelijke of de verwerker bijzondere aandacht aan de aard van de gegevens, het doel en de duur van de voorgestelde verwerking of verwerkingen, alsook aan de situatie in het land van herkomst, het derde land en het land van de uiteindelijke bestemming en, indien nodig, aan de geboden passende garanties in verband met de bescherming van persoonsgegevens.

4.  Lid 1, onder b) en c) en h), is niet van toepassing op activiteiten die worden verricht door autoriteiten in de uitoefening van het overheidsgezag.

5.  Het in lid 1, onder d), bedoelde openbaar belang moet erkend zijn in het recht van de Unie of het recht van de lidstaat waaronder de voor de verwerking verantwoordelijke ressorteert.

6.  De voor de verwerking verantwoordelijke of de verwerker staaft de beoordeling en de in lid 1, onder h), bedoelde passende garanties met bewijsstukken door middel van de in artikel 28 bedoelde documenten en stelt de toezichthoudende autoriteit in kennis van de doorgifte.

7.  De Commissie is bevoegd Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen artikel 66, lid 1, onder b), met het oog op de nadere invulling van het begrip “gewichtige redenen van algemeen belang” in de zin van lid 1, onder d), en de criteria en de vereisten voor de in doorgiften van gegevens op basis van lid 1, onder h), bedoelde passende garanties. [Am. 141]

Artikel 45

Internationale samenwerking voor de bescherming van persoonsgegevens

1.  In verband met derde landen en internationale organisaties nemen de Commissie en de toezichthoudende autoriteiten de nodige maatregelen om:

a)  procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van de wetgeving inzake de bescherming van persoonsgegevens wordt vergemakkelijkt gewaarborgd; [Am. 142]

b)  internationale wederzijdse bijstand te bieden bij de handhaving van de wetgeving inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand bij onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en grondvrijheden bestaan;

c)  belanghebbenden te betrekken bij besprekingen en activiteiten om de internationale samenwerking in de handhaving van de wetgeving inzake de bescherming van persoonsgegevens te bevorderen;

d)  de uitwisseling en het documenteren van de wetgeving en de praktijken inzake de bescherming van persoonsgegevens te bevorderen.

d bis)  opheldering te verschaffen en overleg te plegen over geschillen met derde landen inzake jurisdictie. [Am. 143]

2.  Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 41, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

Artikel 45 bis

Verslag van de Commissie

De Commissie dient regelmatig, en niet later dan vanaf vier jaar na de in artikel 91, lid 1, genoemde datum, bij het Europees Parlement en de Raad een verslag in over de toepassing van artikelen 40 tot en met 45. Voor dit doel kan de Commissie de lidstaten en de toezichthoudende autoriteiten om gegevens verzoeken, die onverwijld moeten worden toegezonden. Het verslag wordt openbaar gemaakt. [Am. 144]

HOOFDSTUK VI

ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1

ONAFHANKELIJKHEID

Artikel 46

Toezichthoudende autoriteit

1.  Elke lidstaat zorgt ervoor dat één of meer overheidsinstanties verantwoordelijk zijn voor het toezicht op de toepassing van deze verordening en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.  Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming en stelt hij de procedure vast om ervoor te zorgen dat de andere autoriteiten de regels in verband met de in artikel 57 bedoelde conformiteitstoetsing naleven.

3.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig dit hoofdstuk vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 47

Onafhankelijkheid

1.  De toezichthoudende autoriteit treedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk en onpartijdig op, onverminderd de bepalingen van hoofdstuk VII van deze verordening inzake samenwerking en conformiteit. [Am. 145]

2.  Bij de uitvoering van hun taken vragen noch aanvaarden de leden van de toezichthoudende autoriteit instructies van wie dan ook.

3.  De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen andere al dan niet bezoldigde beroepswerkzaamheden.

4.  Na beëindiging van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

5.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit kan beschikken over passende menselijke, technische en financiële middelen, en de huisvesting en infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en deelname aan het Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te oefenen.

6.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn leiding staan.

7.  De lidstaten zorgen ervoor dat het financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid niet in het gedrang brengt. De lidstaten zorgen ervoor dat de toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De begroting wordt openbaar gemaakt.

7 bis.  Elke lidstaat zorgt ervoor dat de toezichthoudende autoriteit om redenen van begrotingsbewaking verantwoording aan het nationaal parlement dient af te leggen. [Am. 146]

Artikel 48

Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de regering van de betrokken lidstaat worden benoemd.

2.  De leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de uitvoering van hun taken, met name op het gebied van de bescherming van persoonsgegevens.

3.  De taken van een lid worden beëindigd bij het verstrijken van de ambtstermijn, bij ontslag of bij verplichte pensionering overeenkomstig lid 5.

4.  Een lid kan door de bevoegde nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan komende voordelen vervallen worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is tekortgeschoten.

5.  Een lid waarvan de ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn taken uitvoeren totdat een nieuw lid is benoemd.

Artikel 49

Oprichting van de toezichthoudende autoriteit

Binnen de grenzen van deze verordening regelt elke lidstaat bij wet:

a)  de oprichting en het statuut van de toezichthoudende autoriteit;

b)  de kwalificaties, de ervaring en de vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende autoriteit uit te voeren;

c)  de voorschriften en de procedures voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de voorschriften in verband met handelingen en activiteiten die met de taken van het ambt onverenigbaar zijn;

d)  de ambtstermijn van de leden van de toezichthoudende autoriteit, die ten minste vier jaar bedraagt, behoudens de eerste ambtstermijn na de inwerkingtreding van deze verordening, die korter kan zijn wanneer dat nodig is om de onafhankelijkheid van de toezichthoudende autoriteit door middel van een in de tijd gespreide benoemingsprocedure te beschermen;

e)  of de leden van de toezichthoudende autoriteit opnieuw kunnen worden benoemd;

f)  het statuut en de gemeenschappelijke voorwaarden in verband met de taken van de leden en de personeelsleden van de toezichthoudende autoriteit;

g)  de voorschriften en de procedures voor de beëindiging van de taken van de leden van de toezichthoudende autoriteit, onder meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten.

Artikel 50

Beroepsgeheim

Ten aanzien van de vertrouwelijke informatie die hun bij de uitvoering van hun officiële taken ter kennis is gekomen, geldt voor de leden en de personeelsleden van de toezichthoudende autoriteit het beroepsgeheim zowel tijdens hun ambtstermijn als daarna het beroepsgeheim en in overeenstemming met nationale wetgeving in praktijken, waarbij zij hun taken onafhankelijk en transparant uitvoeren, zoals vastgesteld in de verordening. [Am. 147]

AFDELING 2

TAKEN EN BEVOEGDHEDEN

Artikel 51

Competentie

1.  Elke toezichthoudende autoriteit oefent is bevoegd om onverminderd de artikelen 73 en 74 op het grondgebied van haar lidstaat taken uit te voeren en de de bevoegdheden te oefenen uit die haar overeenkomstig deze verordening zijn toegekend. Het toezicht op gegevensverwerking door een overheidsdienst wordt alleen uitgevoerd door de toezichthoudende autoriteit van die lidstaat. [Am. 148]

2.  Wanneer de verwerking van persoonsgegevens plaatsvindt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie, en de voor de verwerking verantwoordelijke of de verwerker is in meer dan één lidstaat gevestigd, is de toezichthoudende autoriteit van de belangrijkste vestiging van de voor de verwerking verantwoordelijke of de verwerker bevoegd voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of de verwerker in alle lidstaten, onverminderd de bepalingen van hoofdstuk VII van deze verordening. [Am. 149]

3.  De toezichthoudende autoriteit is niet bevoegd om toe te zien op verwerkingen door gerechtelijke instanties in het kader van hun gerechtelijke taken.

Artikel 52

Taken

1.  De toezichthoudende autoriteit:

a)  ziet toe op en waarborgt de toepassing van deze verordening;

b)  neemt kennis van klachten van betrokkenen of van verenigingen die overeenkomstig artikel 73 betrokkenen vertegenwoordigen, onderzoekt de aangelegenheid in de mate waarin dat nodig is en stelt de betrokkene of de vereniging binnen een redelijke termijn in kennis van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is; [Am. 150]

c)  deelt informatie mee en biedt wederzijdse bijstand aan andere toezichthoudende autoriteiten en zorgt voor de samenhang in de toepassing en de handhaving van deze verordening;

d)  verricht onderzoeken hetzij op eigen initiatief, hetzij op basis van een klacht of van specifieke en gedocumenteerde gegevens betreffende vermeende onrechtmatige verwerking of op verzoek van een andere toezichthoudende autoriteit, en stelt de betrokkene, als die bij die toezichthoudende autoriteit een klacht heeft ingediend, binnen een redelijke termijn in kennis van het resultaat van de onderzoeken; [Am. 151]

e)  volgt de relevante ontwikkelingen voorzover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkelingen in de informatie- en communicatietechnologieën en de handelspraktijken;

f)  wordt geraadpleegd door de instellingen en organen van de lidstaat over wettelijke en bestuursrechtelijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens;

g)  verleent toestemming voor wordt geraadpleegd over de in artikel 34 bedoelde verwerkingen;

h)  brengt overeenkomstig artikel 38, lid 2, advies uit over de ontwerpgedragscodes;

i)  keurt overeenkomstig artikel 43 bindende bedrijfsvoorschriften goed;

j)  neemt deel aan de activiteiten van het Europees Comité voor gegevensbescherming.

j bis)  certificeert de voor de verwerking verantwoordelijken en de verwerkers overeenkomstig artikel 39. [Am. 152]

2.  Elke toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de risico’s, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens en over passende maatregelen voor persoonlijke gegevensbescherming. Er wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten. [Am. 153]

2 bis.  Elke toezichthoudende autoriteit geeft samen met het Europees Comité voor gegevensbescherming voorlichting aan voor de verwerking verantwoordelijken en verwerkers over de risico's, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens. Dit omvat het bijhouden van een register van de sancties en overtredingen. Het register toont alle waarschuwingen en alle sancties zo gedetailleerd mogelijk, alsmede oplossingen voor overtredingen. Elke toezichthoudende autoriteit voorziet voor de verwerking verantwoordelijken en verwerkers van micro-, kleine en middelgrote ondernemingen op verzoek van algemene informatie over hun verantwoordelijkheden en verplichtingen overeenkomstig onderhavige verordening. [Am. 154]

3.  De toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn rechten uit hoofde van deze verordening en werkt daartoe, indien nodig, samen met de toezichthoudende autoriteiten van andere lidstaten.

4.  Voor de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

5.  De prestaties van de toezichthoudende autoriteit zijn kosteloos voor de betrokkene.

6.  Wanneer verzoeken kennelijk buitensporig zijn, met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een redelijke vergoeding in rekening brengen of ervoor opteren om de door de betrokkene gevraagde maatregelen niet te nemen. Een dergelijke vergoeding mag niet hoger zijn dan de kosten van het nemen van de gevraagde maatregelen. De bewijslast met betrekking tot het kennelijk buitensporige karakter van het verzoek rust op de toezichthoudende autoriteit. [Am. 155]

Artikel 53

Bevoegdheden

1.  Elk Elke toezichthoudende autoriteit is overeenkomstig deze verordening bevoegd om:

a)  de voor de verwerking verantwoordelijke of de verwerker in kennis te stellen van een vermeende inbreuk op de voorschriften inzake de verwerking van persoonsgegevens en, indien nodig, de voor de verwerking verantwoordelijke of de verwerker te gelasten die inbreuk met bepaalde maatregelen ongedaan te maken, teneinde de bescherming van de betrokkene te verbeteren, of de voor de verwerking verantwoordelijke op te dragen een inbreuk in verband met persoonsgegevens aan de betrokkene mede te delen;

b)  de voor de verwerking verantwoordelijke of de verwerker te gelasten aan de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze verordening te voldoen;

c)  de voor de verwerking verantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger te gelasten alle voor de uitvoering van haar taken relevante informatie te verstrekken;

d)  erop toe te zien dat de in artikel 34 bedoelde voorafgaande toestemmingen en voorafgaande raadplegingen worden nageleefd;

e)  de voor de verwerking verantwoordelijke of de verwerker te waarschuwen of te berispen;

f)  de rectificatie, wissing of vernietiging van alle gegevens te gelasten indien deze in strijd met de bepalingen van deze verordening verwerkt zijn, en te gelasten dat van dergelijke handelingen mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn;

g)  een tijdelijk of definitief verwerkingsverbod op te leggen;

h)  gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie op te schorten;

i)  adviezen uit te brengen over alle aangelegenheden in verband met de bescherming van persoonsgegevens;

i bis)  de voor de verwerking verantwoordelijken en de verwerkers te certificeren overeenkomstig artikel 39;

j)  het nationale parlement, de regering of andere politieke instellingen, alsook het grote publiek te informeren over alle aangelegenheden in verband met de bescherming van persoonsgegevens.

j bis)  effectieve mechanismen in te voeren om vertrouwelijke verslaggeving over inbreuken op deze verordening te bevorderen, met inachtneming van de overeenkomstig artikel 66, lid 4 ter, door het Europees Comité voor gegevensbescherming verstrekte richtsnoeren.

2.  Elke toezichthoudende autoriteit kan op grond van haar onderzoeksbevoegdheid zonder voorafgaande kennisgeving van de voor de verwerking verantwoordelijke of de verwerker verlangen dat zij:

a)  toegang krijgt tot alle persoonsgegevens en alle documenten en informatie die zij nodig heeft voor de uitvoering van haar taken;

b)  toegang krijgt tot alle gebouwen en terreinen van de voor de verwerking verantwoordelijke of de verwerker, met inbegrip van alle installaties en middelen voor gegevensverwerking, wanneer er redelijke grond bestaat om aan te nemen dat er in strijd met deze verordening een activiteit wordt verricht.

De onder b) bedoelde bevoegdheden worden in overeeenstemming met het recht van de Unie en het recht van de lidstaat uitgeoefend.

3.  Elke toezichthoudende autoriteit is bevoegd om schendingen van deze verordening ter kennis van de gerechtelijke autoriteiten te brengen en daartegen in rechte op te treden, met name overeenkomstig artikel 74, lid 4, en artikel 75, lid 2.

4.  Elke toezichthoudende autoriteit is overeenkomstig artikel 79 bevoegd om administratieve inbreuken te bestraffen. met name die welke in artikel 79, leden 4, 5 en 6, zijn vermeld. Deze bevoegdheid moeten doeltreffend, evenredig en preventief worden uitgeoefend. [Am. 156]

Artikel 54

Activiteitenverslag

Elke toezichthoudende autoriteit stelt jaarlijks ten minste elke twee jaar een verslag over haar activiteiten op. Het verslag wordt ingediend bij het nationale respectieve parlement, ter beschikking gesteld van de Commissie en het Europees Comité voor gegevensbescherming, en openbaar gemaakt. [Am. 157]

Artikel 54 bis

Hoofdautoriteit

1.  Wanneer persoonsgegevens worden verwerkt in het kader van de activiteiten van een vestiging van een voor de verwerking verantwoordelijke of een verwerker in de Unie en de voor de verwerking verantwoordelijke of de verwerker in meer dan één lidstaat is gevestigd, of wanneer de persoonsgegevens van inwoners van meerdere lidstaten worden verwerkt, handelt de toezichthoudende autoriteit van de hoofdvestiging van de voor de verwerking verantwoordelijke of de verwerker als de autoriteit die verantwoordelijk is voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of de verwerker in alle lidstaten, in overeenstemming met de bepalingen van hoofdstuk VII van deze verordening.

2.  De hoofdautoriteit neemt uitsluitend na raadpleging van alle andere bevoegde toezichthoudende autoriteiten in de zin van artikel 51, lid 1, passende maatregelen voor het toezicht op de verwerkingen van de voor de verwerking verantwoordelijke of verwerker waarvoor de autoriteit verantwoordelijk is, teneinde consensus te bereiken. Daartoe dient ze met name alle relevante gegevens in en raadpleegt ze andere instanties alvorens een maatregel aan te nemen die erop gericht is rechtsgevolgen te hebben voor de voor de verwerking verantwoordelijke of voor de verwerker in de zin van artikel 51, lid 1. De hoofdautoriteit houdt zoveel mogelijk rekening met het advies van de betrokken autoriteiten. De hoofdautoriteit is de enige autoriteit die bevoegd is om te besluiten welke maatregelen dienen te worden getroffen waaraan rechtsgevolgen zijn verbonden met betrekking tot de verwerkingen van de voor de verwerking verantwoordelijke of verwerker waarvoor de autoriteit verantwoordelijk is.

3.  Het Europees Comité voor gegevensbescherming brengt op verzoek van een bevoegde toezichthoudende autoriteit advies uit over de vaststelling van de hoofdautoriteit die verantwoordelijk is voor een voor de verwerking verantwoordelijke of verwerker, indien:

a)  uit de feiten niet duidelijk blijkt waar de hoofdvestiging van de voor de verwerking verantwoordelijke of verwerker zich bevindt; of

b)  de bevoegde autoriteiten het niet eens zijn over welke toezichthoudende autoriteit als hoofdautoriteit moet handelen; of

c)  de voor de verwerking verantwoordelijke niet in de Unie is gevestigd, en hij de gegevens van inwoners van verschillende lidstaten binnen het toepassingsgebied van deze verordening verwerkt.

3 bis.  Indien de voor de verwerking verantwoordelijke ook werkzaamheden uitvoert die tot de taken van een verwerker behoren, handelt de toezichthoudende autoriteit van de hoofdvestiging van de voor de verwerking verantwoordelijke als hoofdautoriteit voor het toezicht op verwerkingen.

4.  Het Europees Comité voor gegevensbescherming kan de hoofdautoriteit aanwijzen. [Am. 158]

HOOFDSTUK VII

SAMENWERKING EN CONFORMITEIT

AFDELING 1

SAMENWERKING

Artikel 55

Wederzijdse bijstand

1.  De toezichthoudende autoriteiten verstrekken elkaar relevante informatie en wederzijdse bijstand om deze verordening op een consequente manier ten uitvoer te leggen en toe te passen, en nemen maatregelen om effectief met elkaar samen te werken. De wederzijdse samenwerking bestrijkt met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om voorafgaande toestemmingen en raadplegingen, inspecties en onderzoeken en de snelle mededeling van informatie over de opening en het verloop van dossiers wanneer de voor de verwerking verantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten of wanneer een verwerking betrekking kan hebben op betrokkenen in verschillende lidstaten. De hoofdautoriteit zoals gedefinieerd in artikel 54 bis draagt zorg voor de coördinatie met de betrokken toezichthoudende autoriteiten en fungeert als enig contactpunt voor de voor de verwerking verantwoordelijke of de verwerker. [Am. 159]

2.  Elke toezichthoudende autoriteit neemt alle passende maatregelen die nodig zijn om het verzoek van een andere toezichthoudende autoriteit onverwijld en uiterlijk binnen één maand na de ontvangst van het verzoek te beantwoorden. Daarbij kan het met name gaan om de toezending van relevante informatie over het verloop van een onderzoek of de handhavingsmaatregelen die zijn genomen om verwerkingen die in strijd met deze verordening plaatsvinden, te doen staken of te verbieden.

3.  Het verzoek om informatie bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor de aangelegenheid waarvoor om die informatie verzocht is.

4.  Een toezichthoudende autoriteit tot wie een verzoek om bijstand is gericht, kan dit verzoek slechts afwijzen, indien:

a)  zij niet bevoegd is voor het verzoek; of

b)  het verzoek onverenigbaar is met de bepalingen van de verordening.

5.  De toezichthoudende autoriteit tot wie het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de vooruitgang van de maatregelen die zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit te voldoen.

6.  De toezichthoudende autoriteiten delen de door andere toezichthoudende autoriteiten gevraagde informatie elektronisch en binnen de kortst mogelijke termijn mee met gebruikmaking van een standaardformulier.

7.  De maatregelen die na een verzoek om wederzijdse bijstand worden genomen, zijn kosteloos voor de verzoekende toezichthoudende autoriteit. [Am. 160]

8.  Wanneer een toezichthoudende autoriteit niet binnen één maand op een verzoek van een andere toezichthoudende autoriteit reageert, is de verzoekende toezichthoudende autoriteit bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen en legt zij de aangelegenheid volgens de in artikel 57 bedoelde procedure voor aan het Europees Comité voor gegevensbescherming. Zij kan tijdelijke maatregelen overeenkomstig artikel 53 op het grondgebied van haar lidstaat nemen, indien nog geen definitieve maatregel kan worden genomen omdat nog geen overeenkomst voor hulpverlening is bereikt. [Am. 161]

9.  De toezichthoudende autoriteit legt vast hoe lang een dergelijke voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee in overeenstemming met de procedure als bedoeld in artikel 57. [Am. 162]

10.  De Commissie Het Europees Comité voor gegevensbescherming kan het model en de procedures vastleggen voor de wederzijdse bijstand overeenkomstig dit artikel, alsook de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, waaronder het in lid 6 bedoelde standaardformulier. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 163]

Artikel 56

Gezamenlijke maatregelen van toezichthoudende autoriteiten

1.  Om de samenwerking en de wederzijdse bijstand te versterken, voeren de toezichthoudende autoriteiten gezamenlijke onderzoeksmissies uit en nemen zij gezamenlijke handhavingsmaatregelen en andere gezamenlijke maatregelen, waaraan aangewezen leden of personeelsleden van de toezichthoudende autoriteiten van andere lidstaten deelnemen.

2.  In gevallen waarin de voor de verwerking verantwoordelijke of de verwerker vestigingen heeft in meerdere lidstaten of waarin een verwerking betrekking heeft op betrokkenen in verschillende lidstaten heeft de toezichthoudende autoriteit van elk van die lidstaten het recht aan de gezamenlijke onderzoeksmissies of de gezamenlijke maatregelen deel te nemen. De bevoegde toezichthoudende autoriteit nodigt hoofdautoriteit zoals gedefinieerd in artikel 54 bis betrekt de toezichthoudende autoriteit van elk van die lidstaten uit tot deelname aan bij de respectieve gezamenlijke onderzoeksmissies of gezamenlijke maatregelen en beantwoordt onverwijld het verzoek van een toezichthoudende autoriteit om daaraan deel te nemen. De hoofdautoriteit fungeert als het enige contactpunt voor de voor de verwerking verantwoordelijke of de verwerker. [Am. 164]

3.  Elke toezichthoudende autoriteit kan als ontvangende toezichthoudende autoriteit overeenkomstig haar nationale recht en met toestemming van de ondersteunende toezichthoudende autoriteit, aan de aan gezamenlijke maatregelen deelnemende leden of personeelsleden van de ondersteunende toezichthoudende autoriteit uitvoeringsbevoegdheden toekennen, onder meer in verband met het uitvoeren van onderzoeksmissies, of, voor zover het nationale recht van de ontvangende toezichthoudende autoriteit dat toestaat, de leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit toestaan om hun uitvoeringsbevoegdheden overeenkomstig het recht van de ondersteunende toezichthoudende autoriteit uit te oefenen. Deze uitvoerende bevoegdheden mogen hierbij uitsluitend onder leiding en, in beginsel, in aanwezigheid van leden of personeelsleden van de ontvangende toezichthoudende autoriteit worden uitgeoefend. De leden of de personeelsleden van de ondersteunende toezichthoudende autoriteit zijn onderworpen aan het nationale recht van de ontvangende toezichthoudende autoriteit. Hun optreden valt onder de verantwoordelijkheid van de ontvangende toezichthoudende autoriteit.

4.  De toezichthoudende autoriteiten stellen de praktische aspecten van specifieke samenwerkingsmaatregelen vast.

5.  Wanneer een toezichthoudende autoriteit niet binnen één maand aan de in lid 2 vastgestelde verplichting voldoet, zijn de andere toezichthoudende autoriteiten bevoegd om overeenkomstig artikel 51, lid 1, een voorlopige maatregel op het grondgebied van haar lidstaat te nemen.

6.  De toezichthoudende autoriteit legt vast hoe lang een in lid 5 bedoelde voorlopige maatregel geldig is. De geldigheidsduur mag niet meer dan drie maanden bedragen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee en legt de aangelegenheid voor in het kader van de in artikel 57 bedoelde toetsing.

AFDELING 2

CONFORMITEIT

Artikel 57

Conformiteitstoetsing

Voor de in artikel 46, lid 1, genoemde doeleinden werken de toezichthoudende autoriteiten in het kader van de in deze afdeling beschreven conformiteitstoetsing samen met elkaar en met de Commissie via de conformiteitstoetsing aan aangelegenheden van algemene toepassing en in afzonderlijke gevallen in overeenstemming met de bepalingen van deze afdeling [Am. 165]

Artikel 58

Advies van het Europees Comité voor gegevensbescherming Samenhang aangaande aangelegenheden van algemene strekking

1.  Alvorens een toezichthoudende autoriteit een in lid 2 bedoelde maatregel neemt, deelt zij de ontwerpmaatregel mee aan het Europees Comité voor gegevensbescherming en de Commissie.

2.  De in lid 1 genoemde verplichting is van toepassing op een maatregel die rechtsgevolgen in het leven moet roepen en die:

a)  betrekking heeft op verwerkingen die verband houden met het aanbieden van goederen of diensten aan betrokkenen in verschillende lidstaten, of met het observeren van hun gedrag; of

b)  van aanzienlijke invloed kan zijn op het vrije verkeer van persoonsgegevens binnen de Unie; of

c)  de vaststelling beoogt van een lijst van verwerkingen waarvoor overeenkomstig artikel 34, lid 5, voorafgaande raadpleging moet plaatsvinden; of

d)  de vaststelling beoogt van de in artikel 42, lid 2, bedoelde modelbepalingen inzake gegevensbescherming; of

e)  de toestemming beoogt voor de in artikel 42, lid 2, bedoelde contractuele bepalingen; of

f)  de goedkeuring beoogt van bindende bedrijfsvoorschriften in de zin van artikel 43.

3.  Elke toezichthoudende autoriteit of het Europees Comité voor gegevensbescherming kan verzoeken dat een aangelegenheid van algemene strekking aan de conformiteitstoetsing wordt onderworpen, met name wanneer een toezichthoudende autoriteit geen in lid 2 bedoelde ontwerpmaatregel meedeelt of niet voldoet aan de verplichting tot wederzijdse bijstand overeenkomstig artikel 55 of de verplichting inzake gezamenlijke maatregelen overeenkomstig artikel 56.

4.  Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie verzoeken dat een aangelegenheid van algemene strekking aan de conformiteitstoetsing wordt onderworpen.

5.  De toezichthoudende autoriteiten en de Commissie delen elektronisch door middel van een standaardformulier onverwijld alle relevante informatie mee, waaronder naargelang van het geval een samenvatting van de feiten, de ontwerpmaatregel en de redenen waarom een dergelijke maatregel moet worden genomen.

6.  De voorzitter van het Europees Comité voor gegevensbescherming stelt de leden van het Europees Comité voor gegevensbescherming en de Commissie onmiddellijk onverwijld elektronisch door middel van een standaardformulier in kennis van alle relevante informatie die het comité heeft ontvangen. De voorzitter Het secretariaat van het Europees Comité voor gegevensbescherming verstrekt indien nodig vertalingen van relevante informatie.

6 bis.  Het Europees Comité voor gegevensbescherming brengt een advies uit over aangelegenheden die in het kader van lid 2 aan het Comité worden voorgelegd.

7.  Het Europees Comité voor gegevensbescherming brengt over de aangelegenheid een advies uit, indien het Europees Comité daartoe beslist kan met gewone meerderheid van stemmen van zijn leden of indien een toezichthoudende autoriteit of de Commissie binnen één week nadat de relevante informatie overeenkomstig lid 5 is verstrekt, daarom verzoekt. Het besluiten een advies wordt binnen één maand vastgesteld met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming. De voorzitter van het Europees Comité voor gegevensbescherming stelt zonder onnodige vertraging de in de leden 1 en 3 bedoelde toezichthoudende autoriteit, de Commissie en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit in kennis van het advies en maakt dat advies bekend. uit te brengen over een krachtens de leden 3 en 4 voorgelegde aangelegenheid, waarbij in aanmerking wordt genomen:

a)  of de aangelegenheid nieuwe elementen omvat, waarbij rekening wordt gehouden met juridische of feitelijke ontwikkelingen, met name in het licht van de informatietechnologie en de stand van zaken in de informatiemaatschappij; en

b)  of het Europees Comité voor gegevensbescherming reeds een advies over dezelfde aangelegenheid heeft uitgebracht.

8.  De in lid 1 bedoelde toezichthoudende autoriteit en de overeenkomstig artikel 51 bevoegde toezichthoudende autoriteit nemen het advies van Het Europees Comité voor gegevensbescherming in aanmerking en delen de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het advies door de voorzitter van het Europees Comité voor gegevensbescherming ter kennis is gebracht, elektronisch door middel van een standaardformulier mee of zij hun ontwerpmaatregel handhaven of wijzigen en delen in voorkomend geval de gewijzigde ontwerpmaatregel mee. brengt adviezen uit overeenkomstig de artikelen 6 bis en 7 door middel van een gewone meerderheid van de stemmen van de leden. Deze adviezen worden openbaar gemaakt. [Am. 166]

Artikel 58 bis

Samenhang in afzonderlijke gevallen

1.  Alvorens een maatregel te nemen waaraan rechtsgevolgen zijn verbonden in de zin van artikel 54 bis, deelt de hoofdautoriteit alle relevante informatie en legt hij de ontwerpmaatregel voor aan alle andere bevoegde autoriteiten. De hoofdautoriteit neemt de maatregel niet aan indien een bevoegde autoriteit binnen een periode van drie weken groot bezwaar maakt tegen de maatregel.

2.  Wanneer een bevoegde autoriteit groot bezwaar heeft gemaakt tegen een ontwerpmaatregel van de hoofdautoriteit, of wanneer de hoofdautoriteit geen ontwerpmaatregel als bedoeld in lid 1 indient of niet voldoet aan de verplichtingen inzake wederzijdse bijstand in overeenstemming met artikel 55 of inzake gezamenlijk optreden in overeenstemming met artikel 56, wordt de aangelegenheid door het Europees Comité voor gegevensbeschouwing bestudeerd.

3.  De hoofdautoriteit en/of andere betrokken bevoegde autoriteiten en de Commissie delen elektronisch door middel van een standaardformulier zonder onnodige vertraging alle relevante informatie mee aan het Europees Comité voor gegevensbescherming, waaronder naargelang van het geval een samenvatting van de feiten, de ontwerpmaatregel, de redenen waarom een dergelijke maatregel moet worden genomen, de bezwaren die tegen de maatregel zijn gemaakt en de standpunten van andere betrokken toezichthoudende autoriteiten.

4.  Het Europees Comité voor gegevensbescherming bestudeert de aangelegenheid met inachtneming van de gevolgen van de ontwerpmaatregel van de hoofdautoriteit voor de fundamentele rechten en vrijheden van de betrokkenen, en besluit met gewone meerderheid van stemmen van de leden om al dan niet een advies uit te brengen over de aangelegenheid binnen twee weken nadat de relevante informatie overeenkomstig lid 3 is verstrekt.

5.  Ingeval het Europees Comité voor gegevensbescherming besluit een advies uit te brengen, wordt dit advies uitgebracht binnen zes weken en openbaar gemaakt.

6.  De hoofdautoriteit houdt zoveel mogelijk rekening met het advies van het Europees Comité voor gegevensbescherming en deelt de voorzitter van het Europees Comité voor gegevensbescherming en de Commissie binnen twee weken nadat het advies door de voorzitter van het Europees Comité voor gegevensbescherming ter kennis is gebracht, elektronisch door middel van een standaardformulier mee of ze haar ontwerpmaatregel handhaaft of wijzigt en deelt in voorkomend geval de gewijzigde ontwerpmaatregel mee. Ingeval de hoofdautoriteit het advies van het Europees Comité voor gegevensbescherming niet wenst op te volgen, verstrekt zij een onderbouwde motivering.

7.  Ingeval het Europees Comité voor gegevensbescherming nog altijd bezwaren heeft tegen de maatregel van de toezichthoudende autoriteit zoals bedoeld in lid 5, kan het bij tweederde meerderheid binnen één maand een voor de toezichthoudende autoriteit bindende maatregel treffen. [Am. 167]

Artikel 59

Advies van de Commissie

1.  Om ervoor te zorgen dat deze verordening correct en consequent wordt toegepast, kan de Commissie binnen tien weken nadat een aangelegenheid overeenkomstig artikel 58 is voorgelegd, of uiterlijk binnen zes weken in het geval van artikel 61, een advies vaststellen in verband met aangelegenheden die haar overeenkomstig de artikelen 58 of 61 zijn voorgelegd.

2.  Wanneer de Commissie overeenkomstig lid 1 een advies heeft vastgesteld, neemt de betrokken toezichthoudende autoriteit het advies van de Commissie zoveel mogelijk in aanmerking en deelt zij de Commissie en het Europees Comité voor gegevensbescherming mee of zij voornemens is haar ontwerpmaatregel te handhaven of te wijzigen.

3.  Tijdens de in lid 1 bedoelde periode stelt de toezichthoudende autoriteit de ontwerpmaatregel niet vast.

4.  Wanneer de betrokken toezichthoudende autoriteit niet voornemens is het advies van de Commissie te volgen, stelt zij de Commissie en het Europees Comité voor gegevensbescherming daarvan binnen de in lid 1 bedoelde termijn in kennis. In dat geval wordt de ontwerpmaatregel gedurende nog één maand niet vastgesteld. [Am. 168]

Artikel 60

Schorsing van een ontwerpmaatregel

1.  Binnen één maand na de in artikel 59, lid 4, bedoelde mededeling kan de Commissie, wanneer zij ernstig betwijfelt of de ontwerpmaatregel voor correcte toepassing van deze verordening zorgt of anderszins tot inconsequente toepassing zou leiden, een met redenen omkleed besluit vaststellen, waarin de toezichthoudende autoriteit gevraagd wordt de vaststelling van de ontwerpmaatregel te schorsen, rekening houdend met het advies dat overeenkomstig artikel 58, lid 7, of artikel 61, lid 2, door het Europees Comité voor gegevensbescherming is uitgebracht, indien dat nodig lijkt om:

a)  de uiteenlopende standpunten van de toezichthoudende autoriteit en het Europees Comité voor gegevensbescherming te verzoenen, als dat nog mogelijk blijkt; of

b)  overeenkomstig artikel 62, lid 1, onder a), een maatregel vast te stellen.

2.  De Commissie legt de duur van de schorsing vast, die evenwel niet langer mag zijn dan twaalf maanden.

3.  Tijdens de in lid 2 bedoelde periode mag de toezichthoudende autoriteit de ontwerpmaatregel niet vaststellen. [Am. 169]

Artikel 60 bis

Melding van het Europees Parlement en de Raad

De Commissie brengt het Europees Parlement en de Raad op basis van een verslag van de voorzitter van het Europees Comité voor gegevensbescherming regelmatig en ten minste op halfjaarlijkse basis op de hoogte van de in het kader van de conformiteitstoetsing behandelde zaken en maakt daarbij de conclusies van de Commissie en het Europees Comité voor gegevensbescherming met betrekking tot de waarborging van de consequente toepassing van deze verordening kenbaar. [Am. 170]

Artikel 61

Spoedprocedure

1.  In buitengewone omstandigheden kan een toezichthoudende autoriteit, wanneer zij van mening is dat er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen, met name wanneer het gevaar bestaat dat de handhaving van een recht van een betrokkene aanzienlijk kan worden belemmerd door een verandering in de bestaande toestand, om grote nadelen af te wenden of om andere redenen, in afwijking van de in artikel 58 58 bis bedoelde procedure onverwijld voorlopige maatregelen met een bepaalde geldigheidsduur nemen. De toezichthoudende autoriteit deelt het Europees Comité voor gegevensbescherming en de Commissie onverwijld die maatregelen met opgave van redenen mee. [Am. 171]

2.  Wanneer een toezichthoudende autoriteit overeenkomstig lid 1 een maatregel heeft genomen en van mening is dat er dringend definitieve maatregelen moeten worden genomen, kan zij het Europees Comité voor gegevensbescherming met opgave van redenen, waaronder de redenen waarom de definitieve maatregelen spoedeisend zijn, om een dringend advies verzoeken.

3.  Een toezichthoudende autoriteit kan met opgave van redenen, waaronder de redenen waarom er dringend moet worden opgetreden, om een dringend advies verzoeken, wanneer de bevoegde toezichthoudende autoriteit geen passende maatregel heeft genomen in een situatie waarin er dringend moet worden opgetreden om de belangen van betrokkenen te beschermen.

4.  In afwijking van artikel 58, lid 7, wordt Een in de leden 2 en 3 bedoeld dringend advies wordt binnen twee weken met gewone meerderheid van stemmen van de leden van het Europees Comité voor gegevensbescherming vastgesteld. [Am. 172]

Artikel 62

Uitvoeringshandelingen

1.  De Commissie kan, na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming, uitvoeringshandelingen van algemene strekking vaststellen om:

a)  te besluiten over de correcte toepassing van deze verordening overeenkomstig haar doelstellingen en vereisten in verband met aangelegenheden die overeenkomstig artikel 58 of artikel 61 door toezichthoudende autoriteiten zijn meegedeeld, een aangelegenheid waarvoor overeenkomstig artikel 60, lid 1, een met redenen omkleed besluit is vastgesteld of een aangelegenheid waarvoor een toezichthoudende autoriteit geen ontwerpmaatregel indient en zij heeft meegedeeld dat zij niet voornemens is het overeenkomstig artikel 59 door de Commissie vastgestelde advies te volgen;

b)  binnen de in artikel 59, lid 1, bedoelde termijn te besluiten of zij in artikel 58, 42, lid 2, onder d), bedoelde ontwerp‑modelbepalingen inzake gegevensbescherming algemeen geldig verklaart;

c)  het model en de procedures voor de toepassing van de in deze afdeling bedoelde conformiteitstoetsing vast te leggen;

d)  de regelingen voor de elektronische uitwisseling van informatie tussen toezichthoudende autoriteiten onderling en tussen toezichthoudende autoriteiten en het Europees Comité voor gegevensbescherming, met name het in artikel 58, leden 5, 6 en 8, bedoelde standaardformulier, vast te leggen.

Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure.

2.  De Commissie stelt om dwingende en gegronde redenen van spoedeisendheid die verband houden met de belangen van betrokkenen in de in lid 1, onder a), bedoelde gevallen, onmiddellijk van toepassing zijnde uitvoeringshandelingen vast volgens de in artikel 87, lid 3, bedoelde procedure. Die handelingen blijven geldig voor een duur die niet langer mag zijn dan twaalf maanden.

3.  De vaststelling of niet-vaststelling van een maatregel overeenkomstig deze afdeling doet geen afbreuk aan andere maatregelen die de Commissie overeenkomstig het Verdrag heeft vastgesteld. [Am. 173]

Artikel 63

Tenuitvoerlegging

1.  Voor de toepassing van deze verordening wordt een uitvoerbare maatregel van de toezichthoudende autoriteit van een lidstaat in alle betrokken lidstaten ten uitvoer gelegd.

2.  Wanneer een toezichthoudende autoriteit voor een ontwerpmaatregel in strijd met artikel 58, leden 1 tot en met 5 en 2, de conformiteitstoetsing niet naleeft, dan wel een maatregel vaststelt ondanks het feit dat er groot bezwaar is gemaakt uit hoofde van artikel 58 bis, lid 1, wordt die de maatregel van de toezichthoudende autoriteit niet rechtsgeldig en uitvoerbaar geacht. [Am. 174]

AFDELING 3

EUROPEES COMITÉ VOOR GEGEVENSBESCHERMING

Artikel 64

Europees Comité voor gegevensbescherming

1.  Er wordt een Europees Comité voor gegevensbescherming ingesteld.

2.  Het Europees Comité voor gegevensbescherming bestaat uit de voorzitter van één toezichthoudende autoriteit per lidstaat en de Europese Toezichthouder voor gegevensbescherming.

3.  Wanneer in een lidstaat meer dan één toezichthoudende autoriteit belast is met het toezicht op de toepassing van de bepalingen van deze verordening, wordt de voorzitter van één van deze toezichthoudende autoriteiten als gezamenlijke vertegenwoordiger aangewezen.

4.  De Commissie heeft het recht deel te nemen aan de activiteiten en bijeenkomsten van het Europees Comité voor gegevensbescherming en wijst een vertegenwoordiger aan. De voorzitter van het Europees Comité voor gegevensbescherming informeert de Commissie onverwijld over alle activiteiten van het Europees Comité voor gegevensbescherming.

Artikel 65

Onafhankelijkheid

1.  Het Europees Comité voor gegevensbescherming treedt bij de uitvoering van zijn taken overeenkomstig de artikelen 66 en 67 onafhankelijk op.

2.  Onverminderd de in artikel 66, lid 1, onder b), en artikel 66, lid 2, bedoelde verzoeken van de Commissie, vraagt noch aanvaardt het Europees Comité voor gegevensbescherming instructies van wie dan ook.

Artikel 66

Taken van het Europees Comité voor gegevensbescherming

1.  Het Europees Comité voor gegevensbescherming zorgt ervoor dat deze verordening consequent wordt toegepast. Daartoe verricht het Europees Comité voor gegevensbescherming op eigen initiatief of op verzoek van het Europees Parlement, de Raad of de Commissie de volgende activiteiten:

a)  adviseren van de Commissie Europese instellingen over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze verordening;

b)  onderzoeken van, op eigen initiatief of op verzoek van één van zijn leden of op verzoek van het Europees Parlement, de Raad of de Commissie, van alle kwesties in verband met de toepassing van deze verordening en opstellen van richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten, waaronder over het gebruik van handhavingsbevoegdheden, teneinde te bevorderen dat deze verordening consequent wordt toegepast;

c)  evalueren van de praktische toepassing van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken en hierover regelmatig verslag uitbrengen bij de Commissie;

d)  uitbrengen van adviezen over ontwerpbesluiten van de toezichthoudende autoriteiten in het kader van de in artikel 57 bedoelde conformiteitstoetsing;

d bis)  uitbrengen van adviezen over de autoriteit die de hoofdautoriteit zou moeten zijn overeenkomstig artikel 54 bis, lid 3;

e)  bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van de informatie en praktijken tussen de toezichthoudende autoriteiten, met inbegrip van de coördinatie van gezamenlijke maatregelen en andere gezamenlijke activiteiten, wanneer deze daar op verzoek van één of meerdere toezichthoudende autoriteit toe besluit;

f)  bevorderen van gemeenschappelijke opleidingsprogramma’s en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend geval, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;

g)  bevorderen van de uitwisseling van kennis en documentatie over de wetgeving en praktijken op het gebied van gegevensbescherming met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd;

g bis)  uitbrengen van adviezen aan de Commissie ten behoeve van de voorbereiding van gedelegeerde en uitvoeringshandelingen op basis van deze verordening;

g ter)  uitbrengen van advies over de op het niveau van de Unie opgestelde gedragscodes overeenkomstig artikel 38, lid 4;

g quater)  uitbrengen van advies over de criteria en vereisten voor de certificeringsmechanismen voor gegevensbescherming overeenkomstig artikel 39, lid 2;

g quinquies)  bijhouden van een openbaar elektronisch register van geldige en ongeldige certificaten overeenkomstig artikel 39, lid 1 nonies;

g sexies)  verlenen van bijstand aan nationale toezichthoudende autoriteiten, op hun verzoek;

g septies)  vaststellen en openbaar maken van een lijst van verwerkingen waarvoor overeenkomstig artikel 34 voorafgaande raadpleging moet plaatsvinden;

g octies)  bijhouden van een register van sancties die zijn opgelegd aan voor de verwerking verantwoordelijken of verwerkers door de bevoegde toezichthoudende autoriteiten.

2.  Wanneer het Europees Parlement, de Raad of de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij dit/deze een termijn bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid.

3.  Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan het Europees Parlement, de Raad en de Commissie en aan het in artikel 87 bedoelde comité en maakt deze bekend.

4.  De Commissie informeert het Europees Comité voor gegevensbescherming over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Europees Comité voor gegevensbescherming heeft genomen.

4 bis.  Het Europees Comité voor gegevensbescherming raadpleegt in voorkomend geval de belanghebbende partijen en biedt hun de gelegenheid om binnen een redelijk tijdsbestek commentaar te leveren. Onverlet artikel 72 maakt het Europees Comité voor gegevensbescherming de resultaten van de raadpleging openbaar.

4 ter.  Het Europees Comité voor gegevensbescherming wordt belast met de taak richtsnoeren, aanbevelingen en optimale praktijken te verstrekken overeenkomstig lid 1, onder b), teneinde gemeenschappelijke procedures vast te stellen voor het ontvangen en onderzoeken van informatie betreffende aantijgingen van onrechtmatige verwerking en voor het beschermen van de vertrouwelijkheid en de bronnen van de ontvangen informatie. [Am. 175]

Artikel 67

Rapportage

1.  Het Europees Comité voor gegevensbescherming informeert het Europees Parlement, de Raad en de Commissie regelmatig en tijdig over de resultaten van zijn activiteiten. Het stelt ten minste eens per twee jaar een jaarverslag verslag op over de situatie in verband met de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens in de Unie en in derde landen.

Het verslag omvat de in artikel 66, lid 1, onder c), bedoelde evaluatie van de richtsnoeren, aanbevelingen en beste praktijken. [Am. 176]

2.  Het verslag wordt openbaar gemaakt en toegezonden aan het Europees Parlement, de Raad en de Commissie.

Artikel 68

Procedure

1.  Het Europees Comité voor gegevensbescherming neemt besluiten met gewone meerderheid van zijn leden, tenzij anders bepaald in zijn reglement van orde. [Am. 177]

2.  Het Europees Comité voor gegevensbescherming stelt zijn reglement van orde en zijn eigen werkregelingen vast. Het comité zorgt er met name voor dat het zijn activiteiten kan voortzetten wanneer de ambtstermijn van een lid afloopt of een lid ontslag neemt, dat er voor specifieke kwesties of sectoren subgroepen worden opgericht en dat er voor de in artikel 57 bedoelde conformiteitstoetsing procedures worden vastgesteld.

Artikel 69

Voorzitter

1.  Het Europees Comité voor gegevensbescherming kiest uit zijn leden een voorzitter en ten minste twee vicevoorzitters. De Europese Toezichthouder voor gegevensbescherming is een van de twee vicevoorzitters, tenzij hij tot voorzitter is gekozen. [Am. 178]

2.  De ambtstermijn van de voorzitter en de vicevoorzitters bedraagt vijf jaar en kan eenmaal worden verlengd.

2 bis.  De functie van de voorzitter is een volledige betrekking. [Am. 179]

Artikel 70

Taken van de voorzitter

1.  De voorzitter heeft de volgende taken:

a)  het samenroepen van de bijeenkomsten van het Europees Comité voor gegevensbescherming en het voorbereiden van de agenda daarvan;

b)  ervoor zorgen dat de taken van het Europees Comité voor gegevensbescherming tijdig worden uitgevoerd, met name wat de in artikel 57 bedoelde conformiteitstoetsing betreft.

2.  Het Europees Comité voor gegevensbescherming stelt in zijn reglement van orde de taakverdeling tussen de voorzitter en de vicevoorzitters vast.

Artikel 71

Secretariaat

1.  Het Europees Comité voor gegevensbescherming heeft een secretariaat. De Europese Toezichthouder voor gegevensbescherming zorgt voor dat secretariaat.

2.  Het secretariaat biedt het Europees Comité voor gegevensbescherming onder leiding van zijn voorzitter analytische, juridische, administratieve en logistieke ondersteuning. [Am. 180]

3.  Het secretariaat is met name belast met:

a)  de dagelijkse werking van het Europees Comité voor gegevensbescherming;

b)  de communicatie tussen de leden van het Europees Comité voor gegevensbescherming, zijn voorzitter en de Commissie en de communicatie met andere instellingen en het brede publiek;

c)  het gebruik van elektronische middelen voor interne en externe communicatie;

d)  de vertaling van relevante informatie;

e)  de voorbereiding en follow‑up van de bijeenkomsten van het Europees Comité voor gegevensbescherming;

f)  de voorbereiding, het opstellen en de bekendmaking van de adviezen en andere teksten die door het Europees Comité voor gegevensbescherming worden aangenomen.

Artikel 72

Vertrouwelijkheid

1.  De besprekingen van het Europees Comité voor gegevensbescherming kunnen indien nodig vertrouwelijk zijn, vertrouwelijk. tenzij het reglement anders bepaalt. De agenda van de vergadering van het Europees Comité voor gegevensbescherming wordt openbaar gemaakt. [Am. 181]

2.  De documenten die aan de leden van het Europees Comité voor gegevensbescherming, deskundigen en vertegenwoordigers van derde partijen worden voorgelegd, zijn vertrouwelijk, tenzij daartoe overeenkomstig Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad(18) toegang is verleend of het Europees Comité voor gegevensbescherming deze op een andere wijze bekendmaakt.

3.  De leden van het Europees Comité voor gegevensbescherming alsmede de deskundigen en de vertegenwoordigers van derde partijen zijn verplicht de in dit artikel vastgestelde vertrouwelijkheidsplicht na te leven. De voorzitter zorgt ervoor dat de deskundigen en de vertegenwoordigers van derde partijen in kennis worden gesteld van de voor hen geldende vertrouwelijkheidsvereisten.

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 73

Recht een klacht in te dienen bij een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte en de conformiteitstoetsing, heeft iedere betrokkene het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan deze verordening voldoet.

2.  Alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en in het openbaar belang handelen en die op geldige wijze volgens het recht van een lidstaat zijn opgericht, hebben het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat namens een of meer betrokkenen, indien zij van mening zijn dat de rechten van betrokkenen uit hoofde van deze verordening geschonden zijn als gevolg van de verwerking van persoonsgegevens.

3.  Onafhankelijk van een klacht van een betrokkene, hebben alle in lid 2 bedoelde organen, organisaties of verenigingen het recht een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens van deze verordening heeft plaatsgevonden. [Am. 182]

Artikel 74

Recht een beroep in rechte in te stellen tegen een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere natuurlijke of rechtspersoon heeft het recht tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen.

2.  Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep heeft iedere betrokkene heeft het recht een beroep in rechte in te stellen teneinde de toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer de toezichthoudende autoriteit hem niet overeenkomstig artikel 52, lid 1, onder b), binnen drie maanden van de vooruitgang of het resultaat van de klacht in kennis heeft gesteld.

3.  Een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

4.  Onverminderd de conformiteitstoetsing kan een betrokkene waarop een besluit van een toezichthoudende autoriteit van een andere lidstaat dan die waar hij gewoonlijk verblijft, betrekking heeft, kan de toezichthoudende autoriteit van de lidstaat waar hij gewoonlijk verblijft vragen om namens hem in de andere lidstaat tegen de bevoegde toezichthoudende autoriteit een vordering in te stellen.

5.  De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer. [Am. 183]

Artikel 75

Recht een beroep in rechte in te stellen tegen een voor de verwerking verantwoordelijke of een verwerker

1.  Onverminderd andere mogelijkheden van administratief beroep, waaronder het in artikel 73 bedoelde recht een klacht in te dienen bij een toezichthoudende autoriteit, heeft iedere natuurlijke persoon het recht een beroep in rechte in te stellen, indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet.

2.  Een vordering tegen een voor de verwerking verantwoordelijke of een verwerker wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de voor de verwerking verantwoordelijke of de verwerker een vestiging heeft. Een dergelijke vordering kan ook worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de betrokkene gewoonlijk verblijft, tenzij de voor de verwerking verantwoordelijke een autoriteit is van de Unie of een lidstaat die optreedt in de uitoefening van het overheidsgezag. [Am. 184]

3.  Wanneer dezelfde maatregel, hetzelfde besluit of dezelfde praktijk het voorwerp uitmaakt van de in artikel 58 bedoelde conformiteitstoetsing, kan een gerechtelijke instantie het voor haar aanhangige geding schorsen, tenzij het op grond van spoedeisendheid voor de bescherming van de rechten van betrokkene niet mogelijk is om te wachten op het resultaat van de conformiteitstoetsing.

4.  De lidstaten leggen de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer.

Artikel 76

Gemeenschappelijke voorschriften voor beroepen in rechte

1.  Alle in artikel 73, lid 2, bedoelde organen, organisaties of verenigingen hebben het recht de in de artikelen 74, en 75 en 77 bedoelde rechten namens uit te oefenen indien zij hiertoe zijn gemachtigd door één of meer betrokkenen. uit te oefenen. [Am. 185]

2.  Elke toezichthoudende autoriteit heeft het recht in rechte op te treden en bij een gerechtelijke instantie een vordering in te stellen om de bepalingen van deze verordening te doen naleven of om de conformiteit van de bescherming van persoonsgegevens in de Unie te garanderen.

3.  Wanneer een bevoegde gerechtelijke instantie van een lidstaat gegronde redenen heeft om aan te nemen dat er tegelijkertijd in een andere lidstaat een vordering is ingesteld, neemt het contact op met de bevoegde gerechtelijke instantie in de andere lidstaat om zich ervan te vergewissen dat er een dergelijk parallel geding bestaat.

4.  Wanneer een dergelijk parallel geding in een andere lidstaat dezelfde maatregel, hetzelfde besluit of dezelfde praktijk betreft, kan de gerechtelijke instantie het geding schorsen.

5.  De lidstaten zorgen ervoor dat hun nationale wetgeving voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.

Artikel 77

Recht op vergoeding en aansprakelijkheid

1.  Iedere persoon die schade - waaronder immateriële schade - heeft geleden als gevolg van een onrechtmatige verwerking of een handeling die met deze verordening strijdig is, heeft het recht om van de voor de verwerking verantwoordelijke of de verwerker vergoeding te ontvangen eisen. [Am. 186]

2.  Wanneer meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn alle al deze voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden tot volledige vergoeding van de schade, tenzij zij beschikken over een adequate schriftelijke overeenkomst waarin de verantwoordelijkheden zijn vastgelegd overeenkomstig artikel 24. [Am. 187]

3.  De voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 78

Sancties

1.  De lidstaten stellen de regels inzake sancties vast die van toepassing zijn op schendingen van deze verordening en treffen alle maatregelen die nodig zijn om de daadwerkelijke toepassing van die sancties te garanderen, onder meer in het geval waarin de voor de verwerking verantwoordelijke de verplichting om een vertegenwoordiger aan te wijzen niet heeft nageleefd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

2.  Wanneer de voor de verwerking verantwoordelijke een vertegenwoordiger heeft aangewezen, worden alle sancties op de vertegenwoordiger toegepast, onverminderd de sanctieprocedures die tegen de voor de verwerking verantwoordelijke kunnen worden ingesteld.

3.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 79

Administratieve sancties

1.  Elke toezichthoudende autoriteit is bevoegd om overeenkomstig dit artikel administratieve sancties op te leggen. De toezichthoudende autoriteiten werken met elkaar samen in overeenstemming met de artikelen 46 en 57 om te zorgen voor een geharmoniseerd sanctieniveau in de Unie.

2.  De administratieve sanctie is in elke zaak doeltreffend, evenredig en afschrikkend. Het bedrag van de administratieve geldboete wordt vastgesteld op grond van de aard, de ernst en de duur van de inbreuk, het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd, de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en reeds vorige inbreuken heeft gepleegd, de technische en organisatorische maatregelen en procedures die overeenkomstig artikel 23 ten uitvoer zijn gelegd en de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen.

2 bis.  De toezichthoudende autoriteit legt eenieder die de verplichtingen krachtens deze verordening niet naleeft, ten minste een van de volgende sancties op:

a)  een schriftelijke waarschuwing in het geval van een eerste en niet-opzettelijke niet-naleving;

b)  regelmatige, periodieke gegevensbeschermingsaudits;

c)  een boete tot 100 000 000 euro of tot 5 % van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is.

2 ter.  Indien de voor de verwerking verantwoordelijke of de verwerker beschikt over een geldig "Europees gegevensbeschermingszegel" overeenkomstig artikel 39, wordt enkel een boete overeenkomstig lid 2 bis, onder c), opgelegd bij een inbreuk als gevolg van opzet of niet-naleving wegens nalatigheid.

2 quater.  Bij de administratieve sanctie wordt rekening gehouden met de volgende factoren:

a)  de aard, de ernst en de duur van de niet-naleving,

b)  het feit of de inbreuk opzettelijk of uit nalatigheid is gepleegd,

c)  de mate waarin de natuurlijke of de rechtspersoon aansprakelijk is en eerdere inbreuken heeft gepleegd,

d)  het herhaaldelijke karakter van de inbreuk,

e)  de mate waarin er met de toezichthoudende autoriteit is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen ervan te beperken,

f)  de specifieke door de inbreuk getroffen categorieën persoonsgegevens,

g)  de hoeveelheid door de betrokkenen geleden schade, waaronder immateriële schade,

h)  de door de voor de verwerking verantwoordelijke of door de verwerker genomen maatregelen om de door de betrokkenen geleden schade te beperken,

i)  alle nagestreefde of gerealiseerde financiële voordelen, of vermeden verliezen, die direct of indirect uit de inbreuk voortvloeien,

j)  de technische en organisatorische maatregelen en procedures die ten uitvoer zijn gelegd overeenkomstig:

i)  Artikel 23 - Privacy by design en by default

ii)  Artikel 30 - Beveiliging van de verwerking

iii)  Artikel 33 - Privacyeffectbeoordeling

iv)  Artikel 33 bis - Beoordeling van de naleving van de gegevensbescherming

v)  Artikel 35 - Aanwijzing van de functionaris voor gegevensbescherming

k)  de weigering tot samenwerking of tegenwerking bij inspecties, audits en controles van de toezichthoudende autoriteit overeenkomstig artikel 53,

l)  andere op de omstandigheden van de zaak toepasselijke verzwarende of verzachtende factoren.

3.  Bij een eerste en niet‑opzettelijke niet‑naleving van deze verordening kan een schriftelijke waarschuwing worden gegeven zonder dat er een sanctie wordt opgelegd, wanneer:

a)  een natuurlijke persoon persoonsgegevens verwerkt zonder commerciële belangen; of

b)  een onderneming of organisatie met minder dan 250 werknemers persoonsgegevens slechts als nevenactiviteit verwerkt.

4.  De toezichthoudende autoriteit legt een geldboete tot 250 000 euro op of, bij een onderneming, een geldboete van 0,5 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  niet voorziet in mechanismen voor de uitoefening van de rechten van betrokkenen of niet onmiddellijk of in de vereiste vorm betrokkenen antwoordt overeenkomstig artikel 12, leden 1 en 2;

b)  in strijd met artikel 12, lid 4, een vergoeding aanrekent voor informatie of voor het beantwoorden van verzoeken van betrokkenen.

5.  De toezichthoudende autoriteit legt een geldboete tot 500 000 euro op of, bij een onderneming, een geldboete van 1 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  de betrokkene geen informatie verstrekt, of onvolledige informatie verstrekt, of de informatie niet op voldoende transparante wijze verstrekt overeenkomstig artikel 11, artikel 12, lid 3, en artikel 14;

b)  de betrokkene geen toegang verstrekt overeenkomstig artikel 15, persoonsgegevens niet rectificeert overeenkomstig artikel 16 of een ontvanger relevante informatie niet meedeelt overeenkomstig artikel 13;

c)  het recht om te worden vergeten of het recht op uitwissing van gegevens niet eerbiedigt, geen mechanismen invoert om ervoor te zorgen dat de termijnen worden nageleefd, of niet alle nodige maatregelen neemt om derde partijen in kennis te stellen van verzoeken van betrokkenen om koppelingen naar of kopieën of reproducties van persoonsgegevens uit te wissen overeenkomstig artikel 17;

d)  in strijd met artikel 18 geen elektronische kopie van persoonsgegevens verstrekt of de betrokkene verhindert om persoonsgegevens naar een andere toepassing over te dragen;

e)  niet of niet voldoende de respectieve verantwoordelijkheden van gemeenschappelijk voor de verwerking verantwoordelijken vaststelt overeenkomstig artikel 24;

f)  geen of niet voldoende documenten bewaart overeenkomstig artikel 28, artikel 31, lid 4, en artikel 44, lid 3;

g)  in gevallen waarin geen bijzondere categorieën gegevens worden verwerkt, de voorschriften in verband met de vrijheid van meningsuiting of de verwerking in het kader van de arbeidsverhouding, of de voorwaarden voor verwerking voor historische, statistische of wetenschappelijke doeleinden niet naleeft overeenkomstig de artikelen 80, 82 en 93.

6.  De toezichthoudende autoriteit legt een geldboete tot 1 000 000 euro op of, bij een onderneming, een geldboete van 2 % van haar jaarlijkse wereldwijde omzet, aan eenieder die opzettelijk of uit nalatigheid:

a)  persoonsgegevens verwerkt zonder of zonder toereikende rechtsgrondslag voor de verwerking of de voorwaarden voor toestemming niet naleeft overeenkomstig de artikelen 6, 7 en 8;

b)  in strijd met de artikelen 9 en 81 bijzondere categorieën gegevens verwerkt;

c)  geen gevolg geeft aan een bezwaar of een verplichting overeenkomstig artikel 19;

d)  de voorwaarden in verband met de maatregelen op basis van profilering niet naleeft overeenkomstig artikel 20;

e)  geen intern beleid vaststelt of geen passende maatregelen uitvoert om voor naleving te zorgen en die naleving te kunnen aantonen overeenkomstig de artikelen 22, 23 en 30;

f)  geen vertegenwoordiger aanwijst overeenkomstig artikel 25;

g)  persoonsgegevens verwerkt, of opdracht tot de verwerking van persoonsgegevens geeft, in strijd met de verplichtingen inzake verwerking namens een voor de verwerking verantwoordelijke overeenkomstig de artikelen 26 en 27;

h)  de toezichthoudende autoriteit of de betrokkene niet waarschuwt bij een inbreuk in verband met persoonsgegevens of die inbreuk niet tijdig of niet volledig meldt overeenkomstig de artikelen 31 en 32;

i)  geen privacyeffectbeoordeling verricht, of persoonsgegevens verwerkt zonder voorafgaande toestemming of voorafgaande raadpleging van de toezichthoudende autoriteit overeenkomstig de artikelen 33 en 34;

j)  geen gegevensbeschermingsfunctionaris aanwijst of niet de voorwaarden in het leven roept voor de uitvoering van diens taken overeenkomstig de artikelen 35, 36 en 37;

k)  misbruik maakt van een gegevensbeschermingszegel of ‑merktekens in de zin van artikel 39;

l)  een gegevensdoorgifte naar een derde land of een internationale organisatie verricht, of opdracht daartoe geeft, die niet is toegestaan op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard of passende garanties of een afwijking overeenkomstig de artikelen 40 tot en met 44;

m)  een bevel of een tijdelijk of definitief verwerkingsverbod of een opschorting van gegevensstromen door de toezichthoudende autoriteit niet naleeft overeenkomstig artikel 53, lid 1;

n)  de verplichtingen inzake het assisteren van, het geven van antwoord of het verstrekken van relevante informatie aan, of het verlenen van toegang aan de toezichthoudende autoriteit tot gebouwen en terreinen niet naleeft overeenkomstig artikel 28, lid 3, artikel 29, artikel 34, lid 6, en artikel 53, lid 2;

o)  de voorschriften inzake het bewaren van het beroepsgeheim niet naleeft overeenkomstig artikel 84.

7.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen teneinde de absolute bedragen van de in de leden 4, 5 en 6 lid 2 bis bedoelde geldboeten te actualiseren, waarbij rekening houdend wordt gehouden met de in lid de leden  2 en 2 quater bedoelde criteria en factoren. [Am. 188]

HOOFDSTUK IX

BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING

Artikel 80

Verwerking van persoonsgegevens en vrijheid van meningsuiting

1.  De lidstaten voorzien voor de verwerking van persoonsgegevens voor uitsluitend journalistieke of voor artistieke en literaire doeleinden waar nodig in uitzonderingen op of afwijkingen van de bepalingen inzake de algemene beginselen in hoofdstuk II, de rechten van de betrokkenen in hoofdstuk III, de voor de verwerking verantwoordelijke en de verwerker in hoofdstuk IV, de doorgifte van persoonsgegevens naar derde landen en internationale organisaties in hoofdstuk V, de onafhankelijke toezichthoudende autoriteiten in hoofdstuk VI, en samenwerking en conformiteit in hoofdstuk VII en specifieke situaties op het gebied van gegevensverwerking in dit hoofdstuk, om het recht op bescherming van persoonsgegevens te verzoenen met de regels betreffende de vrijheid van meningsuiting in overeenstemming met het Handvest. [Am. 189]

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 80 bis

Toegang tot documenten

1.  Overheidsinstanties en openbare organen mogen persoonsgegevens in documenten die zij in hun bezit hebben, vrijgeven overeenkomstig het recht van de Unie of het recht van de lidstaat ten aanzien van het recht van toegang van het publiek tot officiële documenten dat het recht op de bescherming van persoonsgegevens verzoent met het beginsel van het recht van toegang van het publiek tot officiële documenten.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 190]

Artikel 81

Verwerking van persoonsgegevens over gezondheid

1.  Binnen de grenzen van Overeenkomstig de in deze verordening en uiteengezette regels, in het bijzonder overeenkomstig artikel 9, lid 2, onder h), moeten verwerkingen van persoonsgegevens over gezondheid worden verricht op grond van het recht van de Unie of het recht van de lidstaat waarin passende, consequente en specifieke waarborgen voor de bescherming van de gerechtvaardigde belangen van de betrokkene en diens grondrechten zijn opgenomen, en moeten deze verwerkingen noodzakelijk zijn op voorwaarde dat deze noodzakelijk en evenredig zijn, en waarvan de gevolgen door de betrokkene kunnen worden voorzien:

a)  voor doeleinden van preventieve of arbeidsgeneeskunde, medische diagnose, het verstrekken van zorg of behandelingen of het beheren van gezondheidsdiensten, mits die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het in het recht van de lidstaat, of in de door nationale bevoegde instanties vastgestelde regelgeving, vastgelegde beroepsgeheim of door een andere persoon voor wie een gelijkwaardige vertrouwelijkheidsplicht geldt; of

b)  om redenen van openbaar belang op het gebied van volksgezondheid, zoals de bescherming tegen ernstige grensoverschrijdende bedreigingen voor de gezondheid of het garanderen van hoge kwaliteits- en veiligheidsnormen, onder meer voor geneesmiddelen of medische hulpmiddelen, mits die gegevens worden verwerkt door een persoon die vertrouwelijkheid in acht moet nemen; of

c)  om andere redenen van openbaar belang op gebieden als sociale bescherming, vooral voor wat betreft het waarborgen van de kwaliteit en de rentabiliteit van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering en de verlening van gezondheidsdiensten. Dergelijke verwerking van persoonsgegevens over gezondheid om redenen van algemeen belang leidt er niet toe dat gegevens voor andere doeleinden worden verwerkt, tenzij de betrokkene hier toestemming voor geeft of op basis van het recht van de Unie of het recht van de lidstaat.

1 bis.  Indien de in onder a) tot en met c) van lid 1 bedoelde doeleinden ook zonder gebruikmaking van persoonsgegevens gerealiseerd kunnen worden, is het gebruik van dergelijke gegevens voor deze doeleinden verboden, tenzij op basis van de toestemming van de betrokkene of nationale wetgeving.

1 ter.  Wanneer de betrokkene toestemming moet geven voor de verwerking van medische gegevens uitsluitend voor wetenschappelijk onderzoek ten behoeve van de volksgezondheid, kan de toestemming worden gegeven voor een of meer specifieke en vergelijkbare onderzoeken. De betrokkene kan de toestemming echter te allen tijde intrekken.

1 quater.  Voor het geven van toestemming voor de deelname aan wetenschappelijke onderzoeksactiviteiten in klinische proeven zijn de relevante bepalingen van Richtlijn 2001/20/EG van het Europees Parlement en de Raad(19) van toepassing.

2.  De verwerking van persoonsgegevens over gezondheid die noodzakelijk is voor historische, statistische of wetenschappelijke doeleinden, zoals patiëntenregisters om de diagnoses te verbeteren, soortgelijke typen ziekten te onderscheiden en studies voor therapieën voor te bereiden, is uitsluitend toegestaan met toestemming van de betrokkene en is onderworpen aan de in artikel 83 genoemde voorwaarden en waarborgen.

2 bis.  De lidstaten mogen uitzonderingen maken op de in lid 2 uiteengezette vereiste van toestemming voor onderzoeksdoeleinden als het om onderzoek van gewichtig algemeen belang gaat en dergelijk onderzoek niet op andere wijze kan worden uitgevoerd. De gegevens in kwestie worden anoniem gemaakt en indien dit gezien de aard van het onderzoek niet mogelijk is volgens de allerhoogste technische standaarden gepseudonimiseerd. Daarbij worden alle noodzakelijke maatregelen getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd. De betrokkene heeft echter het recht te allen tijde bezwaar te maken overeenkomstig artikel 19.

3.  De Commissie is bevoegd om, na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming, overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de in lid 1, onder b), bedoelde andere redenen van openbaar belang op het gebied van volksgezondheid, en van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden. het gewichtig algemeen belang op het gebied van onderzoek als bedoeld in lid 2 bis.

3 bis.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 191]

Artikel 82

Minimumnormen voor de verwerking van gegevens in het kader van de arbeidsverhouding

1.  Binnen de grenzen De lidstaten kunnen in overeenstemming met de bepalingen van deze verordening kunnen de lidstaten bij wet en met inachtneming van het proportionaliteitsbeginsel door middel van wettelijke bepalingen specifieke voorschriften vaststellen voor de verwerking van de persoonsgegevens van werknemers in het kader van de arbeidsverhouding, met name, maar niet uitsluitend, met het oog op aanwerving en sollicitaties binnen de groep ondernemingen, de uitvoering van het arbeidscontract, met inbegrip van de naleving van wettelijke of uit en in collectieve overeenkomsten voortvloeiende vastgelegde verplichtingen, overeenkomstig de nationale wettelijke voorschriften en praktijken, en van verplichtingen die voortvloeien uit het beheer, de planning en de organisatie van de arbeid, en gezondheid en veiligheid op het werk, met het oog op de uitoefening en het genot van de met de arbeidsverhouding samenhangende individuele of collectieve rechten en voordelen, en met het oog op de beëindiging van de arbeidsverhouding. De lidstaten kunnen de bepalingen van dit artikel nader invullen door middel van collectieve overeenkomsten.

1 bis.  Het doel van de verwerking van zulke gegevens moet verband houden met de reden waarom de gegevens werden vergaard en moet beperkt blijven tot het kader van de arbeidsverhouding. Profilering of gebruik voor secundaire doeleinden is niet toegestaan.

1 ter.  Toestemming van een werknemer biedt geen rechtsgrondslag voor verwerking van gegevens door de werkgever, indien deze toestemming niet vrijwillig is verleend.

1 quater.  Onverminderd de overige voorschriften van deze verordening wordt in de in lid 1 genoemde wettelijke voorschriften van de lidstaten ten minste rekening gehouden met de volgende minimumnormen:

a)  de verwerking van persoonsgegevens van werknemers zonder dat zij hiervan op de hoogte zijn, is verboden. Onverminderd het hierboven bepaalde kunnen de lidstaten bij wet en met inachtneming van passende termijnen voor het verwijderen van de gegevensbestanden dit verbod opheffen voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de omvang van het onderzoek gezien het doel noodzakelijk en proportioneel zijn. De persoonlijke levenssfeer van de werknemer moet te allen tijde worden beschermd en zijn privacy geëerbiedigd. Het onderzoek wordt door de bevoegde autoriteit verricht;

b)  De toepassing van openlijk optisch-elektronisch en/of open akoestisch-elektronisch toezicht op de niet openbaar toegankelijke delen van het bedrijf die overwegend bedoeld zijn voor persoonlijk gebruik door de werknemers, met name ruimten voor sanitaire voorzieningen, omkleed-, pauze- en slaapruimten, is verboden. Een heimelijk toezicht is in ieder geval verboden;

c)  ondernemingen of autoriteiten die in het kader van medische onderzoeken en/of geschiktheidstests persoonsgegevens verzamelen en verwerken moeten de sollicitant of werknemer er vooraf van op de hoogte brengen waarvoor deze gegevens worden gebruikt en dienen ervoor te zorgen dat dezen na afloop van de tests de beschikking krijgen over deze gegevens en de resultaten, en desgewenst een uitleg over hun belang. Het verzamelen van gegevens voor genetische tests en analyses is principieel verboden;

d)  of en in welke omvang het gebruik van telefoon, e-mail, internet en andere telecommunicatiediensten ook voor particuliere doeleinden is toegestaan, kan in een collectieve overeenkomst worden geregeld. Als er geen regeling via een collectieve overeenkomst bestaat, maakt de werkgever rechtstreeks met de werknemer hierover een afspraak. Indien een particulier gebruik van bovengenoemde diensten is toegestaan, mogen de dataverkeersgegevens met name worden verwerkt ter waarborging van de dataveiligheid, het goede functioneren van telecommunicatienetwerken en telecommunicatiediensten en voor de afrekening.

Onverminderd het hierboven bepaalde kunnen de lidstaten bij wet en met inachtneming van passende termijnen voor het verwijderen van de gegevensbestanden dit verbod opheffen voor gevallen waarin aantoonbare werkelijke aanknopingspunten aanleiding geven tot de verdenking dat de werknemer waarmee een arbeidsverhouding bestaat een strafbaar feit heeft gepleegd of zich schuldig heeft gemaakt aan ernstig plichtsverzuim, het onderzoek van de gegevens noodzakelijk is om het feit aan het licht te brengen en de aard en de omvang van het onderzoek gezien het doel noodzakelijk en proportioneel zijn. De persoonlijke levenssfeer van de werknemer moet te allen tijde worden beschermd en zijn privacy geëerbiedigd. Het onderzoek wordt door de bevoegde autoriteit verricht;

e)  persoonsgegevens van werknemers, met name gevoelige gegevens zoals politieke overtuiging, een eventueel lidmaatschap van of een actieve rol in een vakbond, mogen onder geen beding worden gebruikt om werknemers op zogenoemde "zwarte lijsten" te plaatsen of hen door te lichten dan wel uit te sluiten van werk. De verwerking, het gebruik in de arbeidsverhouding, het opstellen en doorgeven van zwarte lijsten van werknemers of andere vormen van discriminatie zijn verboden. De lidstaten verrichten controles en stellen in overeenstemming met artikel 79, lid 6, passende sancties vast om een doeltreffende tenuitvoerlegging van dit punt te waarborgen.

1 quinquies.  Het is toegestaan dat wettelijk zelfstandige ondernemingen binnen een groep ondernemingen persoonsgegevens van werknemers aan elkaar doorgeven, ze verwerken en ze doorgeven voor een eventuele verwerking door juridisch en fiscaal adviseurs, mits dit een belang van de onderneming en de afwikkeling van voor een bepaald doel bestemde administratieve procedures dient en niet in strijd is met de belangen en de grondrechten van de werknemer die moeten worden beschermd. Op doorgifte van persoonsgegevens van werknemers naar een derde land en/of aan een internationale organisatie is hoofdstuk V van toepassing.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 de leden 1 en 1 ter vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

3.  De Commissie is bevoegd om na advies te hebben ingewonnen bij het Europees Comité voor gegevensbescherming overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de waarborgen voor de verwerking van persoonsgegevens voor de in lid 1 bedoelde doeleinden. [Am. 192]

Artikel 82 bis

Verwerking voor socialezekerheidsdoeleinden

1.  De lidstaten kunnen overeenkomstig de regels in deze verordening specifieke voorschriften uitvaardigen met daarin de voorwaarden voor de verwerking van persoonsgegevens door hun overheidsinstellingen en -diensten voor socialezekerheidsdoeleinden indien uitgevoerd in het algemeen belang.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de voorschriften mee die hij uit hoofde van lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 193]

Artikel 83

Verwerking voor historische, statistische en wetenschappelijke doeleinden

1.  Binnen de grenzen van In overeenstemming met de regels zoals uiteengezet in deze verordening mogen persoonsgegevens alleen voor historische, statistische of wetenschappelijke doeleinden worden verwerkt, wanneer:

a)  deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd;

b)  gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie voor zover deze doeleinden op die manier kunnen worden bereikt volgens de allerhoogste technische standaarden, en alle noodzakelijke maatregelen worden getroffen om het onmogelijk te maken dat de betrokkenen alsnog om ongegronde redenen worden geïdentificeerd.

2.  Organen die historisch, statistisch of wetenschappelijk onderzoek verrichten, mogen persoonsgegevens alleen publiceren of op andere wijze bekendmaken, wanneer:

a)  de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven;

b)  de publicatie van persoonsgegevens nodig is om de onderzoeksresultaten te presenteren of het onderzoek te vergemakkelijken, mits de belangen of de grondrechten en grondvrijheden van de betrokkene geen voorrang hebben boven deze belangen; of

c)  de betrokkene de gegevens heeft bekendgemaakt.

3.  De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de verwerking van persoonsgegevens voor de in de leden 1 en 2 bedoelde doeleinden, van de nodige beperkingen van het recht op informatie en toegang van de betrokkene, en van de in die omstandigheden geldende voorwaarden en waarborgen voor de rechten van de betrokkene. [Am. 194]

Artikel 83 bis

Verwerking van persoonsgegevens door archiefdiensten

1.  Nadat de termijn die noodzakelijk is voor de verwezenlijking van de doeleinden van de oorspronkelijke verwerking waarvoor de persoonsgegevens werden verzameld, is verstreken, kunnen de persoonsgegevens worden verwerkt door archiefdiensten voor wie het verzamelen, bewaren, klasseren, ter beschikking stellen, exploiteren en verspreiden van archiefstukken in het algemeen belang de hoofdtaak of een wettelijke verplichting is, met name voor de verdediging van de rechten van personen of voor historische, statistische of wetenschappelijke doeleinden. Deze taken worden uitgevoerd in overeenstemming met de door de lidstaten vastgestelde regels inzake toegang tot en overdraagbaarheid en verspreiding van administratieve documenten of archiefstukken en in overeenstemming met de voorschriften zoals uiteengezet in deze verordening, met name met betrekking tot toestemming en het recht op bezwaar.

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de rechtsvoorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan. [Am. 195]

Artikel 84

Geheimhoudingsplicht

1.  Binnen de grenzen van . Overeenkomstig de voorschriften in deze verordening kunnen zorgen de lidstaten ervoor dat er specifieke voorschriften vaststellen voor gelden waarin de in artikel 53, lid 2, bedoelde onderzoeksbevoegdheden bevoegdheden voor de toezichthoudende autoriteiten in verband met worden beschreven met betrekking tot de verwerking verantwoordelijken of verwerkers die op grond van het nationale recht of aan door nationale bevoegde instanties vastgestelde regelgeving onderworpen zijn aan een beroepsgeheim of een andere gelijkwaardige geheimhoudingsplicht, indien dit noodzakelijk en evenredig is om het recht op bescherming van persoonsgegevens te verzoenen met de geheimhoudingsplicht. Deze voorschriften zijn slechts van toepassing op persoonsgegevens die de voor de verwerking verantwoordelijke of de verwerker in het kader van een onder deze geheimhoudingsplicht vallende activiteit heeft ontvangen of verkregen. [Am. 196]

2.  Elke lidstaat deelt de Commissie uiterlijk op de in artikel 91, lid 2, vastgelegde datum de voorschriften mee die hij overeenkomstig lid 1 vaststelt, alsook onverwijld alle latere wijzigingen daarvan.

Artikel 85

Bestaande gegevensbeschermingsregels van kerken en religieuze verenigingen

1.  Wanneer kerken en religieuze verenigingen of gemeenschappen in een lidstaat op het tijdstip van de inwerkingtreding van deze verordening uitgebreide passende voorschriften betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens toepassen, kunnen dergelijke voorschriften van toepassing blijven, mits deze in overeenstemming worden gebracht met de bepalingen van deze verordening.

2.  Kerken en religieuze verenigingen die overeenkomstig lid 1 uitgebreide passende voorschriften toepassen, voorzien in de oprichting van een onafhankelijke toezichthoudende autoriteit ontvangen een advies over de verenigbaarheid overeenkomstig hoofdstuk VI van deze verordening. artikel 38. [Am. 197]

Artikel 85 bis

Eerbiediging van grondrechten

Deze verordening heeft niet tot gevolg dat de verplichting tot eerbiediging van de grondrechten en de fundamentele rechtsbeginselen, zoals die is neergelegd in artikel 6 van het VEU, wordt aangetast. [Am. 198]

Artikel 85 ter

Modelformulieren

1.  De Commissie kan, met inachtneming van de specifieke kenmerken en behoeften van diverse sectoren en situaties op het gebied van gegevensverwerking, modelformulieren vastleggen voor:

a)  specifieke methoden ter verkrijging van de in artikel 8, lid 1, bedoelde verifieerbare toestemming,

b)  de in artikel 12, lid 2, bedoelde mededeling, ook met betrekking tot het elektronische model,

c)  het verstrekken van de in de leden 1 tot en met 3 van artikel 14 bedoelde informatie,

d)  het verzoeken om en het verlenen van toegang tot de in artikel 15, lid 1, bedoelde informatie, met inbegrip van het meedelen van de persoonsgegevens aan de betrokkene,

e)  de in artikel 28, lid 1, bedoelde documentatie,

f)  het melden van inbreuken overeenkomstig artikel 31 aan de toezichthoudende autoriteiten en de in artikel 31, lid 4, bedoelde documentatie,

g)  de in artikel 34 bedoelde voorafgaande raadpleging, en voor het verstrekken van informatie aan de toezichthoudende autoriteiten overeenkomstig artikel 34, lid 6.

2.  Daarbij neemt de Commissie de nodige maatregelen voor micro- en kleine en middelgrote ondernemingen.

3.  Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 87, lid 2, bedoelde onderzoeksprocedure. [Am. 199]

HOOFDSTUK X

GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 86

Uitoefening van de bevoegdheidsdelegatie

1.  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel vastgestelde voorwaarden.

2.  De in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend voor onbepaalde tijd met ingang van de datum van inwerkingtreding van deze verordening. [Am. 200]

3.  Het Europees Parlement of de Raad kan de in artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking beëindigt de delegatie van de in dat besluit genoemde bevoegdheiden. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet. [Am. 201]

4.  Zodra de Commissie een gedelegeerde handeling vaststelt, doet zij daarvan gelijktijdige kennisgeving aan het Europees Parlement en de Raad.

5.  Een overeenkomstig artikel 6, lid 5, artikel 8, lid 3, artikel 9, lid 3, artikel 12, lid 5, artikel 14, lid 7, artikel 15, lid 3, artikel 13 bis, lid 5, artikel 17, lid 9, artikel 20, lid 6, artikel 22, lid 4, artikel 23, lid 3, artikel 26, lid 5, artikel 28, lid 5, artikel 30, lid 3, artikel 31, lid 5, artikel 32, lid 5, artikel 33, lid 6, artikel 34, lid 8, artikel 35, lid 11, artikel 37, lid 2, artikel 38, lid 4, artikel 39, lid 2, artikel 41, lid 3, artikel 41, lid 5, artikel 43, lid 3, artikel 44, lid 7, artikel 79, lid 6, artikel 79, lid 7, artikel 81, lid 3, en artikel 82, lid 3, en artikel 83, lid 3, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad binnen een termijn van twee zes maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van deze termijn de Commissie hebben meegedeeld dat zij daartegen geen bezwaar zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee zes maanden verlengd. [Am. 202]

Artikel 87

Comitéprocedure

1.  De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.  Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing. [Am. 203]

HOOFDSTUK XI

SLOTBEPALINGEN

Artikel 88

Intrekking van Richtlijn 95/46/EG

1.  Richtlijn 95/46/EG wordt ingetrokken.

2.  Verwijzingen naar de ingetrokken richtlijn gelden als verwijzingen naar deze verordening. Verwijzingen naar de groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, gelden als verwijzingen naar het bij deze verordening opgerichte Europees Comité voor gegevensbescherming.

Artikel 89

Verhouding tot en wijziging van Richtlijn 2002/58/EG

1.  Deze verordening legt natuurlijke of rechtspersonen geen aanvullende verplichtingen op met betrekking tot de verwerking van persoonsgegevens in verband met het verstrekken van openbare elektronischecommunicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.

2 Artikel 1, lid 2, en artikelen 4 en 15 van Richtlijn 2002/58/EG wordt worden geschrapt. [Am. 204]

2 bis.   De Commissie dient onverwijld en uiterlijk op de in artikel 91, lid 2, genoemde datum een voorstel in voor de herziening van het wetgevingskader betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, om het in overeenstemming te brengen met deze verordening en zo te zorgen voor consistente en homogene voorschriften met betrekking tot het grondrecht van de bescherming van persoonsgegevens in de Europese Unie. [Am. 205]

Artikel 89 bis

Verhouding tot en wijziging van Verordening (EG) nr. 45/2001

1.  De in deze verordening genoemde voorschriften zijn van toepassing op de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie met betrekking tot kwesties waarvoor zij niet onderworpen zijn aan de in Verordening (EG) nr. 45/2001 genoemde aanvullende voorschriften.

2.  De Commissie dient onverwijld en uiterlijk op de in artikel 91, lid 2, genoemde datum een voorstel in voor de herziening van het rechtskader voor de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie. [Am. 206]

Artikel 90

Evaluatie

De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze verordening. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze verordening ingediend. Daarna worden de volgende verslagen om de vier jaar ingediend. Indien nodig dient de Commissie passende voorstellen in teneinde deze verordening te wijzigen en andere rechtsinstrumenten aan te passen, met name in het licht van de ontwikkelingen in de informatietechnologie en de stand van zaken in de informatiemaatschappij. Deze verslagen worden gepubliceerd.

Artikel 91

Inwerkingtreding en toepassing

1.  Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

2.  Zij is van toepassing met ingang van ...(20).

Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.

Gedaan te ...,

Voor het Europees Parlement Voor de Raad

De voorzitter De voorzitter

Bijlage - Voorstelling van de informatie als bedoeld in artikel 13 bis

1)  Met inachtneming van de verhoudingen in punt 6 wordt de informatie als volgt verstrekt:

2)  De volgende woorden in de rijen in de tweede kolom van de tabel in punt 1, met als titel "ESSENTIËLE INFORMATIE", worden vet gemaakt:

a)  het woord "verzameld" in de eerste rij van de tweede kolom;

b)  het woord "bewaard" in de tweede rij van de tweede kolom;

c)  het woord "verwerkt" in de derde rij van de tweede kolom;

d)  het woord "verspreid" in de vierde rij van de tweede kolom;

e)  de woorden "verkocht en verhuurd" in de vijfde rij van de tweede kolom;

f)  het woord "niet-versleutelde" in de zesde rij van de tweede kolom.

3)  Met inachtneming van de verhoudingen in punt 6, worden de rijen in de derde kolom van de tabel in punt 1, met als titel "OK", aangevuld met een van de volgende twee symbolen in overeenstemming met de voorwaarden in punt 4:

a)

b)

4)  

a)  Indien geen andere persoonsgegevens zijn verzameld dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de eerste rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

b)  Indien andere persoonsgegevens zijn verzameld dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de eerste rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

c)  Indien geen andere persoonsgegevens zijn bewaard dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de tweede rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

d)  Indien andere persoonsgegevens zijn bewaard dan de minimumgegevens die nodig zijn voor elk specifiek doeleinde van de verwerking, krijgt de tweede rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

e)  Indien geen persoonsgegevens zijn verwerkt voor andere doeleinden dan de doeleinden waarvoor de gegevens zijn verzameld, krijgt de derde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

f)  Indien persoonsgegevens zijn verwerkt voor andere doeleinden dan de doeleinden waarvoor de gegevens zijn verzameld, krijgt de derde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

g)  Indien geen persoonsgegevens zijn verspreid onder commerciële derden, krijgt de vierde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

h)  Indien persoonsgegevens zijn verspreid onder commerciële derden, krijgt de vierde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

i)  Indien geen persoonsgegevens zijn verkocht of verhuurd, krijgt de vijfde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

j)  Indien persoonsgegevens zijn verkocht of verhuurd, krijgt de vijfde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

k)  Indien geen persoonsgegevens zijn bewaard in een niet-versleutelde vorm, krijgt de zesde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3a.

l)  Indien persoonsgegevens zijn bewaard in een niet-versleutelde vorm, krijgt de zesde rij van de derde kolom van de tabel in punt 1 het symbool in punt 3b.

5)  De referentiekleuren van de symbolen in punt 1 in Pantone zijn Black Pantone nr. 7547 en Red Pantone nr. 485. De referentiekleur van het symbool in punt 3a in Pantone is Green Pantone nr. 370. De referentiekleur van het symbool in punt 3b in Pantone is Red Pantone nr. 485.

6)  De verhoudingen in de volgende gegradueerde afbeelding moeten worden aangehouden, ook wanneer de tabel wordt verkleind of vergroot:

[Am. 207]

(1) PB C 229 van 31.7.2012, blz. 90. (2) Standpunt van het Europees Parlement van 12 maart 2014. (3) PB C 192 van 30 juni 2012, blz. 7. (4) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31). (5) Aanbeveling van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PB L 124 van 20.5.2003, blz. 36). (6) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1). (7) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt ("Richtlijn inzake elektronische handel") (PB L 178van 17.7.2000, blz. 1). (8) Richtlijn 93/13/EEG van de Raad van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten (PB L 95 van 21.4.1993, blz. 29). (9) Verordening (EG) nr. 1338/2008 van het Europees Parlement en de Raad van 16 december 2008 betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (PB L 354 van 31.12.2008, blz. 70). (10) Richtlijn 2009/38/EG van het Europees Parlement en de Raad van 6 mei 2009 inzake de instelling van een Europese ondernemingsraad of van een procedure in ondernemingen of concerns met een communautaire dimensie ter informatie en raadpleging van de werknemers (PB L 122 van 16.5.2009, blz. 28). (11) Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz.. 13). (12) Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201van 31.7.2002, blz. 37). (13) PB L 176 van 10.7.1999, blz. 36. (14) PB L 53 van 27.2.2008, blz. 52. (15) PB L 160 van 18.6.2011, blz. 21. (16) Richtlijn 2004/18/EG van het Europees Parlement en de Raad van 31 maart 2004 betreffende de coördinatie van de procedures voor het plaatsen van overheidsopdrachten voor werken, leveringen en diensten (PB L 134 van 30.4.2004, blz. 114). (17) Richtlijn 2004/17/EG van het Europees Parlement en de Raad van 31 maart 2004 houdende coördinatie van de procedures voor het plaatsen van opdrachten in de sectoren water- en energievoorziening, vervoer en postdiensten (PB L 134 van 30.4.2004, blz. 1). (18) Verordening (EG) nr. 1049/2001 van het Europees Parlement en de Raad van 30 mei 2001 inzake de toegang van het publiek tot documenten van het Europees Parlement, de Raad en de Commissie (PB L 145 van 31.5.2001, blz. 43). (19) Richtlijn 2001/20/EG van het Europees Parlement en de Raad van 4 april 2001 betreffende de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten inzake de toepassing van goede klinische praktijken bij de uitvoering van klinische proeven met geneesmiddelen voor menselijk gebruik (PB L 121van 1.5.2001, blz. 34). (20) Twee jaar na de inwerkingtreding van deze verordening.