Index 
 Vorige 
 Volgende 
 Volledige tekst 
Procedure : 2012/0010(COD)
Stadium plenaire behandeling
Documentencyclus : A7-0403/2013

Ingediende teksten :

A7-0403/2013

Debatten :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Stemmingen :

PV 12/03/2014 - 8.12
Stemverklaringen

Aangenomen teksten :

P7_TA(2014)0219

Aangenomen teksten
PDF 772kWORD 334k
Woensdag 12 maart 2014 - Straatsburg
Verwerking van persoonsgegevens met het oog op misdaadpreventie ***I
P7_TA(2014)0219A7-0403/2013
Resolutie
 Geconsolideerde tekst

Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Gewone wetgevingsprocedure: eerste lezing)

Het Europees Parlement,

–  gezien het voorstel van de Commissie aan het Europees Parlement en de Raad (COM(2012)0010),

–  gezien artikel 294, lid 2, en artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie, op grond waarvan het voorstel door de Commissie bij het Parlement is ingediend (C7-0024/2012),

–  gezien artikel 294, lid 3, van het Verdrag betreffende de werking van de Europese Unie,

–  gezien de gemotiveerde adviezen die in het kader van protocol nr. 2 betreffende de toepassing van de beginselen van subsidiariteit en evenredigheid zijn uitgebracht door de Duitse Bondsraad en de Zweedse Rijksdag, en waarin wordt gesteld dat het ontwerp van wetgevingshandeling niet strookt met het subsidiariteitsbeginsel,

–  gezien het advies van 7 maart 2012 van de Europese Toezichthouder voor gegevensbescherming(1),

–  gezien het advies van 1 oktober 2012 van het Bureau van de Europese Unie voor de grondrechten,

–  gezien artikel 55 van zijn Reglement,

–  gezien het verslag van de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken en het advies van de Commissie juridische zaken (A7-0403/2013),

1.  stelt onderstaand standpunt in eerste lezing vast;

2.  verzoekt om hernieuwde voorlegging aan het Parlement indien de Commissie voornemens is ingrijpende wijzigingen in dit voorstel aan te brengen of dit door een nieuwe tekst te vervangen;

3.  verzoekt zijn Voorzitter het standpunt van het Parlement te doen toekomen aan de Raad, de Commissie en de nationale parlementen.

(1) PB C 192 van 30.6.2012, blz. 7.


Standpunt van het Europees Parlement in eerste lezing vastgesteld op 12 maart 2014 met het oog op de vaststelling van Richtlijn 2014/.../EU van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens
P7_TC1-COD(2012)0010

HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16, lid 2,

Gezien het voorstel van de Europese Commissie,

Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,

Gezien het advies van de Europese Toezichthouder voor gegevensbescherming(1),

Handelend volgens de gewone wetgevingsprocedure(2),

Overwegende hetgeen volgt:

(1)  De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. Krachtens artikel 8, lid 1, van het Handvest van de grondrechten van de Europese Unie ("het Handvest") en artikel 16, lid 1, van het Verdrag betreffende de werking van de Europese Unie heeft eenieder het recht op bescherming van hun persoonsgegevens. Artikel 8, lid 2, van het Handvest bepaalt dat deze gegevens moeten worden verwerkt op een eerlijke wijze, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere rechtmatige en in de wet vastgelegde grondslag. [Am. 1]

(2)  De verwerking van persoonsgegevens staat ten dienste van de mens; de beginselen en voorschriften betreffende de bescherming van natuurlijke personen in verband met de verwerking van hun persoonsgegevens dienen, ongeacht de nationaliteit of de verblijfplaats van de betrokkenen, hun fundamentele rechten en vrijheden te eerbiedigen, en in het bijzonder hun recht op bescherming van hun persoonsgegevens. Hiermee dient te worden bijgedragen tot de totstandkoming van een gebied van vrijheid, veiligheid en recht.

(3)  Door snelle technologische ontwikkelingen en globalisering zijn nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is spectaculair gestegen. Door technologie kunnen bevoegde autoriteiten bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens.

(4)  Dit maakt het noodzakelijk Hiertoe moet, voor zover dat noodzakelijk en evenredig is, het vrije verkeer van gegevens tussen bevoegde autoriteiten binnen de Unie en de doorgifte naar derde landen en internationale organisaties te vergemakkelijken en daarbij vergemakkelijkt worden, waarbij een hoge mate van bescherming van persoonsgegevens te garanderen gegarandeerd wordt. Deze ontwikkelingen maken het noodzakelijk in de Unie een solide en coherenter kader voor de bescherming van persoonsgegevens tot stand te brengen, ondersteund met robuuste handhaving. [Am. 2]

(5)  Richtlijn 95/46/EG van het Europees Parlement en de Raad(3) is van toepassing op alle gegevensverwerkingsactiviteiten in de lidstaten, zowel bij de overheid als in de particuliere sector. Die richtlijn is echter niet van toepassing op de verwerking van persoonsgegevens “die met het oog op de uitoefening van niet binnen de werkingssfeer van het Gemeenschapsrecht vallende activiteiten geschiedt”, zoals in het kader van activiteiten op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(6)  Kaderbesluit 2008/977/JBZ van de Raad(4) is van toepassing op justitiële samenwerking in strafzaken en politiële samenwerking. Het toepassingsgebied van dat kaderbesluit is beperkt tot de verwerking van persoonsgegevens die worden doorgegeven of beschikbaar gesteld tussen lidstaten.

(7)  Het is voor een doeltreffende justitiële samenwerking in strafzaken en een doeltreffende politiële samenwerking van het allergrootste belang dat een consequent en hoog niveau van bescherming van de persoonsgegevens van natuurlijke personen wordt gewaarborgd en dat de uitwisseling van persoonsgegevens tussen de bevoegde autoriteiten van de lidstaten wordt vergemakkelijkt. Daartoe moet in alle lidstaten worden voorzien in een gelijkwaardig niveau van bescherming van de rechten en vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Er moet gezorgd worden voor een in de gehele Unie coherente en homogene toepassing van de regels inzake de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van persoonsgegevens. Doeltreffende bescherming van persoonsgegevens in de gehele Unie vereist versterking van de rechten van de betrokkenen en de verplichtingen van degenen die persoonsgegevens verwerken, maar ook gelijke bevoegdheden inzake toezicht en handhaving van de voorschriften inzake de bescherming van persoonsgegevens in de lidstaten. [Am. 3]

(8)  Overeenkomstig artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie dienen het Europees Parlement en de Raad de voorschriften vast te stellen betreffende de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens, alsmede de voorschriften betreffende het vrije verkeer van die hun gegevens. [Am. 4]

(9)  Op die basis worden bij Verordening (EU) nr. …/2014 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) algemene voorschriften vastgesteld om de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van persoonsgegevens in de Unie te waarborgen.

(10)  In Verklaring nr. 21 betreffende de bescherming van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en op het gebied van politiële samenwerking, gehecht aan de slotakte van de intergouvernementele conferentie die het Verdrag van Lissabon heeft aangenomen, erkende de conferentie dat, vanwege de specifieke aard van de politiële en justitiële samenwerking in strafzaken, op die gebieden specifieke voorschriften inzake de bescherming van persoonsgegevens en het vrije verkeer van die gegevens op basis van artikel 16 van het Verdrag betreffende de werking van de Europese Unie nodig zouden kunnen blijken.

(11)  In een afzonderlijke specifieke richtlijn dient derhalve rekening te worden gehouden met de specifieke aard van deze gebieden en dienen voorschriften te worden vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. [Am. 5]

(12)  Teneinde voor natuurlijke personen in de hele Unie eenzelfde beschermingsniveau te waarborgen door middel van wettelijk afdwingbare rechten en te voorkomen dat verschillen de uitwisseling van persoonsgegevens tussen bevoegde autoriteiten hinderen, dient de richtlijn te voorzien in geharmoniseerde voorschriften betreffende de bescherming en het vrije verkeer van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking.

(13)  Deze richtlijn biedt de mogelijkheid om bij de toepassing van de daarin vastgelegde voorschriften rekening te houden met het beginsel van het recht van toegang van het publiek tot officiële documenten.

(14)  De bescherming die door deze richtlijn wordt geboden, dient betrekking te hebben op natuurlijke personen, ongeacht hun nationaliteit of verblijfplaats, in verband met de verwerking van hun persoonsgegevens.

(15)  De bescherming van natuurlijke personen dient technologieneutraal te zijn en niet afhankelijk te zijn van de gebruikte technieken; anders zou een ernstig gevaar van ontduiking ontstaan. De bescherming van natuurlijke personen dient zowel te gelden bij geautomatiseerde verwerking van persoonsgegevens als bij niet-geautomatiseerde verwerking daarvan, indien de gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand. Dossiers of een verzameling dossiers, evenals de omslagen ervan, die niet volgens specifieke criteria gestructureerd zijn, dienen niet onder het toepassingsgebied van deze richtlijn te vallen. Deze richtlijn dient niet van toepassing te zijn op de verwerking van persoonsgegevens in het kader van activiteiten die buiten het toepassingsgebied van het Unierecht vallen, met name in verband met de nationale veiligheid, of op gegevens die worden verwerkt door instellingen, organen, bureaus en agentschappen van de Unie, zoals Europol of Eurojust. Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad(5), en specifieke juridische instrumenten die van toepassing zijn op agentschappen, organen of bureaus, dienen in overeenstemming te worden gebracht met deze richtlijn en in overeenstemming met deze richtlijn worden toegepast. [Am. 6]

(16)  De beschermingsbeginselen moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Om te bepalen of een natuurlijke persoon identificeerbaar is, dienen alle middelen in aanmerking te worden genomen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke of door een andere persoon worden gebruikt om de persoon te identificeren of te onderscheiden. De beschermingsbeginselen dienen niet van toepassing te zijn op gegevens die zodanig zijn geanonimiseerd dat de persoon op wie die gegevens betrekking hebben, niet meer identificeerbaar is. Deze richtlijn dient niet van toepassing te zijn op anonieme gegevens, dat wil zeggen gegevens die direct of indirect, alleen of in combinatie met bijbehorende gegevens niet in verband kunnen worden gebracht met een natuurlijke persoon. Gezien het belang van de actuele ontwikkelingen in de informatiemaatschappij inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van gegevens betreffende de verblijfplaats van natuurlijke personen, die voor verschillende doeleinden gebruikt kunnen worden, zoals toezicht of het creëren van profielen, moet deze richtlijn ook van toepassing zijn op verwerkingen die op deze persoonsgegevens betrekking hebben. [Am. 7]

(16 bis)  Elke verwerking van persoonsgegevens dient ten opzichte van de betrokkenen eerlijk, rechtmatig en transparant te geschieden. Met name dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en rechtmatig te zijn en te zijn vastgesteld bij het verzamelen van de persoonsgegevens. Deze persoonsgegevens dienen adequaat, ter zake dienend te zijn en beperkt te blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt. Dit betekent in het bijzonder dat de verzamelde gegevens en de periode gedurende welke de gegevens worden opgeslagen tot een strikt minimum moeten worden beperkt. Persoonsgegevens dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze kan worden verwezenlijkt. Alle redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Om ervoor te zorgen dat gegevens niet langer worden bewaard dan nodig is, dient de voor de verwerking verantwoordelijke termijnen vast te stellen voor het wissen van persoonsgegevens of voor een periodieke toetsing. [Am. 8]

(17)  Onder persoonsgegevens betreffende de gezondheid dienen met name alle gegevens te vallen die betrekking hebben op de gezondheidstoestand van de betrokkene, informatie over de registratie van de persoon voor de verlening van gezondheidsdiensten, informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot de persoon, een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die persoon voor gezondheidsdoeleinden geldt, informatie over een persoon die is verzameld bij de verlening van gezondheidszorg aan die persoon, informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van biologische monsters, de identificatie van een persoon als verstrekker van gezondheidszorg aan de betrokkene, of informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de feitelijke fysiologische of biomedische staat van de betrokkene, ongeacht de bron van die informatie, zoals een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnose.

(18)  Elke verwerking van persoonsgegevens dient ten aanzien van de betrokkenen eerlijk en rechtmatig te geschieden. In het bijzonder dienen de specifieke doeleinden waarvoor de gegevens worden verwerkt, uitdrukkelijk te worden vermeld. [Am. 9]

(19)  Met het oog op de voorkoming, het onderzoek en de vervolging van strafbare feiten is het noodzakelijk dat de bevoegde autoriteiten persoonsgegevens die zij in het kader van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten hebben verzameld, ook buiten dat kader bewaren en bewerken, teneinde een beeld te krijgen van criminele verschijnselen en trends, inlichtingen te verzamelen over georganiseerde criminele netwerken en verbanden te leggen tussen verschillende opgespoorde strafbare feiten. [Am. 10]

(20)  Persoonsgegevens dienen niet te worden verwerkt voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn verzameld. De persoonsgegevens dienen adequaat, ter zake dienend en niet excessief zijn in verhouding tot het doel waarvoor zij worden verwerkt. Alle redelijke maatregelen moeten worden genomen om te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. [Am. 11]

(20 bis)  Het feit alleen dat twee doeleinden beide betrekking hebben op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen heeft niet noodzakelijkerwijs tot gevolg dat zij met elkaar verenigbaar zijn. Er zijn echter gevallen waarin verdere verwerking voor onverenigbare doeleinden mogelijk moet zijn als deze noodzakelijk is om te voldoen aan een wettelijke verplichting waaraan de voor de verwerking verantwoordelijke is onderworpen, om de vitale belangen van de betrokkene of een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging van de openbare veiligheid af te wenden. De lidstaten moeten derhalve in staat zijn nationale wetten aan te nemen waarin dergelijke uitzonderingen worden geregeld, voor zover zulks strikt noodzakelijk is. Dergelijke nationaal recht moet passende waarborgen bevatten. [Am. 12]

(21)  Het beginsel van juistheid van de gegevens moet worden toegepast in het licht van de aard en het doel van de betreffende verwerking. In het bijzonder bij gerechtelijke procedures zijn verklaringen die persoonsgegevens bevatten, gebaseerd op de subjectieve perceptie van personen en in sommige gevallen niet geheel te verifiëren. Het vereiste van juistheid dient derhalve geen betrekking te hebben op de juistheid van een verklaring, maar alleen op het feit dat een specifieke verklaring is afgelegd.

(22)  Bij de interpretatie en de toepassing van de algemene beginselen betreffende de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, dient rekening te worden gehouden met de specifieke kenmerken van de sector, waaronder de specifiek nagestreefde doelen. [Am. 13]

(23)  De verwerking van persoonsgegevens op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking brengt met zich mee dat persoonsgegevens betreffende verschillende categorieën betrokkenen worden verwerkt. Daarom dient zo veel mogelijk een onderscheid te worden gemaakt tussen persoonsgegevens betreffende verschillende categorieën betrokkenen, zoals verdachten, personen die zijn veroordeeld wegens een strafbaar feit, slachtoffers en derden, zoals getuigen, personen die over relevante informatie beschikken of personen die contact hebben of banden onderhouden met verdachten en veroordeelde misdadigers. De lidstaten dienen specifieke voorschriften vast te stellen met betrekking tot de gevolgen van deze categorisering, waarbij zij rekening houden met de verschillende doeleinden waarvoor gegevens worden verzameld en waarbij zij voorzien in specifieke waarborgen voor personen die niet verdacht worden van, of niet veroordeeld zijn wegens een strafbaar feit. [Am. 14]

(24)  Voor zover mogelijk dienen persoonsgegevens te worden onderscheiden naar de mate van juistheid en betrouwbaarheid. Feiten dienen te worden onderscheiden van persoonlijke oordelen, zowel om personen te beschermen als om de kwaliteit en betrouwbaarheid van door de bevoegde autoriteiten verwerkte informatie te waarborgen.

(25)  Om rechtmatig te zijn dient de verwerking van persoonsgegevens enkel dan te worden toegestaan wanneer zij noodzakelijk is om aan een wettelijke verplichting voor de voor de verwerking verantwoordelijke te voldoen, voor het uitvoeren van een taak van algemeen belang door een bevoegde autoriteit overeenkomstig het wet, om de vitale belangen van de betrokkene of van een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden recht van de Unie of het recht van een lidstaat, dat uitdrukkelijk omschreven en gedetailleerde bepalingen moet omvatten, op zijn minst ten aanzien van de doelstellingen, de persoonsgegevens, de specifieke doeleinden en middelen op basis waarvan de voor de verwerking verantwoordelijke wordt of kan worden aangewezen en de te volgen procedures, het gebruik en de beperkingen van de werkingssfeer van bevoegdheden die aan de bevoegde autoriteiten worden toegekend met betrekking tot verwerkingsactiviteiten. [Am. 15]

(25 bis)  Persoonsgegevens dienen niet te worden verwerkt voor doeleinden die onverenigbaar zijn met het doel waarvoor zij zijn verzameld. Voor verdere verwerking door bevoegde autoriteiten voor doelen die binnen de werkingssfeer van deze richtlijn vallen en die niet verenigbaar zijn met het oorspronkelijke doel mag uitsluitend toestemming worden verleend in specifieke gevallen waarin een dergelijke verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke op grond van het recht van de Unie of het recht van een lidstaat, dan wel om de vitale belangen van de betrokkene of van een andere persoon te beschermen of om een onmiddellijke en ernstige bedreiging voor de openbare veiligheid af te wenden. Het feit dat gegevens worden verwerkt met het oog op rechtshandhaving betekent niet per definitie dat het betreffende doel verenigbaar is met het oorspronkelijke doel. Het concept van verenigbaar gebruik moet restrictief worden uitgelegd. [Am. 16]

(25 ter)  Persoonsgegevens die worden verwerkt in strijd met de overeenkomstig deze richtlijn vastgestelde nationale bepalingen, mogen niet verder worden verwerkt. [Am. 17]

(26)  Persoonsgegevens die door hun aard bijzonder gevoelig en kwetsbaar zijn uit het oogpunt van de grondrechten of de persoonlijke levenssfeer, waaronder genetische gegevens, verdienen specifieke bescherming. Dergelijke gegevens dienen niet te worden verwerkt, tenzij de verwerking uitdrukkelijk is toegestaan specifiek noodzakelijk is voor de vervulling van een taak van algemeen belang, op grond van het recht van de Unie of het recht van een lidstaat die in waarbij passende maatregelen voorziet om worden vastgesteld ter bescherming van de grondrechten en de gerechtvaardigde belangen van de betrokkene te beschermen, de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon, of de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt. Gevoelige persoonsgegevens dienen uitsluitend te worden verwerkt als zij andere persoonsgegevens aanvullen die reeds met het oog op rechtshandhaving zijn verwerkt. Elke uitzondering op het verbod van verwerking van gevoelige gegevens moet restrictief worden uitgelegd en mag niet leiden tot frequente, massale of structurele verwerking van gevoelige gegevens. [Am. 18]

(26 bis)  De verwerking van genetische gegevens dient slechts te zijn toegestaan als er in de loop van een strafrechtelijk onderzoek of een gerechtelijke procedure een genetische link blijkt te zijn. Genetische gegevens mogen uitsluitend zolang als strikt noodzakelijk is voor zulke onderzoeken of procedures worden bewaard, waarbij lidstaten de mogelijkheid hebben om een langere opslagduur toe te staan overeenkomstig de in deze richtlijn bepaalde voorwaarden. [Am. 19]

(27)  Iedere natuurlijke persoon dient het recht te hebben niet te worden onderworpen aan een maatregel die uitsluitend is gebaseerd op gedeeltelijke of volledige profilering door middel van geautomatiseerde verwerking is gebaseerd, indien die verwerking Een dergelijke verwerking die voor die persoon ongunstige rechtsgevolgen heeft of die wezenlijke consequenties voor hem heeft, moet worden verboden, tenzij de verwerking wettelijk is toegestaan en vergezeld gaat van passende maatregelen om de grondrechten en gerechtvaardigde belangen van de betrokkene te beschermen, waaronder het recht betekenisvolle informatie te krijgen over de bij de profilering gebruikte logica. Een dergelijke verwerking mag in geen geval bijzondere categorieën gegevens omvatten of genereren, of onderscheid maken op grond van dergelijke bijzondere categorieën gegevens. [Am. 20]

(28)  Informatie die bestemd is voor de betrokkene dient eenvoudig toegankelijk en begrijpelijk te zijn en in duidelijke en eenvoudige taal te worden gesteld, teneinde de betrokkene in staat te stellen zijn rechten te doen gelden. Deze informatie dient te worden aangepast aan de behoeften van de betrokkene, in het bijzonder indien de informatie specifiek voor kinderen bestemd is. [Am. 21]

(29)  Er dienen procedures te worden vastgesteld om de betrokkene in staat te stellen zijn rechten uit hoofde van deze richtlijn uit te oefenen, zoals mechanismen waarmee de betrokkene kan verzoeken om met name toegang tot gegevens, het wissen van gegevens en uitoefening van het recht van bezwaar, zonder dat daaraan kosten mogen worden verbonden. De voor de verwerking verantwoordelijke dient verplicht te zijn om zonder onnodige vertraging op verzoeken en binnen een maand na ontvangst van het verzoek van de betrokkene te reageren. Wanneer persoonsgegevens geautomatiseerd worden verwerkt, dient de voor de verwerking verantwoordelijke ook de middelen ter beschikking te stellen om verzoeken elektronisch in te dienen. [Am. 22]

(30)  Het beginsel van eerlijke en transparante verwerking vereist in dat de betrokkene met name wordt meegedeeld dat de verwerking plaatsvindt en met welk doel, op welke rechtsgrondslag, hoe lang de gegevens worden opgeslagen, dat hij het recht van toegang, rectificatie en uitwissing heeft en dat hij het recht heeft om een klacht in te dienen. Voorts dient de betrokkene te worden geïnformeerd wanneer van profilering gebruik wordt gemaakt en van de daarmee beoogde gevolgen. Indien de gegevens van de betrokkene moeten worden verkregen, dient hem of haar te worden meegedeeld of hij of zij verplicht is de gegevens te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens. [Am. 23]

(31)  De informatie over de verwerking van persoonsgegevens betreffende de betrokkene moet hem of haar worden meegedeeld bij het verzamelen van de gegevens of, indien de gegevens niet bij de betrokkene zijn verkregen, op het moment van registratie van de gegevens of binnen redelijke tijd na het verzamelen ervan, met inachtneming van de specifieke omstandigheden waarin de gegevens worden verwerkt.

(32)  Eenieder dient over het recht te beschikken om toegang te verkrijgen tot de gegevens die betreffende hem of haar zijn verzameld en dit recht eenvoudig te kunnen uitoefenen, zodat hij zich van de verwerking op de hoogte kan stellen en zich van de rechtmatigheid ervan kan vergewissen. Elke betrokkene dient er dan ook recht op te hebben, te weten en te worden meegedeeld voor welke doeleinden de gegevens met name worden verwerkt, wat de rechtsgrondslag is, hoe lang zij de gegevens worden bewaard, welke ontvangers de gegevens ontvangen, ook waar het ontvangers in derde landen betreft, begrijpelijke informatie over de logica die aan de geautomatiseerde gegevensverwerking ten grondslag ligt, in voorkomend geval, de belangrijke en de verwachte gevolgen daarvan, en het recht om een klacht in te dienen bij de toezichthoudende autoriteit en de contactgegevens van de toezichthoudende autoriteit te ontvangen. Betrokkenen dienen de mogelijkheid te hebben een kopie te ontvangen van de hen betreffende persoonsgegevens die worden verwerkt. [Am. 24]

(33)  De lidstaten dienen te beschikken over de mogelijkheid om wettelijke maatregelen vast te stellen om de informatieverstrekking aan de betrokkenen of de toegang tot hun persoonsgegevens uit te stellen, of te beperken of achterwege te laten, voor zover en zolang die gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen, om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen, om de openbare veiligheid of de nationale veiligheid te beschermen, of om de betrokkene of de rechten en vrijheden van anderen te beschermen. De voor de verwerking verantwoordelijke moet door middel van een concreet en individueel onderzoek van elk geval afzonderlijk beoordelen of een gedeeltelijke dan wel gehele beperking van het recht op toegang moet worden toegepast. [Am. 25]

(34)  Iedere weigering of beperking van de toegang dient schriftelijk aan de betrokkene te worden toegelicht, met vermelding van de feitelijke of juridische gronden die aan het besluit ten grondslag liggen.

(34 bis)  Elke beperking van de rechten van de betrokkene moet in overeenstemming zijn met het Handvest en met het Europees Verdrag tot bescherming van de rechten van de mens, zoals in de jurisprudentie van het Hof van Justitie van de Europese Unie en van het Europees Hof van de Rechten van de Mens wordt erkend, en met name de wezenlijke inhoud van rechten en vrijheden eerbiedigen. [Am. 26]

(35)  Wanneer de lidstaten wetgevingsmaatregelen hebben vastgesteld die het recht van toegang geheel of ten dele beperken, dient de betrokkene het recht te hebben om te verzoeken dat de bevoegde nationale toezichthoudende autoriteit de rechtmatigheid van de verwerking verifieert. De betrokkene moet over dit recht worden ingelicht. Indien de toezichthoudende autoriteit namens de betrokkene toegang krijgt, dient de toezichthoudende autoriteit de betrokkene ten minste mee te delen dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en hem in te lichten over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft. De toezichthoudende autoriteit moet de betrokkene tevens informeren over zijn recht om een beroep in rechte in te stellen. [Am. 27]

(36)  Eenieder dient het recht te hebben onjuiste of onrechtmatig verwerkte persoonsgegevens over zichzelf te laten rectificeren en deze te laten wissen, indien de verwerking van dergelijke gegevens niet in overeenstemming is met de in deze richtlijn opgenomen hoofdbeginselen bepalingen. Een dergelijke rectificatie, aanvulling of wissing dienen te worden meegedeeld aan de ontvangers aan wie de gegevens bekend zijn gemaakt en aan derden van wie de onjuiste data afkomstig waren. De voor de verwerking verantwoordelijke dient er tevens voor te zorgen dat verdere verspreiding van dergelijke gegevens achterwege blijft. Indien de persoonsgegevens worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, mag het recht van rectificatie, informatie, toegang en wissing worden uitgeoefend en de beperking van de verwerking worden verricht overeenkomstig het nationale strafprocesrecht. [Am. 28]

(37)  Er dient te worden voorzien in de algehele verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke voor elke verwerking van persoonsgegevens door of namens de voor de verwerking verantwoordelijke. Met name dient de voor de verwerking verantwoordelijke erop toe te zien en ertoe verplicht te worden om aan te kunnen tonen dat de elke verwerking geschiedt overeenkomstig de krachtens deze richtlijn vastgestelde voorschriften. [Am. 29]

(38)  De bescherming van de rechten en vrijheden van de betrokkenen in verband met de verwerking van persoonsgegevens vereist passende technische en organisatorische maatregelen om te waarborgen dat aan de vereisten van de richtlijn wordt voldaan. Teneinde toe te zien op de naleving van de krachtens deze richtlijn vastgestelde bepalingen dient de voor de verwerking verantwoordelijke beleid vast te stellen en passende maatregelen te treffen, die in het bijzonder in overeenstemming zijn met de beginselen van privacy by design en privacy by default.

(39)  Het is voor de bescherming van de rechten en vrijheden van betrokkenen en de verantwoordelijkheid en aansprakelijkheid van voor de verwerking verantwoordelijken en verwerkers noodzakelijk dat de bij deze richtlijn vastgestelde verantwoordelijkheden op duidelijke wijze worden toegekend, ook wanneer de voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking samen met andere voor de verwerking verantwoordelijken vaststelt, of wanneer een verwerking wordt uitgevoerd namens een voor de verwerking verantwoordelijke. De betrokkene dient het recht te hebben om zijn of haar rechten uit hoofde van deze richtlijn uit te oefenen met betrekking tot en jegens ieder van de gezamenlijk voor de verwerking verantwoordelijken. [Am. 30]

(40)  Verwerkingsactiviteiten dienen door de voor de verwerking verantwoordelijke of de verwerker te worden gedocumenteerd, zodat toezicht kan worden uitgeoefend op de naleving van deze richtlijn. Elke voor de verwerking verantwoordelijke en elke verwerker moet ertoe worden verplicht medewerking te verlenen aan de toezichthoudende autoriteit en deze documentatie op verzoek te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

(40 bis)  Elke verwerking van persoonsgegevens moet worden geregistreerd om te kunnen verifiëren of de verwerking van gegevens rechtmatig is, interne controle uit te oefenen en de integriteit en de beveiliging van de gegevens te waarborgen. Dit dossier moet op verzoek beschikbaar worden gesteld aan de toezichthoudende autoriteit zodat deze kan nagaan of de in deze richtlijn neergelegde voorschriften zijn nageleefd. [Am. 31]

(40 ter)  Indien verwerkingsactiviteiten op grond van hun aard, hun reikwijdte of hun doel waarschijnlijk specifieke risico's voor de rechten en vrijheden van betrokkenen met zich meebrengen, dient de voor de verwerking verantwoordelijke of verwerker een privacyeffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de geplande maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan. Effectbeoordelingen moeten betrekking hebben op relevante systemen en procedures van verwerkingactiviteiten van persoonsgegevens, maar niet op individuele gevallen. [Am. 32]

(41)  Teneinde de rechten en vrijheden van betrokkenen doeltreffend te beschermen door middel van preventieve maatregelen, dient de voor de verwerking verantwoordelijke of de verwerker in bepaalde gevallen vóór de verwerking plaatsvindt overleg te plegen met de toezichthoudende autoriteit. Indien bovendien uit een privacyeffectbeoordeling blijkt dat verwerkingsactiviteiten waarschijnlijk aanzienlijke specifieke risico's voor de rechten en vrijheden van betrokkenen met zich meebrengen, moet de toezichthoudende autoriteit de mogelijkheid hebben om voor aanvang van die verwerkingsactiviteiten te voorkomen dat een risicovolle verwerking die niet in overeenstemming is met deze richtlijn wordt uitgevoerd en om voorstellen te doen om dergelijke situaties te verbeteren. Een dergelijke raadpleging kan ook worden uitgevoerd in het kader van de voorbereiding van een door het nationale parlement aan te nemen maatregel of een maatregel die gebaseerd is op een dergelijke wettelijke maatregel, waarin de aard van de verwerking is omschreven en passende waarborgen zijn opgenomen. [Am. 33]

(41 bis)  Teneinde de veiligheid te waarborgen en te voorkomen dat verwerking plaatsvindt die strijdig is met deze richtlijn, dient de voor de verwerking verantwoordelijke of de verwerker de risico's die de verwerking meebrengt te beoordelen en maatregelen te treffen om deze risico's te beperken. Deze maatregelen dienen een passend niveau van veiligheid te waarborgen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging enerzijds en de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen anderzijds. Bij het vaststellen van technische normen en organisatorische maatregelen voor de veiligheid van de verwerking dient technologische neutraliteit te worden bevorderd. [Am. 34]

(42)  Een inbreuk in verband met persoonsgegevens kan, wanneer deze niet tijdig en op toereikende wijze wordt aangepakt, voor de betrokken persoon aanzienlijk economisch verlies en maatschappelijke schade, inclusief reputatieschade identiteitsfraude, tot gevolg hebben. Zodra een voor de verwerking verantwoordelijke weet dat een dergelijke inbreuk heeft plaatsgevonden, dient hij daarom de bevoegde nationale autoriteit daarvan op de hoogte te stellen. De personen van wie de persoonsgegevens of de persoonlijke levenssfeer als gevolg van de inbreuk negatieve gevolgen kunnen ondervinden, moeten daarvan zonder onnodige vertraging in kennis worden gesteld, zodat zij de nodige voorzorgsmaatregelen kunnen treffen. Een inbreuk moet worden geacht negatieve gevolgen te hebben voor iemand persoonsgegevens of persoonlijke levenssfeer, wanneer die inbreuk kan leiden tot bijvoorbeeld identiteitsdiefstal of ‑fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie in samenhang met de verwerking van persoonsgegevens. De kennisgeving moet informatie bevatten over de door de aanbieder getroffen maatregelen om de inbreuk aan te pakken, evenals aanbevelingen voor de betrokken abonnee of persoon. Kennisgevingen aan betrokkenen moeten zo spoedig mogelijk, in nauwe samenwerking met de toezichthoudende autoriteit en in overeenstemming met de door haar verstrekte richtsnoeren worden gedaan. [Am. 35]

(43)  Bij de vaststelling van gedetailleerde voorschriften betreffende het formaat en de procedures voor de melding van inbreuken in verband met de persoonsgegevens moet de nodige aandacht worden besteed aan de omstandigheden van de inbreuk, onder meer aan de vraag of de persoonsgegevens al dan niet met behulp van adequate technische beschermingsmaatregelen waren beschermd zodat de waarschijnlijkheid van misbruik in de praktijk was beperkt. Bovendien moet bij dergelijke voorschriften en procedures rekening worden gehouden met de gerechtvaardigde belangen van de bevoegde autoriteiten in gevallen waarin vroegtijdige melding van incidenten nodeloos het onderzoek naar de omstandigheden van een inbreuk zou kunnen hinderen.

(44)  De voor de verwerking verantwoordelijke of de verwerker dient een persoon aan te wijzen die de voor de verwerking verantwoordelijke of de verwerker bijstaat bij het toezicht op en het aantonen van de naleving van de bepalingen die krachtens deze richtlijn zijn vastgesteld. Er kan door verschillende entiteiten Wanneer verscheidene bevoegde autoriteiten handelen onder toezicht van een bevoegde centrale autoriteit gezamenlijk , dient in ieder geval deze centrale autoriteit een functionaris voor gegevensbescherming worden benoemd gegevensverwerking te benoemen. De functionarissen voor gegevensbescherming dienen in staat te zijn hun taken en verplichtingen onafhankelijk en doeltreffend uit te voeren, met name door vaststelling van voorschriften die belangenconflicten met andere taken van functionarissen voor gegevensbescherming voorkomen. [Am. 36]

(45)  De lidstaten moeten erop toezien dat doorgifte naar derde landen slechts plaatsvindt indien die specifieke doorgifte dit noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, en dat de voor de verwerking verantwoordelijke in het derde land of de internationale organisatie een autoriteit overheidsinstantie is die bevoegd is in de zin van deze richtlijn. Een doorgifte kan plaatsvinden in gevallen waarin de Commissie heeft besloten dat het betrokken derde land of de betrokken internationale organisatie een passend beschermingsniveau waarborgt, of in gevallen waarin passende waarborgen worden geboden, of indien door een juridisch bindend instrument passende garanties worden geboden. Gegevens die aan bevoegde overheidsinstanties in derde landen worden doorgegeven mogen niet verder worden verwerkt voor andere doeleinden dan die waarvoor zij zijn doorgegeven. [Am. 37]

(45 bis)  Verdere doorgiften door bevoegde autoriteiten of internationale organisaties waarnaar persoonsgegevens zijn doorgegeven, dienen alleen te worden toegestaan indien de verdere doorgifte noodzakelijk is voor dezelfde specifieke doeleinden als de oorspronkelijke doorgifte en ook de tweede ontvanger een bevoegde overheidsinstantie is. Verdere doorgiften met het oog op de algemene wetshandhaving dienen niet te zijn toegestaan. De bevoegde autoriteit die de oorspronkelijke doorgifte heeft uitgevoerd dient akkoord te zijn gegaan met de verdere doorgifte. [Am. 38]

(46)  De Commissie kan besluiten, met rechtskracht voor de gehele Unie, dat bepaalde derde landen, of een gebied of een verwerkingssector in een derde land, of een internationale organisatie een passend niveau van bescherming van persoonsgegevens bieden, en daarmee in de gehele Unie rechtszekerheid en eenvormigheid verschaffen ten aanzien van derde landen of internationale organisaties die geacht worden een dergelijk beschermingsniveau te bieden. In zulke gevallen mogen persoonsgegevens naar de betrokken landen worden doorgegeven zonder dat verdere toestemming noodzakelijk is.

(47)  Overeenkomstig de fundamentele waarden waarop de Unie is gegrondvest, in het bijzonder de bescherming van de mensenrechten, dient de Commissie in aanmerking te nemen in welke mate de rechtsstaat, de toegang tot de rechter en de internationale mensenrechtennormen in het derde land worden geëerbiedigd.

(48)  De Commissie moet tevens kunnen besluiten dat een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt. In een dergelijk geval dient de doorgifte van persoonsgegevens naar dat derde land te worden verboden, tenzij die doorgifte geschiedt op grond van een internationale overeenkomst, passende waarborgen of een uitzonderingsbepaling. Er dient te worden voorzien in procedures voor overleg tussen de Commissie en de betrokken derde landen of internationale organisaties. Het desbetreffende besluit van de Commissie mag echter geen afbreuk doen aan de mogelijkheid om gegevens door te geven op grond van passende waarborgen door middel van juridisch bindende instrumenten of een in de richtlijn neergelegde uitzonderingsbepaling. [Am. 39]

(49)  Doorgiften die niet plaatsvinden op grond van een besluit waarbij het beschermingsniveau passend wordt verklaard, dienen slechts te zijn toegestaan indien in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens worden geboden, of indien de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de gegevensdoorgifte of het geheel van gegevensdoorgiften heeft beoordeeld en op basis van die beoordeling van oordeel is dat passende garanties voor de bescherming van persoonsgegevens worden geboden. In gevallen waarin er geen gronden zijn om een gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn toegestaan om een vitaal belang van de betrokkene of een andere persoon te beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen, indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen. [Am. 40]

(49 bis)  In gevallen waarin er geen gronden zijn om een gegevensdoorgifte toe te laten, moeten indien nodig uitzonderingen zijn toegestaan om een vitaal belang van de betrokkene of een andere persoon te beschermen of om gerechtvaardigde belangen van de betrokkene te beschermen, indien het recht van de lidstaat vanuit welke de doorgifte plaatsvindt aldus bepaalt, of indien de doorgifte van wezenlijk belang is om een onmiddellijke en ernstige bedreiging van de openbare veiligheid van een lidstaat of een derde land te voorkomen, of, in afzonderlijke gevallen, met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, of, in afzonderlijke gevallen, voor de vaststelling, de uitoefening of de verdediging van rechtsvorderingen. Deze uitzonderingen moeten restrictief worden uitgelegd en mogen geen frequente, massale en structurele doorgifte van persoonsgegevens mogelijk maken en evenmin een grootschalige doorgifte van gegevens, maar moeten tot de strikt noodzakelijke gegevens beperkt blijven. Het besluit tot doorgifte moet bovendien door een naar behoren bevoegde persoon worden vastgesteld en die doorgifte moet worden gedocumenteerd en op verzoek beschikbaar worden gesteld aan de toezichthoudende autoriteit, zodat deze de rechtmatigheid van de doorgifte kan beoordelen. [Am. 41]

(50)  Bij grensoverschrijdend verkeer van persoonsgegevens kan het voor personen moeilijker worden om hun gegevensbeschermingsrechten uit te oefenen teneinde zich te beschermen tegen onrechtmatig gebruik of onrechtmatige verstrekking van die gegevens. Bovendien kan het voor toezichthoudende autoriteiten onmogelijk worden om klachten te behandelen of onderzoek te verrichten met betrekking tot activiteiten in het buitenland. Daarnaast kunnen hun mogelijkheden tot grensoverschrijdende samenwerking worden belemmerd door ontoereikende preventieve of corrigerende bevoegdheden of inconsistente rechtskaders. Nauwere samenwerking tussen de toezichthoudende autoriteiten op het gebied van gegevensbescherming dient daarom te worden bevorderd met het oog op de uitwisseling van informatie met dergelijke instanties in het buitenland.

(51)  Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat een toezichthoudende autoriteiten wordt ingesteld die haar taken volstrekt onafhankelijk uitvoert. De toezichthoudende autoriteiten dienen toezicht te houden op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en bij te dragen tot de consequente toepassing daarvan in de gehele Unie, teneinde natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens. Daartoe dienen de toezichthoudende autoriteiten met elkaar en met de Commissie samen te werken. [Am. 42]

(52)  De lidstaten kunnen een toezichthoudende autoriteit die reeds krachtens Verordening (EU) nr. …/2014 is ingesteld, belasten met de taken die de krachtens deze richtlijn in te stellen nationale toezichthoudende autoriteiten moeten uitvoeren.

(53)  De lidstaten dienen de mogelijkheid te hebben om in overeenstemming met hun constitutionele, organisatorische en bestuurlijke structuur meer dan één toezichthoudende autoriteit in te stellen. Iedere toezichthoudende autoriteit dient te beschikken over passende financiële en personele middelen en de huisvesting en infrastructuur, waaronder technische mogelijkheden, ervaring en vaardigheden, die noodzakelijk zijn om haar taken, waaronder die in het kader van wederzijdse bijstand en samenwerking met andere toezichthoudende autoriteiten in de Unie, effectief uit te voeren. [Am. 43]

(54)  De algemene voorwaarden voor de leden van de toezichthoudende autoriteit dienen in elke lidstaat bij wet te worden vastgesteld en dienen met name te bepalen dat die leden hetzij door het parlement, hetzij door de regering van de lidstaat op basis van raadpleging van het parlement worden benoemd, en voorschriften te bevatten inzake de persoonlijke kwalificaties van de leden en de positie van de leden. [Am. 44]

(55)  Hoewel deze richtlijn ook van toepassing is op de activiteiten van nationale gerechtelijke instanties, dient de bevoegdheid van de toezichthoudende autoriteiten zich niet uit te strekken tot de verwerking van persoonsgegevens door die instanties in het kader van hun rechtelijke taken, zulks om de onafhankelijkheid van de rechter bij de uitvoering van gerechtelijke taken in stand te houden. Deze uitzondering dient echter beperkt te blijven tot daadwerkelijke gerechtelijke activiteiten in het kader van rechtszaken en niet te gelden voor andere activiteiten die rechters overeenkomstig het nationale recht verrichten.

(56)  Met het oog op een consequent toezicht en de eenvormige handhaving van deze richtlijn in de gehele Unie dienen de toezichthoudende autoriteiten in alle lidstaten dezelfde taken en effectieve bevoegdheden te hebben, waaronder de effectieve bevoegdheid om onderzoek te verrichten, de bevoegdheid om alle persoonsgegevens en alle informatie die nodig zijn voor het uitvoeren van hun toezichthoudende taken in te zien, de bevoegdheid om de gebouwen van de voor de verwerking verantwoordelijke of van de verwerker te betreden met inbegrip van de verwerkingsapparatuur, en juridisch bindend op te treden, besluiten te nemen en sancties op te leggen, in het bijzonder bij klachten van personen, alsook de bevoegdheid om in rechte op te treden. [Am. 45]

(57)  Iedere toezichthoudende autoriteit dient kennis te nemen van klachten die door een betrokkene zijn ingediend en de zaak te onderzoeken. Het onderzoek dat naar aanleiding van een klacht wordt uitgevoerd, gaat niet verder dan in het specifieke geval passend is en kan worden onderworpen aan rechterlijke toetsing. De toezichthoudende autoriteit dient de betrokkene binnen een redelijke termijn in kennis te stellen van de voortgang van de behandeling en het resultaat van de klacht. Indien de zaak verder onderzoek of coördinatie met een andere toezichthoudende autoriteit vereist, dient de betrokkene tussentijdse informatie te worden verstrekt.

(58)  De toezichthoudende autoriteiten dienen elkaar wederzijdse bijstand te verlenen bij de uitvoering van hun taken met het oog op de consequente toepassing en handhaving van de krachtens deze richtlijn vastgestelde bepalingen. Iedere toezichthoudende autoriteit moet bereid zijn deel te nemen aan gezamenlijke operaties. Iedere aangezochte toezichthoudende autoriteit dient verplicht te zijn binnen een vastgestelde termijn op het verzoek te reageren. [Am. 46]

(59)  Het bij Verordening (EU) nr. …/2012 2014 ingestelde Europees Comité voor gegevensbescherming dient bij te dragen tot de consequente toepassing van deze richtlijn in de Unie, onder meer door de Commissie instellingen van de Unie advies te verlenen en de samenwerking tussen de toezichthoudende autoriteiten in de Unie te bevorderen, en aan de Commissie advies uit te brengen ten behoeve van de voorbereiding van gedelegeerde en uitvoeringshandelingen uit hoofde van deze richtlijn. [Am. 47]

(60)  Iedere betrokkene dient het recht te hebben om een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat en een beroep in rechte in te stellen, indien hij meent dat inbreuk is gemaakt op zijn rechten uit hoofde van deze richtlijn of indien de toezichthoudende autoriteit niet optreedt naar aanleiding van een klacht of indien deze niet optreedt wanneer zulk optreden noodzakelijk is ter bescherming van de rechten van de betrokkene.

(61)  Alle organen, organisaties of verenigingen die handelen in het algemeen belang en die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben en die volgens het recht van een lidstaat zijn opgericht, dienen het recht te hebben om een klacht in te dienen of namens betrokkenen door wie zij naar behoren zijn gemachtigd een recht op beroep in rechte uit te oefenen, en om onafhankelijk van een klacht van een betrokkene zelf een klacht in te dienen indien zij menen dat zich een inbreuk in verband met persoonsgegevens heeft voorgedaan. [Am. 48]

(62)  Iedere natuurlijke persoon of rechtspersoon dient het recht te hebben om tegen hem betreffende besluiten van een toezichthoudende autoriteit een beroep in rechte in te stellen. Een vordering tegen een toezichthoudende autoriteit moet worden ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

(63)  Willen gerechtelijke procedures effectief zijn, dan dienen de lidstaten erop toe te zien dat daarbij snel maatregelen kunnen worden getroffen om inbreuken op deze richtlijn ongedaan te maken of te voorkomen.

(64)  De schade, waaronder immateriële schade, die betrokkenen ten gevolge van een onrechtmatige verwerking kunnen lijden, moet worden vergoed door de voor de verwerking verantwoordelijke of de verwerker, die van zijn aansprakelijkheid kan worden vrijgesteld indien hij bewijst dat het schade veroorzakende feit hem niet kan worden toegerekend, wat met name het geval is wanneer hij aantoont dat er sprake is van een fout van de betrokkene of van overmacht. [Am. 49]

(65)  Er moet worden voorzien in sancties jegens alle natuurlijke personen of rechtspersonen, ongeacht of deze onder het publiekrecht dan wel onder het privaatrecht vallen, die deze richtlijn niet naleven. De lidstaten dienen erop toe te zien dat de sancties doeltreffend, evenredig en afschrikkend zijn en alle maatregelen te nemen om de sancties ten uitvoer te leggen.

(65 bis)  De doorgifte van persoonsgegevens naar andere autoriteiten of particuliere instanties is verboden, tenzij de doorgifte in overeenstemming is met het recht, en de ontvanger in een lidstaat gevestigd is, en er geen specifieke belangen van de betrokkene zijn die de doorgifte verhinderen, en de doorgifte in een specifiek geval voor de voor de verwerking verantwoordelijke noodzakelijk is om een rechtmatig toegewezen taak uit te voeren of om een onmiddellijke en ernstige bedreiging van de openbare veiligheid af te wenden, dan wel om te voorkomen dat de rechten van personen ernstig worden geschonden. De voor de verwerking verantwoordelijke moet de ontvanger inlichten over het doel van de verwerking en hij moet de toezichthoudende autoriteit informeren over de doorgifte. De ontvanger moet tevens geïnformeerd worden over beperkingen voor de verwerking en ervoor zorgen dat deze in acht worden genomen. [Am. 50]

(66)  Met het oog op de verwezenlijking van de doelstellingen van deze richtlijn, namelijk het beschermen van de grondrechten en fundamentele vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, dient aan de Commissie de bevoegdheid te worden overgedragen om overeenkomstig artikel 290 van het Verdrag betreffende de werking van de Europese Unie handelingen vast te stellen. In het bijzonder dient de mogelijkheid te bestaan om moeten gedelegeerde handelingen vast te stellen met betrekking tot de melding van inbreuken worden vastgesteld met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen waarvoor een privacyeffectbeoordeling vereist is; de criteria en vereisten om een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit vast te stellen en met betrekking tot het passende beschermingsniveau van persoonsgegevens dat een derde land, dan wel een gebied of een verwerkende sector binnen dat derde land, of een internationale organisatie, biedt. Het is van bijzonder belang dat de Commissie bij haar voorbereidende werkzaamheden tot passende raadpleging overgaat, onder meer op deskundigenniveau en in het bijzonder van het Europees Comité voor gegevensbescherming. De Commissie moet er bij de voorbereiding en opstelling van de gedelegeerde handelingen ervoor zorgen dat de desbetreffende documenten tijdig en op gepaste wijze gelijktijdig worden toegezonden aan het Europees Parlement en aan de Raad. [Am. 51]

(67)  Om eenvormige voorwaarden voor de uitvoering van deze richtlijn te waarborgen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, met name wat versleutelingsnormen betreft, en de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moeten aan de Commissie uitvoeringsbevoegdheden worden toegekend. Die Deze bevoegdheden moeten worden uitgeoefend in overeenstemming met Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren(6). [Am. 52]

(68)  Voor de vaststelling van maatregelen ten aanzien van de documentering door voor de verwerking verantwoordelijken en verwerkers, de beveiliging van de gegevensverwerking, en de melding van inbreuken in verband met persoonsgegevens aan de toezichthoudende autoriteit, en het passend beschermingsniveau dat geboden wordt door een derde land, een gebied of verwerkingssector binnen een derde land, of een internationale organisatie, moet de onderzoeksprocedure worden toegepast, aangezien dit handelingen van algemene strekking zijn. [Am. 53]

(69)  Wanneer een derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau waarborgt, moet de Commissie in naar behoren gerechtvaardige gevallen onmiddellijk toepasselijke uitvoeringshandelingen vaststellen, wanneer dwingende urgente redenen dat vereisen. [Am. 54]

(70)  Daar de doelstellingen van deze richtlijn, namelijk het beschermen van de fundamentele rechten en vrijheden van natuurlijke personen, in het bijzonder hun recht op de bescherming van hun persoonsgegevens, en het waarborgen van het vrije verkeer van persoonsgegevens tussen de bevoegde autoriteiten in de Unie, niet voldoende door de lidstaten kunnen worden verwezenlijkt en derhalve, gezien maar vanwege de omvang en de gevolgen van de maatregelen, beter door de Unie kunnen worden verwezenlijkt, kan de Unie, overeenkomstig het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel, maatregelen nemen. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat deze richtlijn niet verder dan wat nodig is om dit doel deze doelstellingen te verwezenlijken. De lidstaten kunnen voorzien in strengere normen dan die welke in deze richtlijn zijn vastgesteld. [Am. 55]

(71)  Kaderbesluit 2008/977/JBZ dient bij deze richtlijn te worden ingetrokken.

(72)  Specifieke bepalingen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn opgenomen in handelingen van de Unie die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, dienen ongewijzigd te blijven. Gezien het feit dat artikel 8 van het Handvest van de grondrechten en artikel 16 VWEU bepalen dat het grondrecht op bescherming van persoonsgegevens op een consistente en uniforme wijze in de EU moet worden gewaarborgd, dient de Commissie dient binnen twee jaar na de inwerkingtreding van deze richtlijn na te gaan wat het verband is tussen deze richtlijn en handelingen die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen regelen, teneinde de noodzaak van aanpassing van die specifieke bepalingen aan deze richtlijn te beoordelen, en dient zij passende voorstellen in te dienen om te zorgen voor consistente en homogene voorschriften voor de verwerking van persoonsgegevens door bevoegde autoriteiten of voor de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte informatiesystemen, evenals voor de verwerking van persoonsgegevens door de instellingen, organen, bureaus en agentschappen van de Unie met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties binnen de werkingssfeer van deze richtlijn. [Am. 56]

(73)  Teneinde de algehele en samenhangende bescherming van persoonsgegevens in de Unie te waarborgen, dienen internationale overeenkomsten die de Unie of de lidstaten voor de inwerkintreding van deze richtlijn hebben gesloten, te worden gewijzigd in overeenstemming met deze richtlijn. [Am. 57]

(74)  Deze richtlijn laat de voorschriften ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, zoals opgenomen in Richtlijn 2011/93/EU van het Europees Parlement en de Raad(7), onverlet.

(75)  Overeenkomstig artikel 6 bis van Protocol nr. 21 betreffende de positie van het Verenigd Koninkrijk en Ierland ten aanzien van de ruimte van vrijheid, veiligheid en recht, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn het Verenigd Koninkrijk en Ierland niet gebonden door de in deze richtlijn vastgestelde voorschriften, wanneer het Verenigd Koninkrijk en Ierland niet gebonden zijn door de regels van de Unie betreffende de vormen van justitiële samenwerking in strafzaken of van politiële samenwerking in het kader waarvan de op grond van artikel 16 van het Verdrag betreffende de werking van de Europese Unie vastgestelde bepalingen moeten worden nageleefd.

(76)  Overeenkomstig de artikelen 2 en 2 bis van Protocol nr. 22 betreffende de positie van Denemarken, dat gehecht is aan het Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie, zijn de bepalingen van deze richtlijn niet bindend voor, noch van toepassing in Denemarken. Aangezien deze richtlijn een uitwerking inhoudt van het Schengenacquis overeenkomstig titel V van het derde deel van het Verdrag betreffende de werking van de Europese Unie, beslist Denemarken overeenkomstig artikel 4 van dat Protocol binnen zes maanden na de vaststelling van een maatregel of het deze maatregel in zijn nationale wetgeving zal omzetten. [Am. 58]

(77)  Wat Noorwegen en IJsland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin van de Overeenkomst tussen de Raad van de Europese Unie, de Republiek IJsland en het Koninkrijk Noorwegen inzake de wijze waarop laatstgenoemden worden betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(8).

(78)  Wat Zwitserland betreft, vormt deze richtlijn een ontwikkeling van de bepalingen van het Schengenacquis in de zin de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(9).

(79)  Wat Liechtenstein betreft, vormt deze verordening een ontwikkeling van de bepalingen van het Schengenacquis als bedoeld in het Protocol tussen de Europese Unie, de Europese Gemeenschap, de Zwitserse Bondsstaat en het Vorstendom Liechtenstein betreffende de toetreding van het Vorstendom Liechtenstein tot de Overeenkomst tussen de Europese Unie, de Europese Gemeenschap en de Zwitserse Bondsstaat inzake de wijze waarop Zwitserland wordt betrokken bij de uitvoering, de toepassing en de ontwikkeling van het Schengenacquis(10).

(80)  Deze richtlijn eerbiedigt de grondrechten en neemt de beginselen in acht die erkend zijn in het Handvest, zoals verankerd in het Verdrag, met name het recht op eerbiediging van het privéleven en het familie- en gezinsleven, het recht op bescherming van persoonsgegevens en het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht. De beperkingen op de uitoefening van deze rechten zijn in overeenstemming met artikel 52, lid 1, van het Handvest, omdat zij noodzakelijk zijn om te beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen.

(81)  Overeenkomstig de gezamenlijke politieke verklaring van de lidstaten en de Commissie van 28 september 2011 over toelichtende stukken(11) hebben de lidstaten zich ertoe verbonden om in gerechtvaardigde gevallen de kennisgeving van omzettingsmaatregelen vergezeld te doen gaan van één of meer stukken waarin het verband tussen de onderdelen van een richtlijn en de overeenkomstige delen van de nationale omzettingsinstrumenten wordt toegelicht. Ten aanzien van deze richtlijn acht de wetgever de toezending van dergelijke toelichtende documenten verantwoord.

(82)  Deze richtlijn dient de lidstaten niet te beletten om bepalingen betreffende de uitoefening van de rechten van betrokkenen inzake informatie, toegang, rectificatie, uitwissing en beperking van hun persoonsgegevens die worden verwerkt in het kader van strafrechtelijke procedures, alsmede eventuele beperkingen daarop, in het nationale strafprocesrecht op te nemen,

HEBBEN DE VOLGENDE RICHTLIJN VASTGESTELD:

HOOFDSTUK I

ALGEMENE BEPALINGEN

Artikel 1

Onderwerp en doelstellingen

1.  Bij deze richtlijn worden bepalingen vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of en de tenuitvoerlegging van straffen, en bepalingen ten aanzien van het vrije verkeer van die persoonsgegevens.

2.  Overeenkomstig deze richtlijn hebben de lidstaten de verplichting:

a)  de grondrechten en fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van hun persoonsgegevens en van hun persoonlijke levenssfeer te beschermen; alsmede

b)  erop toe te zien dat de uitwisseling van persoonsgegevens binnen de Unie door bevoegde autoriteiten niet wordt beperkt of verboden om redenen die betrekking hebben op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

2 bis.  Deze richtlijn belet de lidstaten niet om uitgebreidere waarborgen te bieden dan die waarin deze richtlijn voorziet.[Am. 59]

Artikel 2

Toepassingsgebied

1.  Deze richtlijn is van toepassing op de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de in artikel 1, lid 1, bedoelde doeleinden.

2.  Deze richtlijn is van toepassing op de geheel of gedeeltelijk geautomatiseerde, alsmede op de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

3.  Deze richtlijn is niet van toepassing op de verwerking van persoonsgegevens:

a)  in het kader van activiteiten die buiten de werkingssfeer van het EU-recht vallen, met name activiteiten op het gebied van de nationale veiligheid;

b)  door instellingen, organen en instanties van de Unie. [Am. 60]

Artikel 3

Definities

Voor de toepassing van deze richtlijn wordt verstaan onder:

(1)  “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan redelijkerwijs te verwachten is dat zij door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke persoon of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer elementen die kenmerkend zijn voor zijn lichamelijke, fysiologische, genetische, geestelijke, economische, culturele of sociale identiteit;

(2)  “persoonsgegevens”: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, in het bijzonder aan de hand van een identificatiemiddel, zoals een naam, een identificatienummer, gegevens over de verblijfplaats, een unieke identificatiecode of van een of meer specifieke elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele, sociale of genderidentiteit van die persoon;

(2 bis)  "pseudonieme gegevens": persoonsgegevens die niet aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, zo lang als dergelijke aanvullende informatie apart wordt bewaard en op voorwaarde dat technische en organisatorische maatregelen worden genomen om niet-koppeling te waarborgen;

(3)  “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het beperken, wissen of vernietigen van gegevens;

(3 bis)   "profilering": elke vorm van geautomatiseerde verwerking van persoonsgegevens die tot doel heeft om bepaalde persoonlijke aspecten met betrekking tot een natuurlijke persoon te evalueren, met de bedoeling met name beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen;

(4)  “beperken van de verwerking”: het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

(5)  “bestand”: elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd dan wel gedecentraliseerd is of verspreid op een functioneel of geografisch bepaalde wijze;

(6)  “voor de verwerking verantwoordelijke”: een bevoegde overheidsinstantie die, alleen of tezamen met anderen, het doel van en de voorwaarden en middelen voor de verwerking van persoonsgegevens vaststelt; wanneer het doel van en de voorwaarden en middelen voor de verwerking worden vastgesteld bij het recht van de EU of het recht van delidstaat, kan in het recht van de EU of het recht van de lidstaat worden bepaald wie de voor de verwerking verantwoordelijke is of volgens welke criteria deze wordt aangewezen;

(7)  “verwerker”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam die of dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt;

(8)  “ontvanger”: een natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander lichaam aan wie, respectievelijk waaraan de persoonsgegevens worden verstrekt;

(9)  “inbreuk in verband met persoonsgegevens”: een inbreuk op de beveiliging, met als gevolg de vernietiging, het verlies, de wijziging, of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot verstrekte, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk, hetzij onrechtmatig;

(10)  “genetische gegevens”: gegevens, van welke aard ook, over de overgeërfde of tijdens de vroege prenatale ontwikkeling verkregen kenmerken van een persoon;

(11)  “biometrische gegevens”: gegevens alle persoonsgegevens met betrekking tot de fysieke, fysiologische of gedragskenmerken van een persoon op grond waarvan de eenduidige kenmerking van die persoon mogelijk is, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

(12)  “gegevens over gezondheid”: informatie persoonsgegevens over de fysieke of mentale gezondheid van een persoon, of over de verlening van een gezondheidsdienst aan een persoon;

(13)  “kind”: een persoon die jonger is dan achttien jaar;

(14)  “bevoegde autoriteiten”: elke overheidsinstantie die bevoegd is ten aanzien van de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

(15)  “toezichthoudende autoriteit”: een door een lidstaat overeenkomstig artikel 39 ingestelde overheidsinstantie. [Am. 61]

HOOFDSTUK II

BEGINSELEN

Artikel 4

Beginselen inzake de verwerking van persoonsgegevens

De lidstaten bepalen dat persoonsgegevens:

a)  rechtmatig, eerlijk en rechtmatig op transparante en controleerbare wijze ten aanzien van de betrokkene moeten worden verwerkt;

b)  voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen en vervolgens niet op een met die doeleinden onverenigbare wijze mogen worden verwerkt;

c)  adequaat en ter zake dienend en niet excessief moeten zijn en beperkt moeten blijven tot wat minimaal nodig is in verhouding tot het doel waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens;

d)  juist moeten zijn en zo nodig moeten worden geactualiseerd; alle redelijke maatregelen dienen te worden genomen om de persoonsgegevens die, uitgaande van de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren;

e)  moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren, maar niet langer dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor de persoonsgegevens worden verwerkt;

f)  moeten worden verwerkt onder de verantwoordelijkheid en aansprakelijkheid van de voor de verwerking verantwoordelijke, die toeziet op en bewijs kan leveren van de naleving van de krachtens deze richtlijn vastgestelde bepalingen;

f bis)  worden verwerkt op een manier die de betrokkene daadwerkelijk de mogelijkheid biedt zijn of haar rechten uit te oefenen zoals beschreven in de artikelen 10 tot en met 17;

f ter)  met gebruikmaking van gepaste technische of organisatorische middelen op een dusdanige manier worden verwerkt dat beschermd wordt tegen ongeoorloofde of onrechtmatige verwerking alsook tegen onopzettelijk verlies, vernietiging of beschadiging;

f quater)   uitsluitend worden verwerkt door naar behoren gemachtigd personeel van de bevoegde autoriteiten die de gegevens nodig hebben voor de uitvoering van hun taken. [Am. 62]

Artikel 4 bis

Toegang tot gegevens die oorspronkelijk voor andere dan de in artikel 1, lid 1, bepaalde doeleinden zijn verwerkt

1.  De lidstaten bepalen dat de bevoegde autoriteiten uitsluitend toegang mogen hebben tot persoonsgegevens die oorspronkelijk voor andere dan de in artikel 1, lid 1 bepaalde doeleinden zijn verwerkt, indien zij hiertoe specifiek bevoegd zijn op grond van het recht van de Unie of of het recht van de desbetreffende lidstaat, die moet voldoen aan de vereisten van artikel 7, lid 1 bis, en zij bepalen dat:

a)  de toegang uitsluitend wordt toegestaan aan naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de uitvoering van hun taken indien er in specifieke gevallen goede redenen bestaan om aan te nemen dat de persoonsgegevens een wezenlijke bijdrage leveren aan de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

b)  verzoeken tot toegang schriftelijk zijn en dat daarin verwezen wordt naar de rechtsgrond van het verzoek;

c)  het schriftelijk verzoek gedocumenteerd is; en

d)  passende waarborgen worden geboden ter bescherming van de grondrechten en fundamentele vrijheden in verband met de verwerking van persoonsgegevens. Deze waarborgen doen geen afbreuk aan en vormen een aanvulling op de specifieke voorwaarden voor toegang tot persoonsgegevens, zoals toestemming van een rechter overeenkomstig het recht van de lidstaat.

2.  Toegang tot persoonsgegevens in handen van particuliere partijen of andere overheidsinstanties is uitsluitend toegestaan voor onderzoek of vervolging van strafbare feiten overeenkomstig de vereisten van noodzakelijkheid en evenredigheid die in het recht van de Unie of in het recht van een lidstaat moeten worden vastgesteld, in volledige overeenstemming met artikel 7 bis. [Am. 63]

Artikel 4 ter

Termijnen voor opslag en toetsing

1.  De lidstaten zorgen ervoor dat persoonsgegevens die uit hoofde van deze richtlijn worden verwerkt, door de bevoegde autoriteiten worden gewist zodra ze niet meer nodig zijn voor de doeleinden waarvoor ze zijn verwerkt.

2.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten mechanismen instellen waarmee, overeenkomstig artikel 4, termijnen worden vastgesteld voor het wissen van persoonsgegevens en voor een periodieke toetsing van de noodzaak tot het opslaan van deze gegevens, met inbegrip van vaste opslagtermijnen voor de verschillende categorieën persoonsgegevens. Proceduremaatregelen worden vastgesteld om ervoor te zorgen dat deze termijnen en de intervallen voor periodieke toetsing in acht worden genomen. [Am. 64]

Artikel 5

Onderscheid tussen Verschillende categorieën betrokkenen

1.  De lidstaten bepalen dat de bevoegde autoriteiten alleen persoonsgegevens kunnen verwerken voor de in artikel 1, lid 1 bedoelde doeleinden van de volgende categorieën betrokkenen, en de voor de verwerking verantwoordelijke voor zover mogelijk maakt een duidelijk onderscheid maakt tussen persoonsgegevens betreffende verschillende deze categorieën betrokkenen, zoals:

a)  personen ten aanzien van wie gegronde redelijke vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan plegen;

b)  personen die veroordeeld zijn voor een strafbaar feit misdrijf;

c)  slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij slachtoffer zouden kunnen worden van een strafbaar feit; alsmede

d)  personen die als derden bij een strafbaar feit betrokken zijn, zoals personen die als getuige kunnen worden opgeroepen in een onderzoek naar strafbare feiten of een daaruit voortvloeiende strafprocedure, personen die informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met een van de personen vermeld onder a) of b). alsmede

e)  personen die onder geen van de bovengenoemde categorieën vallen.

2.  Persoonsgegevens van andere dan de in lid 1 bedoelde betrokkenen mogen alleen worden verwerkt:

a)  zolang dat noodzakelijk is voor het onderzoek of de vervolging van een specifiek strafbaar feit teneinde te bepalen in hoeverre de gegevens voor een van de in lid 1 genoemde categorieën relevant zijn; of

b)  wanneer deze verwerking onontbeerlijk is voor gerichte, preventieve doeleinden of met het oog op de strafrechtelijke analyse, indien en zolang als dit doel rechtmatig, welbepaald en specifiek is en de verwerking strikt beperkt blijft tot het beoordelen van de relevantie van de gegevens voor een van de in lid 1 genoemde categorieën. Dit wordt ten minste iedere zes maanden regelmatig herzien. Elk ander gebruik is verboden.

3.  De lidstaten bepalen dat aanvullende beperkingen en waarborgen, overeenkomstig het recht van de lidstaat, van toepassing zijn op de verdere verwerking van persoonsgegevens betreffende de in lid 1, onder c) en d) vermelde betrokkenen. [Am. 65]

Artikel 6

Verschillende graden van juistheid en betrouwbaarheid van persoonsgegevens

1.  De lidstaten zien erop toe nemen maatregelen dat de verschillende categorieën juistheid en betrouwbaarheid van persoonsgegevens die worden verwerkt, voor zover mogelijk worden onderscheiden naar de graad van juistheid en betrouwbaarheid gewaarborgd.

2.  De lidstaten zien erop toe dat persoonsgegevens die op feiten zijn gebaseerd, voor zover mogelijk, worden onderscheiden van persoonsgegevens die op een persoonlijk oordeel zijn gebaseerd, naar de graad van juistheid en betrouwbaarheid.

2 bis.  De lidstaten zien erop toe dat persoonsgegevens die onjuist, onvolledig of niet meer actueel zijn, niet worden doorgegeven of beschikbaar gesteld. Hiertoe bepalen zij dat de bevoegde autoriteiten de kwaliteit van de persoonsgegevens moeten beoordelen alvorens deze door te geven of beschikbaar te stellen. Voor zover mogelijk, wordt bij iedere doorgifte van gegevens informatie meegezonden aan de hand waarvan de ontvangende lidstaat de juistheid, volledigheid en betrouwbaarheid van de gegevens, en ook de mate waar deze actueel zijn, kan beoordelen. Het is verboden om zonder verzoek daartoe van de bevoegde autoriteit persoonsgegevens door te geven, in het bijzonder persoonsgegevens die oorspronkelijk in handen waren van particuliere partijen.

2 ter.  Indien wordt vastgesteld dat onjuiste gegevens zijn doorgegeven, of gegevens op onrechtmatige wijze zijn doorgegeven, dient dit onmiddellijk aan de ontvanger te worden meegedeeld. De ontvanger is verplicht de gegevens onverwijld te corrigeren overeenkomstig lid 1, en artikel 15, dan wel te wissen als overeenkomstig artikel 16. [Am. 66]

Artikel 7

Rechtmatigheid van de verwerking

1.  De lidstaten bepalen dat het verwerken van persoonlijke gegevens slechts rechtmatig is wanneer en voor zover die verwerking plaatsvindt op grond van het recht van de Unie of een lidstaat, voor een van de in artikel 1, lid 1, genoemde doeleinden en het noodzakelijk is:

a)  voor het uitvoeren van een taak door een bevoegde autoriteit, op grond van een wettelijke bepaling, voor een van de in artikel 1, lid 1, genoemde doeleinden; of

b)  om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke is onderworpen; of

c)  om een vitaal belang van de betrokkene of een andere persoon te beschermen; of

d)  om een onmiddellijke en ernstige bedreiging van de openbare veiligheid te voorkomen.

1 bis.  Het recht van de lidstaten betreffende de verwerking van persoonsgegevens binnen de werkingssfeer van deze richtlijn bevat uitdrukkelijke en gedetailleerde bepalingen, waarin ten minste het volgende nader wordt bepaald:

a)  de doelstellingen van de verwerking;

b)  de persoonsgegevens die worden verwerkt;

c)  de specifieke doeleinden van en de middelen voor de verwerking;

d)  de benoeming van de voor de verwerking verantwoordelijke of de specifieke criteria voor de benoeming van de voor de verwerking verantwoordelijke;

e)  de categorieën van naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de verwerking van persoonsgegevens;

f)  de voor de verwerking te volgen procedure;

g)  het gebruik dat van de verkregen persoonsgegevens mag worden gemaakt;

h)  de beperkingen van de werkingssfeer van bevoegdheden die aan de bevoegde autoriteiten zijn verleend in verband met de verwerkingsactiviteiten. [Am. 67]

Artikel 7 bis

Verdere verwerking voor onverenigbare doeleinden

1.  De lidstaten zien erop toe dat persoonsgegevens uitsluitend verder verwerkt mogen worden voor andere dan de in artikel 1, lid 1, bepaalde doeleinden, die niet verenigbaar zijn met het doel waarvoor ze oorspronkelijk zijn verzameld, indien en voor zover:

a)  het doel strikt noodzakelijk en evenredig is in een democratische samenleving en vereist door het recht van de Unie of het recht van de lidstaat voor een rechtmatig, welbepaald en specifiek doel;

b)  de verwerking strikt beperkt blijft tot ten hoogste de tijd die nodig is voor de specifieke gegevensverwerking;

c)  verder gebruik voor andere doeleinden verboden is;

Voorafgaand aan de verwerking raadpleegt de lidstaat bevoegde nationale toezichthoudende autoriteit en voert hij een privacyeffectbeoordeling uit.

2.  In aanvulling op de vereisten van artikel 7, lid 1 bis, bevat het recht van de lidstaten op grond waarvan toestemming wordt verleend voor verdere verwerking als bedoeld in lid 1, uitdrukkelijke en gedetailleerde bepalingen waarin ten minste het volgende nader wordt bepaald:

a)  de specifieke doeleinden van en de middelen voor de betreffende verwerking;

b)  dat de toegang uitsluitend wordt toegestaan aan naar behoren gemachtigd personeel van de bevoegde autoriteiten voor de uitvoering van hun taken indien er in specifieke gevallen goede redenen bestaan om aan te nemen dat de persoonsgegevens een wezenlijke bijdrage leveren aan de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; alsmede

c)  dat passende waarborgen worden geboden ter bescherming van de grondrechten en fundamentele vrijheden in verband met de verwerking van persoonsgegevens.

De lidstaten kunnen eisen dat overeenkomstig hun nationale recht aan de toegang tot persoonsgegevens aanvullende voorwaarden worden gesteld, zoals toestemming van een rechter.

3.  De lidstaten kunnen eveneens de mogelijkheid tot verdere verwerking bieden voor historische, statistische of wetenschappelijke doeleinden, mits zij passende waarborgen bieden, zoals het anonimiseren van de gegevens. [Am. 68]

Artikel 8

Verwerking van bijzondere categorieën van persoonsgegevens

1.  De lidstaten verbieden de verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, seksuele gerichtheid of genderidentiteit, lidmaatschap van en activiteiten voor een vakvereniging blijkt blijken, en de verwerking van genetische biometrische gegevens of van gegevens die de gezondheid of het seksuele leven betreffen.

2.  Lid 1 is niet van toepassing wanneer:

a)  de verwerking is toegestaan op grond van wetgeving die passende waarborgen biedt strikt noodzakelijk en evenredig is voor het uitvoeren van een taak door de bevoegde autoriteiten voor een van de in artikel 1, lid 1, genoemde doeleinden, op grond van het recht van de Unie of van een lidstaat, dat voorziet in specifieke en maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen, waaronder de specifieke toestemming van een rechter, indien dit volgens het nationale recht vereist is; of

b)  de verwerking noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of een andere persoon; of

c)  de verwerking betrekking heeft op gegevens die kennelijk door de betrokkene openbaar zijn gemaakt, voor zover die relevant zijn en strikt noodzakelijk zijn voor de beoogde doeleinden in een specifiek geval. [Am. 69]

Artikel 8 bis

Verwerking van genetische gegevens in het kader van een strafrechtelijk onderzoek of een gerechtelijke procedure

1.  De lidstaten zien erop toe dat genetische gegevens uitsluitend gebruikt mogen worden om een genetische link vast te stellen met het oog op het verkrijgen van bewijs, het voorkomen van een bedreiging van de openbare veiligheid of het voorkomen van specifieke strafbare feiten. Genetische gegevens mogen niet worden gebruikt om andere kenmerken vast te stellen die genetisch gekoppeld kunnen worden.

2.  De lidstaten zien erop toe dat genetische gegevens of informatie die worden afgeleid uit analyses uitsluitend bewaard worden zolang als dit noodzakelijk is voor de doeleinden waarvoor de gegevens verwerkt worden en indien de betrokkene is veroordeeld voor ernstige misdrijven tegen het leven, de integriteit of de veiligheid van personen, waarbij strikte opslagtermijnen gehanteerd moeten worden die in het recht van de lidstaat worden vastgesteld.

3.  De lidstaten zorgen ervoor dat genetische gegevens of informatie die worden afgeleid uit analyses uitsluitend gedurende langere perioden worden opgeslagen, indien de genetische gegevens niet aan een persoon gekoppeld kunnen worden, met name indien deze gegevens op de plaats delict zijn aangetroffen. [Am. 70]

Artikel 9

Maatregelen op basis van profilering en geautomatiseerde verwerking

1.  De lidstaten bepalen dat maatregelen die voor de betrokkene een nadelig rechtsgevolg hebben of voor hem of haar wezenlijke consequenties hebben, en die uitsluitend gedeeltelijk of geheel berusten op geautomatiseerde verwerking van persoonsgegevens die bedoeld is om bepaalde aspecten van zijn persoonlijkheid te beoordelen, worden verboden, tenzij zulks is toegestaan op grond van wetgeving die ook maatregelen bevat voor de bescherming van de gerechtvaardigde belangen van de betrokkene.

2.  De geautomatiseerde gegevensverwerking die bedoeld is om bepaalde aspecten van de persoonlijkheid van de betrokkene te beoordelen, wordt niet uitsluitend gebaseerd op de in artikel 8 genoemde speciale categorieën persoonsgegevens.

2 bis.  De geautomatiseerde gegevensverwerking die bedoeld is om een betrokkene te onderscheiden zonder een aanvankelijke verdenking dat de betrokkene mogelijk een strafbaar feit heeft gepleegd of dit zal gaan plegen is alleen rechtmatig indien en voor zover zij strikt noodzakelijk is voor het onderzoek van een ernstig strafbaar feit of voor het afwenden van een duidelijk en dreigend gevaar, op basis van concrete aanwijzingen, voor de openbare veiligheid, het voortbestaan van de staat of het leven van personen.

2 ter.  Profilering die, al dan niet opzettelijk, leidt tot discriminatie van personen op grond van ras of etnische afkomst, politieke opvattingen, godsdienst of overtuiging, het lidmaatschap van een vakbond, gender of seksuele gerichtheid, of die, al dan niet opzettelijk, resulteert in maatregelen met dat effect, is onder alle omstandigheden verboden. [Am. 71]

Artikel 9 bis

Algemene beginselen met betrekking tot de rechten van de betrokkene.

1.  De lidstaten zorgen ervoor dat de grondslag voor gegevensbescherming duidelijk is en met ondubbelzinnige rechten voor de betrokkene die door de voor de verwerking verantwoordelijke worden geëerbiedigd. De bepalingen van deze richtlijn zijn erop gericht deze rechten te versterken, verduidelijken, waarborgen en waar nodig, te codificeren.

2.  De lidstaten zorgen ervoor dat deze rechten onder meer omvatten de verstrekking van duidelijke en gemakkelijk te begrijpen informatie over de verwerking van de persoonsgegevens van de betrokkene, de rechten van toegang, rectificatie en uitwissing van persoonsgegevens, het recht om gegevens te verkrijgen, het recht om bezwaar te maken bij de bevoegde gegevensbeschermingsautoriteit en om gerechtelijke procedures aan te spannen om zijn of haar rechten af te dwingen evenals het recht op schadevergoeding ten gevolge van een onrechtmatige verwerking. Dergelijke rechten worden in het algemeen kosteloos uitgeoefend. De voor de verwerking verantwoordelijke reageert binnen een redelijke termijn op verzoeken van de betrokkene. [Am. 72]

HOOFDSTUK III

RECHTEN VAN DE BETROKKENE

Artikel 10

Modaliteiten voor de uitoefening van de rechten van de betrokkene

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om een beknopt, transparant, duidelijk en eenvoudig toegankelijk beleid te voeren voert met betrekking tot de verwerking van persoonsgegevens en de uitoefening van de rechten van de betrokkene.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene alle informatie en mededelingen over de verwerking van persoonsgegevens verstrekt in begrijpelijke vorm en in duidelijke en eenvoudige taal in het bijzonder indien de informatie specifiek voor een kind bestemd is.

3.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle redelijke maatregelen neemt om procedures vast te stellen vaststelt voor het verstrekken van de in artikel 11 bedoelde informatie en voor de uitoefening van de in de artikelen 12 tot en met 17 genoemde rechten van de betrokkene. Indien persoonsgegevens geautomatiseerd worden verwerkt stelt de voor de verwerking verantwoordelijke de middelen ter beschikking om verzoeken elektronisch in te dienen.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene zonder onnodige vertraging en in elk geval uiterlijk binnen een maand na ontvangst van zijn of haar verzoek, inlicht over het gevolg dat aan zijn verzoek is gegeven. De informatie wordt schriftelijk verstrekt. Indien de betrokkene het verzoek elektronisch indient, wordt de informatie in elektronische vorm ter beschikking gesteld.

5.  De lidstaten bepalen dat alle informatie die de voor de verwerking verantwoordelijke verstrekt en alle maatregelen die hij neemt naar aanleiding van een verzoek als bedoeld in de leden 3 en 4, kosteloos dienen te zijn. Wanneer verzoeken vexatoir kennelijk buitensporig zijn, bijvoorbeeld door met name vanwege hun repetitieve karakter, of hun omvang, mag kan de voor de verwerking verantwoordelijke een redelijke vergoeding in rekening brengen, daarbij rekening houdend met de administratieve kosten voor het verstrekken van de informatie of het verrichten van de gevraagde maatregel in rekening brengen, dan wel de gevraagde actie achterwege laten. In dat geval rust de bewijslast met betrekking tot het vexatoire duidelijk buitensporige karakter van het verzoek op de voor de verwerking verantwoordelijke.

5 bis.  De lidstaten kunnen bepalen dat de betrokkene zijn recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. Indien de toezichthoudende autoriteit op verzoek van de betrokkene heeft gehandeld, wordt deze door de toezichthoudende autoriteit over de uitgevoerde verificaties ingelicht. [Am. 73]

Artikel 11

Informatieverstrekking aan de betrokkene

1.  De lidstaten zien erop toe dat wanneer persoonsgegevens worden verzameld, de voor de verwerking verantwoordelijke alle passende maatregelen treft om de betrokkene ten minste de hierna volgende informatie de verstrekken verstrekt:

a)  de identiteit en de contactgegevens van de voor de verwerking verantwoordelijke en de functionaris voor gegevensbescherming;

b)  de rechtsgrondslag en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd;

c)  de periode gedurende welke de persoonsgegevens worden opgeslagen;

d)  het bestaan van het recht om van de voor de verwerking verantwoordelijke toegang tot en rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

e)  het bestaan van het recht om een klacht in te dienen bij de in artikel 39 bedoelde toezichthoudende autoriteit en de contactgegevens van de toezichthoudende autoriteit;

f)  de ontvangers of categorieën ontvangers van de persoonsgegevens, ook die in derde landen of internationale organisaties en degene die tot toegang bevoegd is op grond van het recht van dat derde land of de voorschriften van die internationale organisatie, het al of niet bestaan van een besluit waarbij het beschermingsniveau door de Commissie passend wordt verklaard of in geval van doorgiften zoals bedoeld in artikel 35 of in artikel 36, de middelen om een kopie te verkrijgen van de voor de doorgifte gebruikte passende waarborgen;

f bis)  indien de voor de verwerking verantwoordelijke persoonsgegevens verwerkt zoals beschreven in artikel 9, lid 1, informatie over het bestaan van verwerking naar aanleiding van een in artikel 9, lid 1 genoemde maatregel en over de beoogde gevolgen van zulke verwerking voor de betrokkene, informatie over de aan de profilering ten grondslag liggende logica en het recht op menselijke beoordeling;

f ter)  informatie aangaande veiligheidsmaatregelen ter bescherming van persoonsgegevens;

g)  alle verdere informatie voor zover die nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen, met inachtneming van de bijzondere omstandigheden waaronder de gegevens worden verwerkt.

2.  Wanneer de persoonsgegevens bij de betrokkene worden verzameld, deelt de voor de verwerking verantwoordelijke de betrokkene, naast de in lid 1 genoemde informatie, mee of de verstrekking van persoonsgegevens verplicht is dan wel op basis van vrijwilligheid geschiedt en wat de mogelijke gevolgen zijn wanneer wordt nagelaten deze gegevens te verstrekken.

3.  De voor de verwerking verantwoordelijke verstrekt de in lid 1 genoemde informatie:

a)  op het tijdstip waarop de persoonsgegevens van de betrokkene worden verkregen; of

b)  indien de persoonsgegevens niet bij de betrokkene worden verzameld, op het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling, met inachtneming van de specifieke omstandigheden waaronder de gegevens worden verwerkt.

4.  De lidstaten kunnen wettelijke maatregelen treffen om de informatieverstrekking aan de betrokkene in een specifiek geval uit te stellen, of te beperken of achterwege te laten, voor zover en zolang een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een noodzakelijke en evenredige maatregel is:

a)  om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)  om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)  ter bescherming van de openbare veiligheid;

d)  ter bescherming van de nationale veiligheid;

e)  ter bescherming van de rechten en vrijheden van anderen.

5.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke in elk afzonderlijk geval door middel van een concreet en individueel onderzoek beoordeelt of een gedeeltelijke of gehele beperking op grond van een van de in lid 4 genoemde redenen van toepassing is. De lidstaten kunnen bij wet tevens categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 4, onder a) tot en met d), genoemde uitzonderingsbepalingen vallen. [Am. 74]

Artikel 12

Recht van toegang van de betrokkene

1.  De lidstaten zien erop toe dat de betrokkene het recht heeft om van de voor de verwerking verantwoordelijke uitsluitsel te verkrijgen omtrent het al dan niet plaatsvinden van verwerking van hem of haar betreffende gegevens. Wanneer verwerkingen van dergelijke persoonsgegevens plaatsvinden, verstrekt de voor de verwerking verantwoordelijke de volgende informatie, voor zover deze nog niet is verstrekt:

—  a) de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare informatie over de bron van die gegevens, en in voorkomend geval, begrijpelijke informatie over de bij elke geautomatiseerde verwerking gebruikte logica;

—  a bis) het belang en de verwachte gevolgen van deze verwerking, in elk geval van de in artikel 9 bedoelde maatregelen;

a)  de doeleinden van de verwerking alsmede de rechtsgrondslag voor de verwerking;

b)  de betrokken gegevenscategorieën;

c)  de ontvangers of categorieën ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen;

d)  de periode gedurende welke de persoonsgegevens worden opgeslagen;

e)  het bestaan van het recht om van de voor de verwerking verantwoordelijke rectificatie of wissing van de persoonsgegevens betreffende de betrokkene of beperking van de verwerking van die gegevens te verlangen;

f)  het recht om een klacht in te dienen bij de toezichthoudende autoriteit alsmede de contactgegevens van de toezichthoudende autoriteit;

g)  de persoonsgegevens waarvan verwerking plaatsvindt en alle beschikbare informatie over de bron van die gegevens;

2.  De lidstaten voorzien in het recht van de betrokkene om van de voor de verwerking verantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt. Wanneer de betrokkene zijn verzoek in elektronische vorm indient, wordt de informatie elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt. [Am. 75]

Artikel 13

Beperking van het recht van toegang

1.  De lidstaten kunnen wettelijke maatregelen treffen om het recht van toegang van de betrokkene in individuele gevallen, afhankelijk van het specifieke geval geheel of gedeeltelijk te beperken, voor zover en zolang een dergelijke gehele of gedeeltelijke beperking in een democratische samenleving, met inachtneming van de grondrechten en de gerechtvaardigde belangen van de persoon in kwestie, een strikt noodzakelijke en evenredige maatregel is:

a)  om belemmering van officiële of gerechtelijke onderzoeken of procedures te voorkomen;

b)  om te voorkomen dat afbreuk wordt gedaan aan de preventie, de opsporing, het onderzoek of de vervolging ter zake van strafbare feiten of de tenuitvoerlegging van straffen;

c)  ter bescherming van de openbare veiligheid;

d)  ter bescherming van de nationale veiligheid;

e)  ter bescherming van de rechten en vrijheden van anderen.

2.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke in elk geval afzonderlijk door middel van een concreet en individueel onderzoek beoordeelt of een gedeeltelijke of gehele beperking op grond van een van de in lid 1 genoemde redenen van toepassing is. De lidstaten kunnen tevens bij wet categorieën gegevensverwerking vaststellen die geheel of gedeeltelijk onder de in lid 1, onder a) tot en met d), genoemde uitzonderingen vallen.

3.  De lidstaten bepalen dat, in de gevallen bedoeld in de leden 1 en 2, de voor de verwerking verantwoordelijke de betrokkene onverwijld schriftelijk de weigering of beperking van toegang en de gemotiveerde redenen voor de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen. De inlichtingen over de feitelijke of juridische redenen die aan het besluit ten grondslag liggen, kunnen achterwege blijven indien de verstrekking van die informatie een van de in lid 1 genoemde doeleinden in gevaar brengt.

4.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de in lid 2 bedoelde beoordeling en ook de redenen documenteert voor het achterwege laten beperken van de verstrekking van de feitelijke of juridische redenen die aan het besluit ten grondslag liggen. Die informatie wordt op verzoek aan de nationale toezichthoudende autoriteiten verstrekt. [Am. 76]

Artikel 14

Modaliteiten voor de uitoefening van het recht van toegang

1.  De lidstaten voorzien in het recht van de betrokkene om te verzoeken dat allen tijde de toezichthoudende autoriteit te verzoeken de rechtmatigheid van de verwerking verifieert te verifiëren, met name in de gevallen bedoeld in artikel de artikelen 12 en 13.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene inlicht over zijn recht om te verzoeken om de tussenkomst van de toezichthoudende autoriteit als bedoeld in lid 1.

3.  Indien het in lid 1 bedoelde recht wordt uitgeoefend, deelt de toezichthoudende autoriteit de betrokkene ten minste mee dat alle noodzakelijke verificaties door de toezichthoudende autoriteit zijn verricht en licht zij hem in over het resultaat daarvan wat de rechtmatigheid van de verwerking in kwestie betreft. De toezichthoudende autoriteit informeert de betrokkene tevens over zijn of haar recht om een beroep in rechte in te stellen.

3 bis.  De lidstaten kunnen bepalen dat de betrokkene dit recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden.

3 ter.  De lidstaten zien erop toe dat de verwerking verantwoordelijke over een redelijke termijn beschikt om op verzoeken te reageren van de betrokkene met betrekking tot zijn of haar recht op toegang. [Am. 77]

Artikel 15

Recht van rectificatie en completering

1.  De lidstaten voorzien in het recht van de betrokkene op rectificatie of completering van hem betreffende onjuiste of niet volledige persoonsgegevens door de voor de verwerking verantwoordelijke. De betrokkene heeft recht op completering van onvolledige persoonlijke gegevens, met name door middel van een rectificerende of completerende verklaring.

2.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk de weigering van rectificatie of completering en de motiverende redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

2 bis.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke iedere ontvanger aan wie gegevens zijn verstrekt op de hoogte stelt van elke uitgevoerde rectificatie, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost.

2 ter.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de rectificatie van de onjuiste persoonsgegevens doorgeeft aan de derden van wie de onjuiste persoonsgegevens afkomstig zijn.

2 quater.  De lidstaten bepalen dat de betrokkene dit recht tevens door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. [Am. 78]

Artikel 16

Recht om gegevens te laten wissen

1.  De lidstaten voorzien in het recht van de betrokkene om hem of haar betreffende persoonsgegevens door de voor de verwerking verantwoordelijke te laten wissen, indien de verwerking niet voldoet aan de bepalingen die krachtens artikel de artikelen 4, onder a) tot en met e), en de artikelen 6, 7 en 8 van deze richtlijn zijn vastgesteld.

2.  De voor de verwerking verantwoordelijke wist de gegevens onverwijld. De voor de verwerking verantwoordelijke zorgt er tevens voor dat verdere verspreiding van dergelijke gegevens achterwege blijft.

3.  De voor verwerking verantwoordelijke markeert beperkt de verwerking van de persoonsgegevens in plaats van deze te wissen wanneer:

a)  de juistheid ervan door de betrokkene wordt betwist, gedurende een periode die de voor de verwerking verantwoordelijke in staat stelt de juistheid van de gegevens te verifiëren;

b)  de persoonsgegevens moeten worden bewaard om als bewijs te dienen of ter bescherming van de vitale belangen van de betrokkene of iemand anders;

c)  de betrokkene zich tegen het wissen verzet en in de plaats daarvan om beperking van het gebruik ervan verzoekt.

3 bis.  Wanneer de verwerking van persoonsgegevens op grond van artikel 3 is beperkt, informeert de voor de verwerking verantwoordelijke de betrokkene alvorens de beperking inzake de verwerking op te heffen.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke de betrokkene schriftelijk, met een gemotiveerde onderbouwing, de weigering van wissing of markering de beperking van de verwerking en de redenen van de weigering meedeelt en hem inlicht over de mogelijkheden om een klacht in te dienen bij de toezichthoudende autoriteit en beroep bij de rechter in te stellen.

4 bis.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke de ontvanger van de gegevens laat weten dat gegevens gewist zijn in de zin van lid 1, tenzij dit onmogelijk blijkt of onevenredig veel moeite kost, De voor de verwerking verantwoordelijke stelt de betrokkene op de hoogte van die derden.

4 ter.  De lidstaten kunnen bepalen dat de betrokkene dit recht rechtstreeks tegenover de voor de verwerking verantwoordelijke, of door tussenkomst van de bevoegde nationale toezichthoudende autoriteit kan doen gelden. [Am. 79]

Artikel 17

Rechten van de betrokkene bij strafrechtelijke onderzoeken en procedures

De lidstaten kunnen bepalen dat, indien de persoonsgegevens zijn vervat in een rechterlijke beslissing of dossier en worden verwerkt in het kader van strafrechtelijke onderzoeken en procedures, het recht van informatie, toegang, rectificatie, wissing en beperking van de verwerking, zoals bedoeld in de artikelen 11 tot en met 16, wordt uitgeoefend overeenkomstig het nationale strafprocesrecht.

HOOFDSTUK IV

VOOR DE VERWERKING VERANTWOORDELIJKE EN VERWERKER

AFDELING 1

ALGEMENE VERPLICHTINGEN

Artikel 18

Verantwoordelijkheden van de voor de verwerking verantwoordelijke

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke beleid vaststelt en passende maatregelen uitvoert om ervoor te zorgen en te kunnen aantonen, op een transparante wijze en voor iedere verwerking, dat de verwerking van persoonsgegevens in overeenstemming met de krachtens deze richtlijn vastgestelde bepalingen wordt uitgevoerd, zowel op het tijdstip van de vaststelling van de middelen voor de verwerking als op het tijdstip van de eigenlijke verwerking.

2.  De in lid 1 bedoelde maatregelen betreffen met name:

a)  het bewaren van documentatie overeenkomstig artikel 23;

a bis)  het uitvoeren van een privacyeffectbeoordeling overeenkomstig artikel 25 bis;

b)  het voldoen aan de verplichting inzake voorafgaand overleg overeenkomstig artikel 26;

c)  het voldoen aan de in artikel 27 vastgestelde eisen inzake gegevensbeveiliging;

d)  het aanstellen van een functionaris voor gegevensbescherming overeenkomstig artikel 30.

d bis)  waar nodig, de uitwerking en toepassing van specifieke waarborgen met betrekking tot de verwerking van persoonsgegevens van kinderen.

3.  De voor de verwerking verantwoordelijke voorziet in mechanismen om ervoor te zorgen dat de adequaatheid en effectiviteit van de in lid 1 bedoelde maatregelen wordt getoetst. Indien evenredig met het doel, wordt deze toetsing uitgevoerd door onafhankelijke interne of externe controleurs. [Am. 80]

Artikel 19

Privacy by design en by default

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker, indien aanwezig, met inachtneming van de stand van de techniek, het actuele technische kennisniveau, internationale optimale praktijken en de uitvoeringskosten met de gegevensverwerking verbonden risico's, zowel ten tijde van de vaststelling van de doeleinden als van de middelen van de verwerking en ten tijde van de eigenlijke verwerking, zodanig passende technische en organisatorische maatregelen en procedures ten uitvoer legt dat de verwerking aan de voorwaarden van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt, in het bijzonder met het oog op de in artikel 4 opgenomen beginselen. Gegevensbescherming by design is met name gericht op het beheer van de hele levenscyclus van persoonsgegevens, vanaf het verzamelen tot het verwerken en verwijderen, waarbij stelselmatig aandacht wordt besteed aan allesomvattende procedurele waarborgen met betrekking tot de nauwkeurigheid, de vertrouwelijkheid, de integriteit, de fysieke veiligheid en de verwijdering van persoonsgegevens. Wanneer de voor de verwerking verantwoordelijke ingevolge artikel 25 bis een privacyeffectbeoordeling heeft uitgevoerd, worden de resultaten daarvan in acht genomen bij de ontwikkeling van die maatregelen en procedures.

2.  De voor de verwerking verantwoordelijke voorziet in mechanismen om te waarborgen zorgt ervoor dat in beginsel alleen die persoonsgegevens worden verwerkt die voor de doeleinden elk specifiek doeleinde van de verwerking nodig zijn en dat in het bijzonder het verzamelen, bewaren of verspreiden van die gegevens zich, zowel wat betreft de hoeveelheid gegevens als de periode van opslag daarvan, beperkt tot dat wat voor die doeleinden strikt noodzakelijk is. Deze mechanismen zorgen er met name voor dat persoonsgegevens in beginsel niet voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt en dat de betrokkenen controle hebben over de verspreiding van hun persoonsgegevens. [Am. 81]

Artikel 20

Gezamenlijk voor de verwerking verantwoordelijken

1.  De lidstaten bepalen dat wanneer een voor de verwerking verantwoordelijke de doeleinden, voorwaarden en middelen voor de verwerking van persoonsgegevens samen met anderen vaststelt, de gezamenlijk voor de verwerking verantwoordelijken door middel van een onderlinge regeling juridisch bindende overeenkomst moeten vaststellen wat hun respectieve verantwoordelijkheden zijn voor de naleving van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de procedures en mechanismen voor de uitoefening van de rechten van de betrokkene.

2.  Tenzij de betrokkene bekend is gemaakt wie van de gezamenlijk voor de verwerking verantwoordelijken ingevolge lid 1 verantwoordelijk is, kan de betrokkene zijn of haar rechten uit hoofde van deze richtlijn met betrekking tot en jegens ieder van de twee of meer gezamenlijk voor de verwerking verantwoordelijken uitoefenen. [Am. 82]

Artikel 21

Verwerker

1.  De lidstaten bepalen dat wanneer een verwerking namens een voor de verwerking verantwoordelijke wordt uitgevoerd, de voor de verwerking verantwoordelijke een verwerker kiest die voldoende waarborgen biedt voor de tenuitvoerlegging van passende technische en organisatorische maatregelen en procedures op dusdanige wijze dat de verwerking aan de vereisten van de krachtens deze richtlijn vastgestelde bepalingen voldoet en de bescherming van de rechten van de betrokkene waarborgt, met name met betrekking tot de technische beveiligingsmaatregelen en de organisatorische maatregelen inzake de te verrichten verwerking, en die ervoor zorgt dat deze maatregelen in acht worden genomen.

2.  De lidstaten bepalen dat de uitvoering van verwerkingen door een verwerker wordt geregeld in een overeenkomst of door een rechtshandeling die de verwerker ten opzichte van de voor de verwerking verantwoordelijke bindt en waarin met name wordt bepaald dat de verwerker slechts handelt in opdracht van de voor de verwerking verantwoordelijke, met name wanneer de doorgifte van gegevens is verboden. :

a)  slechts handelt in opdracht van de voor de verwerking verantwoordelijke;

b)  uitsluitend personeel in dienst neemt dat zich tot geheimhouding heeft verplicht of een wettelijke geheimhoudingsplicht heeft;

c)  alle uit hoofde van artikel 27 vereiste maatregelen neemt;

d)  een andere verwerker uitsluitend met toestemming van de voor de verwerking verantwoordelijke in de arm neemt en de voor de verwerking verantwoordelijke derhalve tijdig informeert over zijn voornemen om een andere verwerker in de arm te nemen, zodat de voor de verwerking verantwoordelijke hiertegen bezwaar kan maken;

e)  voor zover dit gelet op de aard van de verwerking mogelijk is, met goedkeuring van de voor de verwerking verantwoordelijke de nodige technische en organisatorische voorwaarden schept waardoor de voor de verwerking verantwoordelijke zijn verplichting te voldoen aan de verzoeken tot uitoefening van de in hoofdstuk III neergelegde rechten van de betrokkene, kan nakomen;

f)  de voor de verwerking verantwoordelijke bijstaat om ervoor te zorgen de verplichtingen uit hoofde van de artikelen 29 tot en met 34 worden nagekomen;

g)  de voor de verwerking verantwoordelijke na de beëindiging van de verwerking alle resultaten teruggeeft, de persoonsgegevens niet anderszins verwerkt en bestaande kopieën verwijdert, tenzij het recht van de Unie of het recht van de lidstaat vereist dat de gegevens worden opgeslagen;

h)  de voor de verwerking verantwoordelijke en de toezichthoudende autoriteit alle informatie ter beschikking stelt die nodig is om de nakoming van de in dit artikel neergelegde verplichtingen te controleren;

i)  de beginselen inzake privacy by design en gegevensbescherming by default in acht neemt.

2 bis.  De voor de verwerking verantwoordelijke en de verwerker leggen de instructies van de voor de verwerking verantwoordelijke en de verplichtingen van de verwerker die in lid 2 zijn genoemd, vast in een document.

3.  Wanneer een verwerker persoonsgegevens verwerkt anders dan in opdracht van de voor de verwerking verantwoordelijke, wordt de verwerker met betrekking tot die verwerking als een voor de verwerking verantwoordelijke beschouwd waarvoor de in artikel 20 neergelegde regels voor gemeenschappelijk voor de verwerking verantwoordelijken gelden. [Am. 83]

Artikel 22

Verwerking onder gezag van de voor de verwerking verantwoordelijke en de verwerker

1.   De lidstaten bepalen dat de verwerker en eenieder die handelt onder het gezag van de voor de verwerking verantwoordelijke of van de verwerker en toegang heeft tot de persoonsgegevens, deze slechts mag verwerken in opdracht van de voor de verwerking verantwoordelijke, of wanneer hij op grond van het recht van de Unie of het recht van de lidstaat tot de verwerking verplicht is.

1 bis.  Indien de verwerker degene is of wordt die de doeleinden, middelen of methoden voor de verwerking van persoonsgegevens bepaalt, of indien hij niet uitsluitend in opdracht van de voor de verwerking verantwoordelijke handelt, wordt hij beschouwd als een gezamenlijk voor de verwerking verantwoordelijke overeenkomstig artikel 20. [Am. 84]

Artikel 23

Documentering

1.  De lidstaten bepalen dat iedere voor de verwerking verantwoordelijke en iedere verwerker documentatie bijhoudt inzake alle verwerkingssystemen en ‑procedures die onder hun verantwoordelijkheid vallen.

2.  In de documentatie worden ten minste de volgende gegevens opgenomen:

a)  de naam en de contactgegevens van de voor de verwerking verantwoordelijke en de eventuele gemeenschappelijk voor de verwerking verantwoordelijke of verwerker;

a bis)  de juridisch bindende overeenkomst, in geval van gezamenlijk voor de verwerking verantwoordelijken; de lijst met verwerkers en de door hen uitgevoerde activiteiten;

b)  de doeleinden van de verwerking;

b bis)  de onderdelen van de organisatie van de voor de verwerking verantwoordelijke of van de verwerker die belast zijn met de verwerking van persoonsgegevens voor een specifiek doeleinde;

b ter)  de beschrijving van de categorie of categorieën betrokkenen en van de gegevens of categorieën gegevens die op hen betrekking hebben;

c)  de ontvangers of categorieën ontvangers van de persoonsgegevens;

c bis)  in voorkomend geval informatie over het bestaan van profilering, van maatregelen op basis van profilering en van mechanismen om bezwaar te maken tegen profilering;

c ter)  begrijpelijke informatie over de logica die aan de geautomatiseerde gegevensverwerking ten grondslag ligt;

d)  het feit dat gegevens zijn doorgegeven naar een derde land of een internationale organisatie, met vermelding van de naam van dat derde land of internationale organisatie. en de rechtsgronden op basis waarvan de gegevens worden doorgegeven; een inhoudelijke toelichting wordt gegeven wanneer de doorgifte is gebaseerd op artikel 35 of artikel 36 van deze richtlijn;

d bis)  de termijnen waarbinnen de verschillende categorieën gegevens worden gewist;

d ter)  de resultaten van de verificaties van de in artikel 18, lid 1, bedoelde maatregelen;

d quater)  een aanwijzing betreffende de rechtsgrondslag van de verwerking waarvoor de gegevens bestemd zijn.

3.  De voor de verwerking verantwoordelijke en de verwerker stellen de alle documentatie desgevraagd ter beschikking van de toezichthoudende autoriteit. [Am. 85]

Artikel 24

Bijhouden van registratie

1.  De lidstaten zien erop toe dat een registratie wordt bijgehouden van ten minste de volgende verwerkingsactiviteiten: verzameling, wijziging, raadpleging, verstrekking, combinatie of wissing. Bij de registratie van raadpleging en verstrekking wordt met name het doel, de datum en het tijdstip van die handeling aangegeven en indien mogelijk de identiteit van de persoon die persoonsgegevens heeft geraadpleegd of verstrekt en de identiteit van de ontvangers van deze gegevens.

2.  De registratie wordt uitsluitend gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen en om de integriteit en de beveiliging van de gegevens te waarborgen, of voor controles door de functionaris voor gegevensbescherming of de gegevensbeschermingsautoriteit.

2 bis.  De voor de verwerking verantwoordelijke en de verwerker stellen de registratie desgevraagd ter beschikking van de toezichthoudende autoriteit. [Am. 86]

Artikel 25

Verlening van medewerking aan de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker desgevraagd medewerking verlenen aan de toezichthoudende autoriteit bij de uitoefening van haar taken, met name door haar alle de in artikel 46, lid 2, onder a) bedoelde informatie te verstrekken die zij voor de vervulling van en door haar taken nodig heeft toegang te verlenen zoals bepaald in artikel 46, lid 2, onder b).

2.  Wanneer de toezichthoudende autoriteit haar bevoegdheden uit hoofde van artikel 46, lid 1, onder a) en b), uitoefent, antwoorden de voor de verwerking verantwoordelijke en de verwerker de toezichthoudende autoriteit binnen een redelijke, door de toezichthoudende autoriteit te bepalen termijn. Het antwoord omvat een beschrijving van de in aansluiting op de opmerkingen van de toezichthoudende autoriteit genomen maatregelen en behaalde resultaten. [Am. 87]

Artikel 25 bis

Privacyeffectbeoordeling

1.  De lidstaten bepalen dat, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden waarschijnlijk specifieke risico's inhouden voor de rechten en vrijheden van de betrokkenen, de voor de verwerking verantwoordelijke of de verwerker die namens de verwerking verantwoordelijke optreedt, alvorens nieuwe verwerkingen te verrichten of, in het geval van lopende verwerkingen, zo spoedig mogelijk, een beoordeling uitvoert van het effect van de beoogde of verwerkingssystemen en -procedures op de bescherming van persoonsgegevens.

2.  Met name de volgende verwerkingen kunnen de in lid 1 bedoelde specifieke risico's inhouden:

a)  de verwerking van persoonsgegevens in grote bestanden met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

b)  de verwerking van bijzondere categorieën persoonsgegevens als bedoeld in artikel 8, van persoonsgegevens met betrekking tot kinderen en biometrische gegevens en gegevens over de verblijfplaats met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

c)  een beoordeling van aspecten van de persoonlijkheid van een natuurlijke persoon om met name zijn gedrag te analyseren of te voorspellen, die is gebaseerd op geautomatiseerde verwerking en die waarschijnlijk maatregelen met zich meebrengt, waaraan voor die persoon rechtsgevolgen zijn verbonden of die hem in aanzienlijke mate treffen;

d)  de bewaking van openbaar toegankelijke ruimten, met name wanneer optisch-elektronische apparatuur (videobewaking) wordt gebruikt; of

e)  andere verwerkingen waarvoor op grond van artikel 26, lid 1, de toezichthoudende autoriteit moet worden geraadpleegd.

3.  De beoordeling bevat ten minste:

a)  een stelselmatige beschrijving van de beoogde verwerkingen;

b)  een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot het doel;

c)  een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen en de maatregelen die worden beoogd om de risico’s te beperken en de omvang van de verwerkte persoonsgegevens;

d)  de beveiligingsmaatregelen en mechanismen die de bescherming van persoonsgegevens waarborgen en bewijs leveren voor naleving van de op grond van deze richtlijn vastgestelde bepalingen, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen en andere betrokken personen;

e)  een algemene aanwijzing betreffende de termijnen waarbinnen de verschillende categorieën gegevens worden gewist;

f)  in voorkomend geval, een lijst van de voorgenomen doorgiften van gegevens naar een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 36, lid 2, bedoelde doorgiften, de documenten inzake de passende waarborgen.

4.  Indien de voor de verwerking verantwoordelijke of de verwerker een functionaris voor gegevensbescherming heeft aangewezen, wordt deze betrokken bij de uitvoering van de effectbeoordelingen.

5.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke een openbare raadpleging houdt over de beoogde verwerking, zonder afbreuk te doen aan de bescherming van het algemeen belang of de veiligheid van de verwerkingen.

6.  De beoordeling wordt in een gemakkelijk toegankelijke vorm aan het publiek ter beschikking gesteld, zonder afbreuk te doen aan de bescherming van het algemeen belang of de veiligheid van de verwerkingen.

7.  De Commissie is bevoegd om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor verwerkingen die waarschijnlijk de in de leden 1 en 2 bedoelde specifieke risico’s inhouden, en van de vereisten voor de in lid 3 bedoelde beoordeling, met inbegrip van de voorwaarden voor uitbreidbaarheid en interne en externe toetsing. [Am. 88]

Artikel 26

Voorafgaande raadpleging van de toezichthoudende autoriteit

1.  De lidstaten zien erop toe dat de voor de verwerking verantwoordelijke of de verwerker de toezichthoudende autoriteit raadpleegt voordat persoonsgegevens, die in een nieuw bestand zullen worden opgenomen, worden verwerkt, om ervoor te zorgen dat de beoogde verwerking voldoet aan de bepalingen van deze richtlijn en met name om de hieraan verbonden risico's voor de betrokkene te beperken, wanneer:

a)  bijzondere categorieën gegevens als bedoeld in artikel 8 worden verwerkt; een privacyeffectbeoordeling als bedoeld in artikel 25 bis aangeeft dat verwerkingen vanwege hun aard, hun reikwijdte en/of hun doeleinden waarschijnlijk grote specifieke risico’s met zich brengen; of

b)  de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, anderszins specifieke risico’s met zich meebrengt voor de grondrechten en fundamentele vrijheden van de betrokkene, in het bijzonder zijn recht op bescherming van persoonsgegevens de toezichthoudende autoriteit het nodig acht om vooraf tot raadpleging over te gaan over specifieke verwerkingen die naar hun aard, hun reikwijdte of hun doeleinden waarschijnlijk specifieke risico’s voor de rechten en vrijheden van betrokkenen met zich mee brengen.

1 bis.  Wanneer de toezichthoudende autoriteit overeenkomstig haar bevoegdheid vaststelt dat de voorgenomen verwerking niet aan de bepalingen van deze richtlijn voldoet, met name wanneer de risico’s onvoldoende zijn vastgesteld of beperkt, verbiedt zij de voorgenomen verwerking en doet zij passende voorstellen om alsnog aan deze richtlijn te voldoen.

2.  De lidstaten kunnen bepalen dat de toezichthoudende autoriteit, na raadpleging van het Europees Comité voor gegevensbescherming, een lijst opstelt van verwerkingen waarvoor overeenkomstig lid 1, onder b), voorafgaande raadpleging moet plaatsvinden.

2 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de toezichthoudende autoriteit de in artikel 25 bis bedoelde privacyeffectbeoordeling verstrekt en, op verzoek, alle andere informatie op grond waarvan de toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico’s voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

2 ter.  Wanneer de toezichthoudende autoriteit van mening is dat de voorgenomen verwerking niet aan de bepalingen van deze richtlijn voldoet, of dat de risico’s onvoldoende zijn vastgesteld of beperkt, doet zij passende voorstellen om alsnog aan deze richtlijn te voldoen.

2 quater.  De lidstaten kunnen de toezichthoudende autoriteit raadplegen bij de voorbereiding van een door het nationale parlement vast te stellen wettelijke maatregel of een op een dergelijke wettelijke maatregel gebaseerde maatregel die de aard van de verwerking bepaalt, teneinde ervoor te zorgen dat de voorgenomen verwerking aan deze richtlijn voldoet en met name de betrokken risico’s voor de betrokkenen te beperken. [Am. 89]

AFDELING 2

GEGEVENSBEVEILIGING

Artikel 27

Beveiliging van de verwerking

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen en procedures toepassen om, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen, een passend beveiligingsniveau te waarborgen, waarbij rekening wordt gehouden met de stand van de techniek en met de kosten van uitvoering van de maatregelen en procedures.

2.  Elke lidstaat bepaalt ten aanzien van de geautomatiseerde verwerking van gegevens dat de voor de verwerking verantwoordelijke of de verwerker, na beoordeling van de risico’s, maatregelen treft om:

a)  te verhinderen dat onbevoegden toegang krijgen tot apparatuur voor de verwerking van persoonsgegevens (controle op de toegang tot de apparatuur);

b)  te voorkomen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of verwijderen (controle op de gegevensdragers);

c)  te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen (opslagcontrole);

d)  te voorkomen dat onbevoegden de systemen voor geautomatiseerde gegevensverwerking gebruiken met behulp van datatransmissieapparatuur (gebruikerscontrole);

e)  ervoor te zorgen dat degenen die bevoegd zijn een systeem voor geautomatiseerde gegevensverwerking te gebruiken, uitsluitend toegang hebben tot de gegevens waarop hun toegangsbevoegdheid betrekking heeft (controle op de toegang tot de gegevens);

f)  ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden verstrekt of beschikbaar gesteld met behulp van datatransmissieapparatuur (transmissiecontrole);

g)  ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in een geautomatiseerd gegevensverwerkingssysteem zijn ingevoerd (invoercontrole);

h)  te voorkomen dat onbevoegden de persoonsgegevens lezen, kopiëren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers (vervoerscontrole);

i)  ervoor te zorgen dat de geïnstalleerde systemen in geval van storing opnieuw ingezet kunnen worden (herstel);

j)  ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen gesignaleerd worden (betrouwbaarheid) en dat opgeslagen persoonsgegevens niet door verkeerd functioneren van het systeem beschadigd kunnen worden (integriteit);

j bis) te waarborgen dat ingeval van verwerking van gevoelige persoonsgegevens overeenkomstig artikel 8 bijkomende veiligheidsmaatregelen getroffen zijn om te zorgen voor omgevingsbewustzijn over de risico's en voor de mogelijkheid om bijna real-time preventieve, corrigerende en beperkende maatregelen te treffen in geval van detectie van kwetsbare plekken of incidenten die een bedreiging kunnen vormen voor de gegevens.

2 bis.  De lidstaten bepalen dat verwerkers alleen kunnen worden aangewezen indien zij garanderen de vereiste technische en organisatorische maatregelen van lid 1 te treffen en de instructies van artikel 21, lid 2, onder a), te zullen opvolgen. De bevoegde autoriteit ziet erop toe dat de verwerker hieraan voldoet.

3.  De Commissie kan zo nodig uitvoeringshandelingen vaststellen om de in de leden 1 en 2 vastgestelde vereisten voor verschillende situaties vast te leggen, met name de normen voor versleuteling. Deze uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure. [Am. 90]

Artikel 28

Melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke in geval van een inbreuk in verband met persoonsgegevens deze inbreuk zonder onnodige vertraging meldt aan de toezichthoudende autoriteit, zo mogelijk niet later dan 24 uur nadat hij ervan kennis heeft gekregen. Wanneer de melding niet binnen 24 uur plaatsvindt er vertraging optreedt, doet de voor de verwerking verantwoordelijke desgevraagd de melding vergezeld gaan van een motivering.

2.  De verwerker waarschuwt en informeert de voor de verwerking verantwoordelijke onmiddellijk nadat hij kennis heeft gekregen zonder onnodige vertraging na de vaststelling van een inbreuk in verband met persoonsgegevens.

3.  De in lid 1 bedoelde melding bevat ten minste:

a)  een omschrijving van de aard van de inbreuk in verband met persoonsgegevens, waaronder de betrokken categorieën en aantallen betrokkenen en de categorieën en aantallen gegevensrecords;

b)  de vermelding van de identiteit en de contactgegevens van de in artikel 30 bedoelde functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

c)  aanbevelingen voor maatregelen om de mogelijk nadelige gevolgen van de inbreuk in verband met persoonsgegevens te verminderen;

d)  een omschrijving van de mogelijke gevolgen van de inbreuk in verband met persoonsgegevens;

e)  een omschrijving van de maatregelen die de voor de verwerking verantwoordelijke voorstelt of heeft genomen om de inbreuk in verband met persoonsgegevens aan te pakken en de gevolgen ervan te beperken.

Indien niet alle informatie zonder onnodige vertraging kan worden verstrekt, kan de voor de verwerking verantwoordelijke de melding in een tweede fase completeren.

4.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke alle inbreuken op persoonsgegevens documenteert, met inbegrip van de feiten omtrent de inbreuk, de gevolgen van de inbreuk en de corrigerende maatregelen die zijn genomen. Deze documentatie moet moeten afdoende zijn om de toezichthoudende autoriteit in staat te stellen om de naleving van dit artikel te controleren. De documentatie omvat uitsluitend de voor dat doel noodzakelijke informatie.

4 bis.  De toezichthoudende autoriteit houdt een openbaar register bij van alle soorten gemelde inbreuken.

5.  De Commissie is bevoegd om, na het Europees Comité voor gegevensbescherming om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de vereisten voor de vaststelling van de in de leden 1 en 2 bedoelde inbreuk in verband met persoonsgegevens en voor de specifieke omstandigheden waarin een voor de verwerking verantwoordelijke en een verwerker verplicht is zijn de inbreuk in verband met persoonsgegevens te melden.

6.  De Commissie kan het standaardformaat vaststellen voor deze melding aan de toezichthoudende autoriteit alsmede de op het meldingsvereiste toepasselijke procedures en de vorm en de modaliteiten van de in lid 4 bedoelde documentatie, met inbegrip van de termijnen voor het wissen van de daarin opgenomen informatie. De betrokken uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure. [Am. 91]

Artikel 29

Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene

1.  De lidstaten bepalen dat wanneer het waarschijnlijk is dat de inbreuk in verband met persoonsgegevens negatieve gevolgen voor de bescherming van de persoonsgegevens, of de persoonlijke levenssfeer, de rechten of de gerechtvaardigde belangen van de betrokkene heeft, de voor de verwerking verantwoordelijke, na de in artikel 28 bedoelde melding, de betrokkene zonder onnodige vertraging over de inbreuk in verband met persoonsgegevens inlicht.

2.  De in lid 1 bedoelde mededeling aan de betrokkene is uitgebreid en in duidelijke en eenvoudige taal geschreven. Deze bevat een omschrijving van de aard van de inbreuk in verband met persoonsgegevens en ten minste de in artikel 28, lid 3, onder b) en in artikel 28, lid 3, onder b), c), en d), voorgeschreven informatie en aanbevelingen en informatie over de rechten van de betrokkenen, met inbegrip van het recht op beroep.

3.  Melding van een inbreuk in verband met persoonsgegevens aan de betrokkene is niet vereist wanneer de voor de verwerking verantwoordelijke tot voldoening van de toezichthoudende autoriteit aantoont dat hij passende technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de persoonsgegevens waarop de inbreuk in verband met persoonsgegevens betrekking heeft. Dergelijke technologische beschermingsmaatregelen moeten de gegevens onbegrijpelijk maken voor eenieder die geen recht op toegang daartoe heeft.

3 bis.  Onverminderd de verplichting van de voor de verwerking verantwoordelijke om de inbreuk in verband met persoonsgegevens aan de betrokkene te melden, kan de toezichthoudende autoriteit, na de waarschijnlijkheid van negatieve gevolgen van de inbreuk te hebben overwogen, de voor de verwerking verantwoordelijke gelasten de inbreuk in verband met persoonsgegevens aan de betrokkene te melden wanneer deze laatste dat nog niet heeft gedaan.

4.  De mededeling aan de betrokkene kan worden uitgesteld, of worden beperkt of achterwege gelaten om de redenen bedoeld in artikel 11, lid 4. [Am. 92]

AFDELING 3

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Artikel 30

Aanstelling van de functionaris voor gegevensbescherming

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker een functionaris voor gegevensbescherming aanwijzen.

2.  De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 32 bedoelde taken te vervullen. Het vereiste niveau van deskundigheid wordt met name bepaald op grond van de uitgevoerde gegevensverwerking en de bescherming die door de voor de verwerking verantwoordelijke of de verwerker verwerkte gegevens vereist is.

2 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker ervoor zorgen dat alle andere beroepswerkzaamheden van de functionaris voor gegevensbescherming verenigbaar zijn met zijn taken en verplichtingen als functionaris voor gegevensbescherming en niet tot een belangenconflict leiden.

2 ter.  De functionaris voor gegevensbescherming wordt voor een termijn van ten minste vier jaar benoemd. De functionaris voor gegevensbescherming kan worden herbenoemd. Tijdens zijn ambtstermijn kan de functionaris voor gegevensbescherming alleen worden ontslagen wanneer hij niet langer voldoet aan de voorwaarden voor de uitvoering van zijn taken.

2 quater.  De lidstaten bepalen dat de betrokkene het recht heeft om contact op te nemen met de functionaris voor gegevensbescherming over alle aangelegenheden die te maken hebben met de verwerking van zijn persoonsgegevens.

3.  De functionaris voor gegevensbescherming kan worden aangewezen voor meer dan een entiteit, rekening houdende met de organisatiestructuur van de bevoegde autoriteit.

3 bis.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de naam en de contactgegevens van de functionaris voor gegevensbescherming aan de toezichthoudende autoriteit en het publiek meedeelt. [Am. 93]

Artikel 31

Positie van de functionaris voor gegevensbescherming

1.  De lidstaten bepalen dat de voor de verwerking verantwoordelijke en de verwerker ervoor zorgen dat de functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die betrekking hebben op de bescherming van persoonsgegevens.

2.  De voor de verwerking verantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming de middelen krijgt om zijn plichten en taken uit hoofde van artikel 32 doeltreffend en onafhankelijk te vervullen en geen instructies ontvangt met betrekking tot de uitoefening van de taak.

2 bis.  De voor de verwerking verantwoordelijke of de verwerker ondersteunt de functionaris voor gegevensbescherming bij de vervulling van zijn taken en zorgt voor personeel, kantoren, uitrusting, regelmatige bijscholing en alle andere middelen die nodig zijn voor de vervulling van de in artikel 32 bedoelde plichten en taken, en om zijn professionele kennis op peil te houden. [Am. 94]

Artikel 32

Taken van de functionaris voor gegevensbescherming

De lidstaten bepalen dat de voor de verwerking verantwoordelijke of de verwerker de functionaris voor gegevensbescherming ten minste de volgende taken opdragen:

a)  het bewust maken, informeren en adviseren van de voor de verwerking verantwoordelijke en de verwerker over hun verplichtingen op grond van deze richtlijn, met name wat betreft technische en organisatorische maatregelen en procedures, en en het documenteren van deze activiteit en de ontvangen antwoorden;

b)  het toezicht houden op de uitvoering en toepassing van het beleid met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;

c)  het toezicht houden op de uitvoering en de toepassing van de krachtens deze richtlijn vastgestelde bepalingen, met name met betrekking tot de vereisten inzake privacy by design, privacy by default en gegevensbeveiliging en met betrekking tot het informeren van betrokkenen en hun verzoeken in het kader van de uitoefening van hun rechten uit hoofde van de krachtens deze richtlijn vastgestelde bepalingen;

d)  ervoor zorgen dat de in artikel 23 bedoelde documentatie wordt bijgehouden;

e)  het toezicht houden op de documentering en melding van inbreuken op persoonsgegevens overeenkomstig de artikelen 28 en 29;

f)  het toezicht houden op de uitvoering van de privacyeffectbeoordeling door de voor de verwerking verantwoordelijke of de verwerker en op het verzoek aan de toezichthoudende autoriteit om voorafgaande raadpleging, voor zover daartoe op grond van artikel 26, lid 1, een verplichting bestaat;

g)  het nagaan van het gevolg dat aan verzoeken van de toezichthoudende autoriteit is gegeven en het, binnen de grenzen van de bevoegdheid van de functionaris voor gegevensbescherming, samenwerken met de toezichthoudende autoriteit op diens verzoek of op eigen initiatief van de functionaris voor gegevensbescherming;

h)  het optreden als contactpunt voor de toezichthoudende autoriteit voor aangelegenheden in verband met de verwerking en het, in voorkomend geval, op eigen initiatief van de functionaris voor gegevensbewerking raadplegen van de toezichthoudende autoriteit. [Am. 95]

HOOFDSTUK V

DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Artikel 33

Algemene beginselen inzake doorgiften van persoonsgegevens

1.  De lidstaten bepalen dat de bevoegde autoriteiten persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na doorgifte naar een derde land of naar een internationale organisatie te worden verwerkt, waaronder verdere doorgiften naar een ander derde land of een andere internationale organisatie, slechts mogen doorgeven indien:

a)  de betreffende doorgifte noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen; en alsmede

a bis)  de gegevens worden doorgegeven aan een voor de verwerking verantwoordelijke in een derde land of in een internationale organisatie die een bevoegde autoriteit is voor de doeleinden als vermeld in artikel 1, lid 1; alsmede

a ter)  de in dit hoofdstuk neergelegde voorwaarden door de voor de verwerking verantwoordelijke en de verwerker worden nageleefd, met inbegrip van de voorwaarden voor doorgiften van persoonsgegevens door een derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie; alsmede

b)  de in dit hoofdstuk neergelegde overige krachtens deze richtlijn vastgestelde voorwaarden bepalingen door de voor de verwerking verantwoordelijke en de verwerker worden nageleefd. ; alsmede

b bis)  het niveau van de bescherming van persoonsgegevens van natuurlijke personen in de Unie dat met deze richtlijn wordt gewaarborgd, niet wordt aangetast; alsmede

b ter)  de Commissie overeenkomstig de voorwaarden en de procedure als bedoeld in artikel 34, heeft besloten dat het betreffende derde land of de betreffende internationale organisatie een passend beschermingsniveau biedt; of

b quater)  in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens zijn geboden, als bedoeld in artikel 35.

2.  De lidstaten bepalen dat verdere doorgiften overeenkomstig lid 1 van dit artikel uitsluitend mogen plaatsvinden indien, in aanvulling op de in dat lid opgenomen voorwaarden:

a)  de verdere doorgifte noodzakelijk is voor hetzelfde specifieke doel als de oorspronkelijke doorgifte; alsmede

b)  de bevoegde autoriteit die de oorspronkelijke doorgifte heeft uitgevoerd, de verdere doorgifte goedkeurt. [Am. 96]

Artikel 34

Doorgiften op basis van een besluit waarbij het beschermingsniveau passend wordt verklaard

1.  De lidstaten bepalen dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie kan plaatsvinden, wanneer de Commissie overeenkomstig artikel 41 van Verordening (EU) ..../2012 of overeenkomstig lid 3 van dit artikel heeft besloten dat het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie een passend beschermingsniveau waarborgt. Voor een dergelijke doorgifte is geen verdere specifieke toestemming nodig.

2.  Wanneer er geen overeenkomstig artikel 41 van Verordening (EU) ..../2012 vastgesteld besluit bestaat, beoordeelt de Commissie Bij de beoordeling van de vraag of er een passend beschermingsniveau is, waarbij zij houdt de Commissie rekening houdt met de volgende aspecten:

a)  de rechtsstaat, de relevante geldende algemene en sectorale wetgeving, onder meer inzake openbare veiligheid, defensie, nationale veiligheid en strafrecht, alsook de uitvoering van deze wetgeving en de de veiligheidsmaatregelen die in dat land of door die internationale organisatie worden nageleefd, precedenten in de rechtspraak, alsook het bestaan van effectieve en afdwingbare rechten, waaronder effectieve mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor in de Unie wonende betrokkenen wier persoonsgegevens worden doorgegeven;

b)  het bestaan en de effectieve werking van een of meer onafhankelijke toezichthoudende autoriteiten in het betrokken land of de betrokken internationale organisatie, die belast zijn met het toezicht op de naleving van de gegevensbeschermingsregels, waaronder toereikende sanctiebevoegdheden, het bijstaan en het adviseren van betrokkenen bij de uitoefening van hun rechten en de samenwerking met de toezichthoudende autoriteiten van de Unie en de lidstaten; alsmede

c)  de internationale verbintenissen die het betrokken derde land of de betrokken internationale organisatie is aangegaan, met name juridisch bindende conventies of instrumenten met betrekking tot de bescherming van persoonsgegevens.

3.  De Commissie kan is bevoegd binnen de werkingssfeer van deze richtlijn bij besluit vaststellen, na het Europees Comité om advies te hebben gevraagd, overeenkomstig artikel 56 gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie een passend beschermingsniveau in de zin van lid 2 waarborgt. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure.

4.  In de gedelegeerde uitvoeringshandeling worden het geografische en het sectorale toepassingsgebied vastgelegd en, in voorkomend geval, de in lid 2, onder b), genoemde toezichthoudende autoriteit vermeld.

4 bis.  De Commissie volgt doorlopend de ontwikkelingen die van invloed kunnen zijn op de inachtneming van de in lid 2 genoemde aspecten in derde landen en bij internationale organisaties, in verband waarmee overeenkomstig lid 3 een gedelegeerde handeling is vastgesteld.

5.  De Commissie kan is bevoegd overeenkomstig artikel 56, binnen de werkingssfeer van deze richtlijn, bij besluit vaststellen gedelegeerde handelingen vast te stellen om te besluiten dat een derde land, of een gebied of een verwerkingssector in dat derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van lid 2 waarborgt, met name in de gevallen waarin de relevante algemene en sectorale wetgeving die in het betrokken derde land of de betrokken internationale organisatie geldt, geen effectieve en afdwingbare rechten waarborgt, waaronder mogelijkheden voor betrokkenen om administratief beroep of beroep in rechte in te stellen, met name voor betrokkenen wier persoonsgegevens worden doorgegeven. Die uitvoeringshandelingen worden vastgesteld volgens de in artikel 57, lid 2, bedoelde onderzoeksprocedure of, in bijzonder spoedeisende omstandigheden voor het recht van natuurlijke personen op bescherming van hun persoonsgegevens, volgens de in artikel 57, lid 3, bedoelde procedure.

6.  De lidstaten zien erop toe dat wanneer de Commissie overeenkomstig lid 5 een besluit vaststelt, alle doorgiften van persoonsgegevens naar het betrokken derde land, of een gebied of een verwerkingssector in dat derde land, of de betrokken internationale organisatie worden verboden; dit besluit laat de doorgiften op grond van artikel 35, lid 1, of overeenkomstig artikel 36 onverlet. De Commissie pleegt ten gepaste tijde overleg met het derde land of de internationale organisatie ter verhelping van de situatie die voortvloeit uit het besluit dat overeenkomstig lid 5 is vastgesteld.

7.  De Commissie maakt in het Publicatieblad van de Europese Unie een lijst bekend van de derde landen, gebieden en verwerkingssectoren in derde landen en internationale organisaties waarvoor zij bij besluit heeft vastgesteld of er al dan niet een passend beschermingsniveau gewaarborgd is.

8.  De Commissie ziet toe op de toepassing van de in de leden 3 en 5 bedoelde uitvoeringshandelingen gedelegeerde handelingen. [Am. 97]

Artikel 35

Doorgiften op basis van passende garanties

1.  Wanneer de Commissie geen besluit overeenkomstig artikel 34 heeft vastgesteld, bepalen de lidstaten of indien zij bij besluit vaststelt dat een doorgifte derde land, een gebied of een verwerkingssector in een derde land, of een internationale organisatie geen passend beschermingsniveau in de zin van artikel 34, lid 5, waarborgt, kan een voor de verwerking verantwoordelijke of een verwerker geen persoonsgegevens naar een ontvanger in een derde land of een internationale organisatie kan plaatsvinden indien doorgeven, tenzij hij in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens biedt.

a)  in een juridisch bindend instrument passende garanties voor de bescherming van de persoonsgegevens zijn geboden; of

b)  de voor de verwerking verantwoordelijke of de verwerker alle omstandigheden in verband met de doorgifte van persoonsgegevens heeft beoordeeld en geconcludeerd heeft dat er passende waarborgen bestaan voor de bescherming van persoonsgegevens.

2.   . Het besluit tot doorgiften op grond van lid 1, onder b), moet worden vastgesteld door naar behoren bevoegd personeel. Deze doorgiften moeten worden gedocumenteerd en de documentatie moet op verzoek aan de behoeven voorafgaande goedkeuring van toezichthoudende autoriteit worden verstrekt. [Am. 98]

Artikel 36

Afwijkingen

1.  Wanneer de Commissie uit hoofde van artikel 34 lid 5 een besluit vaststelt dat er geen passend beschermingsniveau is, blijft doorgifte van persoonsgegevens aan het betrokken derde land, of aan de betrokken internationale organisatie achterwege, voorzover ook in het individuele geval de gerechtvaardigde belangen van de betrokkene bij een doorgifteverbod prevaleren boven een bijzonder algemeen belang bij doorgifte van de gegevens.

2.  In afwijking van de artikelen 34 en 35 bepalen de lidstaten dat een doorgifte van persoonsgegevens naar een derde land of een internationale organisatie slechts kan plaatsvinden op voorwaarde dat:

a)  de doorgifte noodzakelijk is ter bescherming van een vitaal belang van de betrokkene of van een andere persoon; of

b)  de doorgifte noodzakelijk is ter vrijwaring van de rechtmatige belangen van de betrokkene, wanneer het recht van de lidstaat vanuit welke de doorgifte van persoonsgegevens plaatsvindt, aldus bepaalt; of

c)  de doorgifte van de gegevens van wezenlijk belang is ter voorkoming van een onmiddellijke en ernstige bedreiging voor de openbare veiligheid van een lidstaat of een derde land; of

d)  de doorgifte in afzonderlijke gevallen noodzakelijk is met het oog op de preventie, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; of

e)  de doorgifte in afzonderlijke gevallen noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte in verband met de preventie, het onderzoek, de opsporing of de vervolging van een specifiek strafbaar feit of de tenuitvoerlegging van een specifieke straf.

2 bis.  Voor verwerking op grond van lid 2 is een in het Unierecht vastgelegde rechtsgrondslag, of een rechtsgrondslag vastgelegd in het recht waaraan de voor de verwerking verantwoordelijk onderworpen is, vereist; dat recht moet voldoen aan een doelstelling van algemeen belang of is noodzakelijk om de rechten en vrijheden van anderen te beschermen, eerbiedigt de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens en staat in verhouding tot het nagestreefde rechtmatige doel.

2 ter.  Alle doorgiften van persoonsgegevens waartoe is besloten op basis van een uitzondering, zijn naar behoren gerechtvaardigd en beperkt tot het strikt noodzakelijke; massale, frequente doorgiften van persoonsgegevens zijn niet toegestaan.

2 quater.  Het besluit tot doorgiften op grond van lid 2 moet worden vastgesteld door naar behoren gemachtigd personeel. Deze doorgiften worden gedocumenteerd en de documentatie wordt desgevraagd ter beschikking gesteld van de toezichthoudende autoriteit, met inbegrip van de datum en tijd van doorgifte, informatie over de ontvangende autoriteit, de reden voor de doorgiften de doorgegeven gegevens zelf. [Am. 99]

Artikel 37

Specifieke voorwaarden voor de doorgifte van persoonsgegevens

De lidstaten bepalen dat de voor de verwerking verantwoordelijke de ontvanger van de persoonsgegevens inlicht over eventuele beperkingen voor de verwerking en alle redelijke maatregelen neemt om te waarborgen dat deze beperkingen worden nageleefd. De voor de verwerking verantwoordelijke licht de ontvanger van de persoonsgegevens tevens in als die gegevens worden bijgewerkt, gerectificeerd of gewist, waarbij de ontvanger die kennisgeving op dezelfde manier verwerkt als bij een nieuwe doorgifte. [Am. 100]

Artikel 38

Internationale samenwerking voor de bescherming van persoonsgegevens

1.  Ten aanzien van derde landen en internationale organisaties nemen de Commissie en de lidstaten de nodige maatregelen om:

a)  procedures voor effectieve internationale samenwerking te ontwikkelen, zodat de handhaving van het recht inzake de bescherming van persoonsgegevens wordt vergemakkelijkt gewaarborgd; [Am. 101]

b)  internationale wederzijdse bijstand te bieden bij de handhaving van het recht inzake de bescherming van persoonsgegevens, onder andere door kennisgeving, doorverwijzing van klachten, bijstand in onderzoeken en uitwisseling van informatie, voor zover passende garanties voor de bescherming van persoonsgegevens en andere grondrechten en fundamentele vrijheden bestaan;

c)  belanghebbenden bij besprekingen en activiteiten te betrekken om de internationale samenwerking bij de handhaving van het recht inzake de bescherming van persoonsgegevens te bevorderen;

d)  het uitwisselen en het documenteren van het recht en de praktijken inzake de bescherming van persoonsgegevens te bevorderen;

d bis)  opheldering te verschaffen en overleg te plegen over geschillen met derde landen inzake jurisdictie. [Am. 102]

2.  Met het oog op de toepassing van lid 1 neemt de Commissie de nodige maatregelen om de betrekkingen met derde landen of internationale organisaties, en met name hun toezichthoudende autoriteiten, te bevorderen, wanneer zij overeenkomstig artikel 34, lid 3, bij besluit heeft vastgesteld dat zij een passend beschermingsniveau waarborgen.

Artikel 38 bis

Verslag van de Commissie

Op gezette tijden dient de Commissie bij het Europees Parlement en de Raad een verslag in over de toepassing van de artikelen 33 tot en met 38. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze richtlijn ingediend. Daartoe kan de Commissie bij de lidstaten en de toezichthoudende autoriteiten informatie opvragen die onverwijld wordt toegezonden. Het verslag wordt openbaar gemaakt. [Am. 103]

HOOFDSTUK VI

ONAFHANKELIJKE TOEZICHTHOUDENDE AUTORITEITEN

AFDELING 1

ONAFHANKELIJKHEID

Artikel 39

Toezichthoudende autoriteit

1.  Elke lidstaat bepaalt dat één of meer overheidsinstanties worden belast met het toezicht op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en een bijdrage leveren aan de uniforme toepassing ervan in de hele Unie, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de verwerking van hun persoonsgegevens te beschermen en het vrije verkeer van persoonsgegevens binnen de Unie te vergemakkelijken. Daartoe werken de toezichthoudende autoriteiten samen met elkaar en met de Commissie.

2.  De lidstaten kunnen bepalen dat de toezichthoudende autoriteiten die in de lidstaten overeenkomstig Verordening (EU) …./2014 zijn opgericht, verantwoordelijk zijn voor de taken van de toezichthoudende autoriteit die overeenkomstig lid 1 van dit artikel moet worden aangewezen.

3.  Wanneer er in een lidstaat meer dan één toezichthoudende autoriteit is opgericht, wijst die lidstaat de toezichthoudende autoriteit aan die optreedt als enig contactpunt voor de effectieve deelname van die autoriteiten aan het Europees Comité voor gegevensbescherming.

Artikel 40

Onafhankelijkheid

1.  De lidstaten zien erop toe dat de toezichthoudende autoriteit bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk optreedt, niettegenstaande de bepalingen van hoofdstuk VII van deze richtlijn inzake samenwerking. [Am. 104]

2.  Elke lidstaat ziet erop toe dat de leden van de toezichthoudende autoriteit bij de uitvoering van hun taken instructies vragen noch aanvaarden van wie dan ook, en volledige onafhankelijkheid en onpartijdigheid betrachten. [Am. 105]

3.  De leden van de toezichthoudende autoriteit onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen andere al dan niet bezoldigde beroepswerkzaamheden.

4.  Na afloop van hun ambtstermijn betrachten de leden van de toezichthoudende autoriteit bij het aanvaarden van functies en voordelen eerlijkheid en kiesheid.

5.  Elke lidstaat ziet erop toe dat de toezichthoudende autoriteit kan beschikken over passende menselijke, technische en financiële middelen, en de lokalen en infrastructuur die nodig zijn om haar taken en bevoegdheden, waaronder die in het kader van wederzijdse bijstand, samenwerking en actieve deelname aan het Europees Comité voor gegevensbescherming, effectief uit te voeren en uit te oefenen.

6.  Elke lidstaat ziet erop toe dat de toezichthoudende autoriteit haar eigen personeelsleden heeft, die door het hoofd van de toezichthoudende autoriteit worden benoemd en onder zijn leiding staan.

7.  De lidstaten zien erop toe dat het financieel toezicht op de toezichthoudende autoriteit haar onafhankelijkheid niet in het gedrang brengt. De lidstaten zien erop toe dat de toezichthoudende autoriteit over een eigen jaarlijkse begroting beschikt. De begroting wordt openbaar gemaakt.

Artikel 41

Algemene voorwaarden voor de leden van de toezichthoudende autoriteit

1.  De lidstaten bepalen dat de leden van de toezichthoudende autoriteit ofwel door het parlement ofwel door de regering van de betrokken lidstaat worden benoemd.

2.  De leden worden gekozen uit personen die alle waarborgen voor onafhankelijkheid bieden en die kunnen aantonen dat zij beschikken over de nodige ervaring en vaardigheden voor de uitvoering van hun taken.

3.  De ambtsvervulling eindigt bij het verstrijken van de ambtstermijn, bij ontslag of bij ontslag ambtshalve, zulks met inachtneming van lid 5.

4.  Een lid kan door een bevoegde nationale gerechtelijke instantie van zijn ambt worden ontheven of van zijn recht op pensioen of andere in de plaats daarvan komende voordelen vervallen worden verklaard, indien hij niet langer voldoet aan de voorwaarden voor de uitvoering van de taken of op ernstige wijze is tekortgeschoten.

5.  Een lid waarvan de ambtstermijn verstrijkt of dat ontslag neemt, blijft zijn of haar taken uitvoeren totdat een nieuw lid is benoemd.

Artikel 42

Oprichting van de toezichthoudende autoriteit

Elke lidstaat bepaalt bij wet:

a)  de oprichting en het statuut van de toezichthoudende autoriteit overeenkomstig de artikelen 39 en 40;

b)  de kwalificaties, de ervaring en de vaardigheden die nodig zijn om de taken van de leden van de toezichthoudende autoriteit uit te voeren;

c)  de voorschriften en de procedures voor de benoeming van de leden van de toezichthoudende autoriteit, alsook de voorschriften in verband met handelingen en activiteiten die met de taken van het ambt onverenigbaar zijn;

d)  de ambtstermijn van de leden van de toezichthoudende autoriteit, die minstens vier jaar bedraagt, behoudens voor de eerste ambtstermijn na de inwerkingtreding van deze richtlijn, die korter kan zijn;

e)  of de leden van de toezichthoudende autoriteit opnieuw kunnen worden benoemd;

f)  het statuut en de gemeenschappelijke voorwaarden in verband met de taken van de leden en de personeelsleden van de toezichthoudende autoriteit;

g)  de voorschriften en de procedures voor de beëindiging van de ambtsvervulling van de leden van de toezichthoudende autoriteit, onder meer in het geval dat zij niet langer voldoen aan de voorwaarden voor de uitvoering van hun taken of op ernstige wijze zijn tekortgeschoten.

Artikel 43

Beroepsgeheim

De lidstaten bepalen dat voor de leden en de personeelsleden van de toezichthoudende autoriteit ten aanzien van de vertrouwelijke informatie die hun bekend is geworden bij de uitvoering van hun officiële taken ter kennis is gekomen, waarvan zij zich kwijten met onafhankelijkheid en transparantie zoals vastgesteld in deze richtlijn, zowel tijdens hun ambtstermijn als daarna en in overeenstemming met het nationale recht en praktijken, het beroepsgeheim geldt. [Am. 106]

AFDELING 2

TAKEN EN BEVOEGDHEDEN

Artikel 44

Competentie

1.  De lidstaten bepalen dat elke toezichthoudende autoriteit op het grondgebied van haar lidstaat bevoegd is de taken uit te voeren en de bevoegdheden uitoefent uit te oefenen die haar krachtens deze richtlijn zijn toegekend. [Am. 107]

2.  De lidstaten bepalen dat de toezichthoudende autoriteit niet bevoegd is om toe te zien op verwerkingen door gerechtelijke instanties in het kader van hun gerechtelijke taken.

Artikel 45

Taken

1.  De lidstaten bepalen dat de toezichthoudende autoriteit:

a)  toeziet op de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en de omzettingsmaatregelen daarvan, en de toepassing waarborgt;

b)  kennis neemt van klachten van betrokkenen of van een vereniging die overeenkomstig artikel 50 betrokkenen vertegenwoordigt na daartoe naar behoren door hen te zijn gemachtigd, de aangelegenheid onderzoekt in de mate waarin dat nodig is en de betrokkene of de vereniging binnen een redelijke termijn in kennis stelt van de vooruitgang en het resultaat van de klacht, met name of verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

c)  overeenkomstig artikel 14 de rechtmatigheid controleert van de gegevensverwerking en de betrokkene binnen een redelijke termijn informeert over het resultaat van de verificatie of van de redenen waarom de verificatie niet werd verricht;

d)  wederzijdse bijstand biedt aan andere toezichthoudende autoriteiten en zorgt voor de conformiteit in de toepassing en de handhaving van de krachtens deze richtlijn vastgestelde bepalingen;

e)  onderzoeken, inspecties en audits verricht hetzij op eigen initiatief, hetzij op basis van een klacht of op verzoek van een andere toezichthoudende autoriteit, en de betrokkene, als die een klacht heeft ingediend, binnen een redelijke termijn in kennis stelt van het resultaat van de onderzoeken;

f)  de relevante ontwikkelingen volgt voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

g)  door de instellingen en organen van de lidstaat wordt geraadpleegd over wettelijke en bestuursrechtelijke maatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen inzake de verwerking van persoonsgegevens;

h)  over verwerkingen overeenkomstig artikel 26 wordt geraadpleegd;

i)  deelneemt aan de activiteiten van het Europees Comité voor gegevensbescherming.

2.  Elke toezichthoudende autoriteit geeft voorlichting aan het brede publiek over de risico's, de regels, de garanties en de rechten in verband met de verwerking van persoonsgegevens. Er wordt bijzondere aandacht besteed aan specifiek op kinderen gerichte activiteiten.

3.  De toezichthoudende autoriteit adviseert op verzoek elke betrokkene bij de uitoefening van zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen en werkt daartoe, indien nodig, samen met de toezichthoudende autoriteiten van andere lidstaten.

4.  Voor de in lid 1, onder b), bedoelde klachten stelt de toezichthoudende autoriteit een klachtenformulier ter beschikking, dat elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

5.  De lidstaten bepalen dat aan het optreden van de toezichthoudende autoriteit geen kosten zijn verbonden voor de betrokkene.

6.  Wanneer verzoeken vexatoir kennelijk buitensporig zijn, met name door hun repetitieve karakter, kan de toezichthoudende autoriteit een billijke vergoeding in rekening brengen. of ervoor opteren om de door de betrokkene Een dergelijke vergoeding mag niet hoger zijn dan de kosten van het nemen van de gevraagde maatregelen niet te nemen. De bewijslast met betrekking tot het vexatoire kennelijk buitensporige karakter van het verzoek rust op de toezichthoudende autoriteit. [Am. 108]

Artikel 46

Bevoegdheden

1.  De lidstaten bepalen dat elke toezichthoudende autoriteit met name kan beschikken over de bevoegdheid heeft om:

a)  onderzoeksbevoegdheden, zoals het recht van toegang tot gegevens die voorwerp van verwerking zijn, en bevoegdheden om alle inlichtingen in te winnen die voor de uitoefening van haar toezichtstaak noodzakelijk zijn; de voor de verwerking verantwoordelijke of de verwerker in kennis te stellen van een vermeende inbreuk op de voorschriften inzake de verwerking van persoonsgegevens en, indien nodig, de voor de verwerking verantwoordelijke of de verwerker te gelasten die inbreuk met nader bepaalde maatregelen ongedaan te maken, teneinde de bescherming van de betrokkene te verbeteren;

b)  effectieve bevoegdheden om in te grijpen, zoals de bevoegdheid om voorafgaand aan de uitvoering van de verwerking advies uit te brengen en te zorgen voor een passende bekendmaking van het advies, of de bevoegdheid om gegevens te laten afschermen, wissen of vernietigen, een verwerking voorlopig of definitief te verbieden, de voor de verwerking verantwoordelijke te waarschuwen of te berispen, of de nationale parlementen of andere politieke instellingen in te schakelen; de voor de verwerking verantwoordelijke opdracht te gelasten aan de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van deze richtlijn te voldoen, waaronder de in de artikelen 12 tot en met 17 bedoelde rechten, wanneer dergelijke verzoeken in strijd met die bepalingen zijn afgewezen;

c)  de bevoegdheid om in rechte op te treden in geval van inbreuken op de krachtens deze richtlijn vastgestelde nationale bepalingen, of om die inbreuken onder de aandacht van de gerechtelijke instanties te brengen. de voor de verwerking verantwoordelijke of de verwerker te gelasten informatie overeenkomstig artikel 10,leden 1 en 2, en de artikelen 11, 28 en 29 te verstrekken;

d)  erop toe te zien dat de in artikel 26 bedoelde voorafgaande raadplegingen worden nageleefd;

e)  de voor de verwerking verantwoordelijke of de verwerker te waarschuwen of te berispen;

f)  de rectificatie, wissing of vernietiging van alle gegevens te gelasten indien deze in strijd met de krachtens deze richtlijn vastgestelde bepalingen verwerkt zijn, en te gelasten dat van dergelijke handelingen mededeling wordt gedaan aan derden aan wie de gegevens verstrekt zijn;

g)  een tijdelijk of definitief verwerkingsverbod op te leggen;

h)  gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie op te schorten;

i)  nationale parlementen, de regering of andere overheidsinstanties evenals het publiek over dergelijke kwesties te informeren.

2.  Elke toezichthoudende autoriteit kan op grond van haar onderzoeksbevoegdheid van de voor de verwerking verantwoordelijke of de verwerker verlangen dat zij:

a)  toegang krijgt tot alle persoonsgegevens en alle informatie die zij nodig heeft voor de uitvoering van haar toezichthoudende taken;

b)  overeenkomstig het nationale recht toegang verlenen tot alle gebouwen en terreinen van de voor de verwerking verantwoordelijke of de verwerker, met inbegrip van alle installaties en middelen voor gegevensverwerking, wanneer er een redelijke grond bestaat om aan te nemen dat er in strijd met deze richtlijn een activiteit wordt verricht, onverminderd de voorwaarde dat de rechter toestemming moet verlenen indien dit volgens het nationale recht vereist is.

3.  Onverminderd het bepaalde in artikel 43 bepalen de lidstaten dat geen aanvullende geheimhoudingsplichten worden vastgesteld op verzoek van de toezichthoudende autoriteiten.

4.  De lidstaten kunnen bepalen dat een aanvullend veiligheidsonderzoek overeenkomstig het nationale recht vereist is voor de toegang tot informatie die als EU CONFIDENTIAL of hoger is gerubriceerd. Indien volgens het recht van de lidstaat van de toezichthoudende autoriteit geen aanvullend veiligheidsonderzoek vereist is, wordt dit door alle andere lidstaten aanvaard.

5.  Elke toezichthoudende autoriteit heeft de bevoegdheid om inbreuken op de krachtens deze richtlijn vastgestelde bepalingen onder de aandacht van de gerechtelijke instanties te brengen en om in rechte op te treden en een vordering in te stellen bij een bevoegde gerechtelijke instantie overeenkomstig artikel 53, lid 2.

6.  Elke toezichthoudende autoriteit heeft de bevoegdheid om sancties op te leggen in verband met administratieve overtredingen. [Am. 109]

Artikel 46 bis

Melding van inbreuken

1.  De lidstaten bepalen dat de toezichthoudende autoriteiten de richtsnoeren in acht nemen die het Europees Comité voor gegevensbescherming overeenkomstig artikel 66, lid 4 ter van Verordening (EU) ..../2014 verstrekt, en effectieve mechanismen invoeren om vertrouwelijke verslaggeving over inbreuken op deze richtlijn te bevorderen.

2.  De lidstaten zorgen ervoor dat de bevoegde autoriteiten mechanismen invoeren om vertrouwelijke verslaggeving over inbreuken op deze richtlijn te bevorderen. [Am. 110]

Artikel 47

Activiteitenverslag

De lidstaten bepalen dat elke toezichthoudende autoriteit jaarlijks ten minste elke twee jaar een verslag over haar activiteiten opstelt. Het verslag wordt ter beschikking gesteld van het publiek, het betreffende parlement, de Commissie en het Europees Comité voor gegevensbescherming. Het bevat informatie over de mate waarin bevoegde autoriteiten zich binnen hun jurisdictie toegang hebben verschaft tot gegevens in handen van particuliere partijen, ten behoeve van onderzoek naar of vervolging van strafbare feiten. [Am. 111]

HOOFDSTUK VII

SAMENWERKING

Artikel 48

Wederzijdse bijstand

1.  De lidstaten bepalen dat de toezichthoudende autoriteiten elkaar relevante informatie en wederzijdse bijstand verstrekken om deze richtlijn op een conforme manier ten uitvoer te leggen en toe te passen, en maatregelen nemen om effectief met elkaar samen te werken. De wederzijdse bijstand bestrijkt met name verzoeken om informatie en toezichtsmaatregelen, zoals verzoeken om voorafgaande raadplegingen, inspecties en onderzoeken te verrichten.

2.  De lidstaten bepalen dat een toezichthoudende autoriteit alle passende maatregelen neemt die nodig zijn om het verzoek van een andere toezichthoudende autoriteit te beantwoorden. Bij deze maatregelen kan het met name gaan om de toezending van relevante informatie of de handhavingsmaatregelen die zijn genomen om verwerkingen die in strijd met deze richtlijn plaatsvinden, onverwijld en uiterlijk binnen één maand na de ontvangst van het verzoek te doen staken of te verbieden.

2 bis.  Het verzoek om bijstand bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor de aangelegenheid waarvoor om die informatie verzocht is.

2 ter.  Een toezichthoudende autoriteit tot wie een verzoek om bijstand is gericht, kan dit verzoek slechts afwijzen, indien:

a)  het niet bevoegd is om het verzoek te behandelen; of

b)  het verzoek onverenigbaar is met de bepalingen van deze richtlijn.

3.  De toezichthoudende autoriteit waaraan het verzoek is gericht, informeert de verzoekende toezichthoudende autoriteit over de resultaten of, in voorkomend geval, de vooruitgang of de maatregelen die zijn genomen om aan het verzoek van de verzoekende toezichthoudende autoriteit te voldoen.

3 bis.  De toezichthoudende autoriteiten verstrekken de door andere toezichthoudende autoriteiten gevraagde informatie elektronisch en op de kortst mogelijke termijn, met gebruikmaking van een standaardformulier.

3 ter.  De maatregelen die na een verzoek om wederzijdse bijstand worden genomen, zijn kosteloos. [Am. 112]

Artikel 48 bis

Gezamenlijk optreden

1.  De lidstaten bepalen dat de toezichthoudende autoriteiten ter versterking van samenwerking en wederzijdse bijstand, gezamenlijke handhavingsmaatregelen kunnen nemen en andere gezamenlijke activiteiten kunnen uitvoeren, waarbij aangewezen leden of personeel van toezichthoudende autoriteiten van andere lidstaten deelnemen aan activiteiten op het grondgebied van een lidstaat.

2.  De lidstaten bepalen dat in gevallen waarin een verwerking betrekking heeft op betrokkenen in een andere lidstaat of andere lidstaten de bevoegde toezichthoudende autoriteit kan worden uitgenodigd deel te nemen aan de gezamenlijke maatregelen. De bevoegde toezichthoudende autoriteit kan de toezichthoudende autoriteit van elk van die lidstaten uitnodigen tot deelname aan de respectieve gezamenlijke maatregelen en in gevallen waarin zijzelf wordt uitgenodigd, beantwoordt zij onverwijld het verzoek van een toezichthoudende autoriteit om daaraan deel te nemen.

3.  De lidstaten stellen de praktische aspecten van specifieke samenwerkingsmaatregelen vast. [Am. 113]

Artikel 49

Taken van het Europees Comité voor gegevensbescherming

1.  Binnen de werkingssfeer van deze richtlijn voert het Europees Comité voor gegevensbescherming dat bij Verordening (EG) …./2012 2014 is opgericht, de volgende taken in verband met verwerking uit:

a)  adviseren van de Commissie instellingen van de Unie over aangelegenheden in verband met de bescherming van persoonsgegevens in de Unie, waaronder alle voorgestelde wijzigingen van deze richtlijn;

b)  onderzoeken van, op verzoek van de Commissiehet Europees Parlement, de Raad of op eigen initiatief of op dat van één van zijn leden, van alle kwesties in verband met de toepassing van de krachtens deze richtlijn vastgestelde bepalingen en opstellen van richtsnoeren, aanbevelingen en beste praktijken voor de toezichthoudende autoriteiten, teneinde te bevorderen dat deze bepalingen conform worden toegepast, met inbegrip van de uitoefening van handhavingsbevoegdheden;

c)  evalueren van de praktische toepassing van de onder b) bedoelde richtsnoeren, aanbevelingen en beste praktijken en hierover regelmatig verslag uitbrengen bij de Commissie;

d)  voor de Commissie een advies uitbrengen over het beschermingsniveau in derde landen of internationale organisaties;

e)  bevorderen van samenwerking en effectieve bilaterale en multilaterale uitwisseling van informatie en praktijken tussen de toezichthoudende autoriteiten, met inbegrip van de coördinatie van gezamenlijke maatregelen en andere gezamenlijke activiteiten, wanneer het daar op verzoek van een of meer toezichthoudende autoriteiten toe besluit;

f)  bevorderen van gemeenschappelijke opleidingsprogramma's en vergemakkelijken van uitwisselingen van personeelsleden tussen de toezichthoudende autoriteiten, alsook, in voorkomend geval, met de toezichthoudende autoriteiten van derde landen of van internationale organisaties;

g)  bevorderen van de uitwisseling van kennis en documentatie met de toezichthoudende autoriteiten op het gebied van gegevensbescherming wereldwijd, over onder meer het recht en praktijken op het gebied van gegevensbescherming;

g bis)  advies uitbrengen aan de Commissie bij de voorbereiding van gedelegeerde handelingen en uitvoeringshandelingen uit hoofde van deze richtlijn.

2.  Wanneer het Europees Parlement, de Raad of de Commissie het Europees Comité voor gegevensbescherming om advies vraagt, kan zij een termijn bepalen waarbinnen het gevraagde advies moet worden uitgebracht, met inachtneming van de spoedeisendheid van de aangelegenheid.

3.  Het Europees Comité voor gegevensbescherming zendt zijn adviezen, richtsnoeren, aanbevelingen en beste praktijken toe aan de Commissie en aan het in artikel 57, lid 1, bedoelde comité en maakt deze bekend.

4.  De Commissie informeert het Europees Comité voor gegevensbescherming over de maatregelen die zij naar aanleiding van de adviezen, richtsnoeren, aanbevelingen en beste praktijken van het Europees Comité voor gegevensbescherming heeft genomen. [Am. 114]

HOOFDSTUK VIII

BEROEP, AANSPRAKELIJKHEID EN SANCTIES

Artikel 50

Recht een klacht in te dienen bij een toezichthoudende autoriteit

1.  Onverminderd andere mogelijkheden van administratief beroep of beroep in rechte, bepalen de lidstaten dat iedere betrokkene het recht heeft een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevens niet aan de krachtens deze richtlijn vastgestelde bepalingen voldoet.

2.  De lidstaten bepalen dat alle organen, organisaties of verenigingen die de bescherming van de rechten en belangen van betrokkenen in verband met de bescherming van hun persoonsgegevens tot doel hebben die handelen in het algemeen belang en die op geldige wijze volgens het recht van een lidstaat zijn opgericht, het recht hebben namens een of meer betrokkenen een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat de rechten van betrokkenen uit hoofde van deze richtlijn geschonden zijn als gevolg van de verwerking van persoonsgegevens. De organisatie of vereniging moet daartoe naar behoren door de betrokkene(n) gemachtigd zijn. [Am. 115]

3.  De lidstaten bepalen dat alle in lid 2 bedoelde organen, organisaties of verenigingen, onafhankelijk van een klacht van een betrokkene, het recht hebben een klacht in te dienen bij een toezichthoudende autoriteit in een lidstaat, indien zij van mening zijn dat er een inbreuk in verband met persoonsgegevens heeft plaatsgevonden.

Artikel 51

Recht een beroep in rechte in te stellen tegen een toezichthoudende autoriteit

1.  De lidstaten bepalen dat er een iedere natuurlijke persoon of rechtspersoon het recht bestaat heeft een beroep in rechte in te stellen tegen de besluiten van een toezichthoudende autoriteit die hem betreffen.

2.  De lidstaten bepalen dat iedere betrokkene heeft het recht heeft een beroep in rechte in te stellen teneinde de toezichthoudende autoriteit te verplichten aan een klacht gevolg te geven, wanneer er geen besluit is genomen dat nodig is voor de bescherming van zijn rechten of wanneer de toezichthoudende autoriteit hem of haar niet overeenkomstig artikel 45, lid 1, onder b), binnen drie maanden in kennis heeft gesteld van de voortgang van de behandeling van de klacht of van het resultaat daarvan.

3.  De lidstaten bepalen dat een vordering tegen een toezichthoudende autoriteit wordt ingesteld bij de gerechtelijke instanties van de lidstaat waar de toezichthoudende autoriteit gevestigd is.

3 bis.  De lidstaten zien erop toe dat de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer worden gelegd. [Am. 116]

Artikel 52

Recht een beroep in rechte in te stellen tegen een voor de verwerking verantwoordelijke of een verwerker

1.  Onverminderd andere mogelijkheden van administratief beroep, waaronder het recht een klacht in te dienen bij een toezichthoudende autoriteit, bepalen de lidstaten dat iedere natuurlijke persoon het recht heeft een beroep in rechte in te stellen, indien hij van mening is dat zijn rechten uit hoofde van krachtens deze richtlijn vastgestelde bepalingen geschonden zijn als gevolg van een verwerking van zijn persoonsgegevens die niet aan die bepalingen voldoet.

1 bis.  De lidstaten zien erop toe dat de definitieve beslissingen van de gerechtelijke instanties in de zin van dit artikel ten uitvoer worden gelegd. [Am. 117]

Artikel 53

Gemeenschappelijke voorschriften voor beroepen in rechte

1.  De lidstaten bepalen dat alle in artikel 50, lid 2, bedoelde organen, organisaties of verenigingen het recht hebben de in de artikelen 51, en 52 en 54 bedoelde rechten namens uit te oefenen indien zij daartoe door één of meer betrokkenen uit te oefenen zijn gemachtigd. [Am. 118]

2.  De lidstaten bepalen dat elke toezichthoudende autoriteit heeft het recht heeft in rechte op te treden en een vordering in te stellen bij een gerechtelijke instantie om de krachtens deze richtlijn vastgestelde bepalingen te doen naleven of om de conformiteit van de bescherming van persoonsgegevens in de Unie te garanderen. [Am. 119]

3.  De lidstaten zien erop toe dat hun nationale recht voorziet in rechtsgedingen waarbij snel maatregelen kunnen worden getroffen, met inbegrip van voorlopige maatregelen, om de vermeende inbreuk te doen eindigen en om te verhinderen dat de betrokken belangen verder worden geschaad.

Artikel 54

Aansprakelijkheid en het recht op vergoeding

1.  De lidstaten bepalen dat eenieder die schade, waaronder immateriële schade, heeft geleden ten gevolge van een onrechtmatige verwerking of van een daad die onverenigbaar is met de krachtens deze richtlijn vastgestelde bepalingen het recht heeft van de voor de verwerking verantwoordelijke vergoeding van de geleden schade te verkrijgen vorderen. [Am. 120]

2.  Wanneer meer dan één voor de verwerking verantwoordelijke of verwerker bij de verwerking betrokken is, zijn alle voor de verwerking verantwoordelijken en verwerkers hoofdelijk gehouden tot volledige vergoeding van de schade.

3.  De voor de verwerking verantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij of zij bewijst dat de schade hem niet kan worden toegerekend.

Artikel 55

Sancties

De lidstaten stellen de sanctieregeling vast die van toepassing is op schendingen van de krachtens deze richtlijn vastgestelde bepalingen en treffen alle maatregelen die nodig zijn om ervoor te zorgen dat deze ten uitvoer wordt gelegd. De vastgestelde sancties moeten doeltreffend, evenredig en afschrikkend zijn.

HOOFDSTUK VIIIbis

Doorgifte van persoonsgegevens aan derden

Artikel 55 bis

Doorgifte van persoonsgegevens aan andere autoriteiten of particuliere instanties in de Unie

1.  De lidstaten zorgen ervoor dat de voor de verwerking verantwoordelijke of de in zijn opdracht handelende verwerker geen persoonsgegevens doorgeeft aan natuurlijke personen of rechtspersonen die niet onderworpen zijn aan de bepalingen van deze richtlijn, tenzij:

a)  de doorgifte in overeenstemming is met het recht van de Unie of het recht van de lidstaat; alsmede

b)  de ontvanger gevestigd is in een lidstaat van de Europese Unie; alsmede

c)  geen gerechtvaardigde specifieke belangen van de betrokkene zich tegen doorgifte verzetten; alsmede

d)  de doorgifte in een specifiek geval voor de voor de verwerking verantwoordelijke noodzakelijk is voor:

i)  de uitvoering van zijn rechtmatig toegewezen taak; of

ii)  het voorkomen van een onmiddellijke en ernstige bedreiging van de openbare veiligheid; of

iii)  het voorkomen van ernstige schending van de rechten van personen.

2.  De voor de verwerking verantwoordelijke informeert de ontvanger over het doel waarvoor de persoonsgegevens uitsluitend verwerkt mogen worden.

3.  De voor de verwerking verantwoordelijke informeert de toezichthoudende autoriteit over deze doorgiften.

4.  De voor de verwerking verantwoordelijke informeert de ontvanger over beperkingen voor de verwerking en ziet erop toe dat deze beperkingen in acht worden genomen. [Am. 121]

HOOFDSTUK IX

GEDELEGEERDE HANDELINGEN EN UITVOERINGSHANDELINGEN

Artikel 56

Uitoefening van de bevoegdheidsdelegatie

1.  De bevoegdheid om gedelegeerde handelingen vast te stellen, wordt aan de Commissie toegekend onder de in dit artikel vastgestelde voorwaarden.

2.  De in artikel 25 bis, lid 7, artikel 28, lid 5, artikel 34, lid 3, en artikel 34, lid 5, bedoelde bevoegdheidsdelegatie wordt aan de Commissie toegekend voor een onbepaalde periode vanaf tijd met ingang van de datum waarop deze richtlijn in werking treedt.

3.  Het Europees Parlement of de Raad kan de in artikel 25 bis, lid 7, artikel 28, lid 5, artikel 34, lid 3, en artikel 34, lid 5, bedoelde bevoegdheidsdelegatie te allen tijde intrekken. Het besluit tot intrekking maakt een einde aan de delegatie van de bevoegdheden die in het besluit worden vermeld. Het wordt van kracht op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie of op een daarin genoemde latere datum. Het laat de geldigheid van de reeds van kracht zijnde gedelegeerde handelingen onverlet.

4.  Zodra de Commissie een gedelegeerde handeling vaststelt, stelt zij het Europees Parlement en de Raad daarvan gelijktijdig in kennis.

5.  Een overeenkomstig artikel 25 bis, lid 7, artikel 28, lid 5, artikel 34, lid 3, en artikel 34, lid 5, vastgestelde gedelegeerde handeling treedt alleen in werking indien het Europees Parlement noch de Raad binnen een termijn van twee zes maanden na de kennisgeving van de handeling aan het Europees Parlement en de Raad daartegen daartegen bezwaar heeft gemaakt, of indien zowel het Europees Parlement als de Raad voor het verstrijken van de die termijn van twee maanden de Commissie hebben medegedeeld daartegen geen bezwaar te zullen maken. Die termijn wordt op initiatief van het Europees Parlement of de Raad met twee zes maanden verlengd. [Am. 122]

Artikel 56 bis

Uiterste termijn voor de vaststelling van gedelegeerde handelingen

De Commissie stelt uiterlijk [zes maanden vóór de in artikel 62, lid 1, genoemde datum] de gedelegeerde handelingen als bedoeld in artikel 25 bis, lid 7, en artikel 28, lid 5, vast. De Commissie kan de uiterste termijn als bedoeld in dit lid met zes maanden verlengen. [Am. 123]

Artikel 57

Comitéprocedure

1.  De Commissie wordt bijgestaan door een comité. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.

2.  Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.

3.  Wanneer naar dit lid wordt verwezen, is artikel 8 van Verordening (EU) nr. 182/2011, in samenhang met artikel 5 van die verordening, van toepassing. [Am. 124]

HOOFDSTUK X

SLOTBEPALINGEN

Artikel 58

Intrekkingen

1.  Kaderbesluit 2008/977/JBZ wordt ingetrokken.

2.  Verwijzingen naar het in lid 1 bedoelde ingetrokken kaderbesluit gelden als verwijzingen naar deze richtlijn.

Artikel 59

Verhouding met reeds vastgestelde besluiten van de Unie inzake justitiële samenwerking in strafzaken en politiële samenwerking

De specifieke bepalingen ter bescherming van persoonsgegevens in verband met de verwerking van die gegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, die zijn opgenomen in besluiten van de Unie die voorafgaand aan de vaststelling van deze richtlijn zijn vastgesteld en die de verwerking van persoonsgegevens tussen lidstaten onderling en de toegang van door de lidstaten aangewezen autoriteiten tot op grond van de Verdragen opgerichte en onder het toepassingsgebied van deze richtlijn vallende informatiesystemen regelen, blijven ongewijzigd.

Artikel 60

Verhouding met reeds gesloten internationale overeenkomsten inzake justitiële samenwerking in strafzaken en politiële samenwerking

De internationale overeenkomsten die door de lidstaten voorafgaand aan de inwerkingtreding van deze richtlijn zijn gesloten, worden indien nodig binnen vijf jaar na de inwerkingtreding van deze richtlijn gewijzigd.

Artikel 61

Evaluatie

1.  De Commissie evalueert, na het Europees Comité voor gegevensbescherming om een advies te hebben verzocht, de toepassing en de tenuitvoerlegging van deze richtlijn. De coördinatie van de Commissie vindt in nauwe samenwerking met de lidstaten plaats en omvat aangekondigde en onaangekondigde bezoeken. Het Europees Parlement en de Raad worden gedurende het hele proces op de hoogte gehouden en krijgen toegang tot de relevante documenten.

2.  De Commissie gaat herziet binnen drie twee jaar na de inwerkingtreding van deze richtlijn na of de andere besluiten die de Europese Unie in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen heeft vastgesteld, en met name de in artikel 59 bedoelde door de Unie vastgestelde besluiten, aan deze richtlijn moeten worden aangepast en dient in voorkomend geval de nodige passende voorstellen in om deze besluiten te wijzigen teneinde een conforme aanpak consistente en uniforme rechtsregels met betrekking tot de verwerking van de bescherming van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, binnen de werkingssfeer van deze richtlijn te waarborgen.

2 bis.  De Commissie dient binnen twee jaar na de inwerkingtreding van deze richtlijn een passend voorstel in voor de herziening van het rechtskader dat van toepassing is op de verwerking van persoonsgegevens door instellingen, organen, bureaus en agentschappen van de Unie met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, teneinde consistente en uniforme rechtsregels met betrekking tot het grondrecht op de bescherming van persoonsgegevens in de Unie te waarborgen.

3.  De Commissie brengt op gezette tijden verslag uit aan het Europees Parlement en de Raad over de evaluatie en de toetsing van deze richtlijn overeenkomstig lid 1. Het eerste verslag wordt uiterlijk vier jaar na de inwerkingtreding van deze richtlijn ingediend. De volgende verslagen worden om de vier jaar ingediend. De Commissie dient indien nodig passende voorstellen in om deze richtlijn te wijzigen en de andere rechtsinstrumenten aan te passen. Het verslag wordt openbaar gemaakt. [Am. 125]

Artikel 62

Tenuitvoerlegging

1.  De lidstaten dienen uiterlijk op ...(12) de nodige wettelijke en bestuursrechtelijke bepalingen vast te stellen en bekend te maken om aan deze richtlijn te voldoen. Zij delen de Commissie de tekst van die bepalingen onverwijld mee.

Zij passen die bepalingen toe vanaf ...*.

Wanneer de lidstaten die bepalingen aannemen, wordt in die bepalingen zelf of bij de officiële bekendmaking daarvan naar deze richtlijn verwezen. De regels voor deze verwijzing worden vastgesteld door de lidstaten.

2.  De lidstaten delen de Commissie de tekst van de belangrijkste bepalingen van nationaal recht mee die zij op het onder deze richtlijn vallende gebied vaststellen.

Artikel 63

Inwerkingtreding en toepassing

Deze richtlijn treedt in werking op de dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Artikel 64

Adressaten

Deze richtlijn is gericht tot de lidstaten.

Gedaan te ...,

Voor het Europees Parlement Voor de Raad

De voorzitter De voorzitter

(1) PB C 192 van 30 juni 2012, blz. 7.
(2) Standpunt van het Europees Parlement van 12 maart 2014.
(3)Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.1995, blz. 31).
(4)Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PB L 350 van 30.12.2008, blz. 60).
(5) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1).
(6)Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad van 16 februari 2011 tot vaststelling van de algemene voorschriften en beginselen die van toepassing zijn op de wijze waarop de lidstaten de uitoefening van de uitvoeringsbevoegdheden door de Commissie controleren (PB L 55 van 28.2.2011, blz. 13).
(7)Richtlijn 2011/93/EU van het Europees Parlement en de Raad van 13 december 2011 ter bestrijding van seksueel misbruik en seksuele uitbuiting van kinderen en kinderpornografie, en ter vervanging van Kaderbesluit 2004/68/JBZ van de Raad (PB L 335 van 17.12.2011, blz. 1).
(8)PB L 176 van 10.7.1999, blz. 36.
(9)PB L 53 van 27.2.2008, blz. 52.
(10)PB L 160 van 18.6.2011, blz. 21.
(11) PB C 369 van 17.12.2011, blz. 14.
(12) Twee jaar na de inwerkingtreding van deze richtlijn.

Juridische mededeling - Privacybeleid